hero

DRPP

Small but without limits

De bescherming van persoonsgegevens.

1.Met de AVG (Algemene Verordening Gegevensbescherming ) van 25.5.2018, rechtstreeks toepasselijk op alle EU landen, is een schok opgetreden bij alle IT platforms, ook deze buiten de EU (vb. bij levering van goederen en diensten aan EU inwoners of bij het navolgen ( "monitoring") van het gedrag van deze inwoners).

De Europese fundamentele rechten van de mens worden er beschermd ( the Charter ). Ze staan overigens gans bovenaan bij de Europe wetgeving. Ook de uitspraken ( case-law) van het EHRM worden geëerbiedigd bij de uitspraken van het Hof van Justitie (1.1). Sommige van die rechten staan op gespannen voet : art 7 en 8 ( dit laatste betreft meer bescherming van data) van de Charter met bescherming van het privé leven ( leidt tot het recht vergeten te worden) , tegenover art 11 van de Charter met het recht op vrije meningsuiting. (1.2). Het recht op informatie is wel het recht op objectieve informatie (1.3)

1603612274305_RFu2xYZ.png
Ook Mona Lisa heeft het recht om origineel te worden weergegeven

2. De beginselen van verantwoordelijkheid van de verwerker, van toestemming van de persoon, van transparantie beheersen de regels. De boetes kunnen oplopen tot 4% van de wereldwijde omzet van het vorige jaar van de onderneming. Dit heeft duidelijk zijn uitwerking.

Elk land dient te beschikken over een toezichthoudende overheid. Dit is de Gegevensbeschermingautoriteit.

Inbreuken op het AVG leiden tot administratieve maar ook strafrechtelijke sancties. Zo legde de GBA (Gegevensbeschermingsautoriteit ) op 17.12.2019 een online juridische website een boete op van 15.000€ omwille van het ontbreken van bepaalde vermeldingen in haar privacyverklaring, de afwezigheid aan informatie inzake  het cookie-beleid (2.1)

Onder impuls van de Oostenrijker Schrems zijn arresten tussengekomen die in de praktijk bijkomende verplichtingen met zich brengen voor gegevensexporteurs en )-importeurs, met name zelf een beoordeling doorvoeren van het beschermingsniveau in het derde land, en desnoods bijkomende maatregelen treffen teneinde een passend beschermingsniveau te waarborgen ( contractueel, technische als organisatorische maaatregelen ), en er werd in het arrest vastgesteld dat de USA heraan op dat ogenblik niet voldeed.(2.2)

Het Hof van Justitie heeft intussen bevestigd dat consumentenorganisaties zonder mandaat van de betrokkenen stakingsvorderingen mogen instellen ( en zelfs zonder bescherming van persoonsgegevens in het maatschappelijk doel ) bij vaststellen van inbreuken (2.3).

3. Wie een inbreuk vaststelt op het internet kan dit meteen gaan melden aan de Gegevensautoriteit. Deze heeft hiervoor een eerstelijnsdienst. Zo'n verzoek moet zijn opgemaakt in 1 van onze 3 landstalen. Dit verzoek leidt tot bemiddeling..

Een klacht moet bijkomend naast de uiteenzetting van de feiten, de nodige elementen inhouden om de betroffen verwerking en indiener te kunnen identificeren. Deze klacht wordt rechtstreeks overgemaakt aan de geschillenkamer.

4. Na een voorafgaandelijk verzoek kan de inspectiedienst bevelen tot de opschorting, beperking of bevriezing van een verwerking.

Deze kan ook een onderzoek ter plaatse houden.Ze kunnen, voor zover echt nodig, zelfs ingrijpen in het informaticasysteem.

Daarnaast bestaat een geschillenkamer die partijen kan horen, maatregelen bevelen, het dossier overdragen naar het parket, en eventueel haar beslissing bekend maken op haar website.

5. De benadeelde ( ook elk orgaan, of organisatie met openbaar belang als doel en actief voor bescherming persoonsrechten - (art. 80.1 AVG, art. 220§1GBW ) kan daarnaast een vordering tot staking instellen voor de voorzitter van de rechtbank (vorderingen tot rectificatie, verwijdering of verbieden van de aanwending van onjuiste persoonsgegevens, of die onvolledig of niet ter zake dienend zijn voor de verwerking, of tegen dewelke de betrokkene zich heeft verzet). Dit wordt gebracht voor de rechter van de woonplaats van de eiser, of van de verweerder, of de plaats waar verwerking heeft plaats gehad. Er kan zelfs gehandeld worden tegen een verwerkingsverantwoordelijke of verwerker die niet in België gevestigd is, voor verwerkingen die gevolgen heben voor betrokkenen in België. Bijzonder is dat de inleiding van zo'n zaak gebeurt bij verzoekschrift en niet bij dagvaarding ( besparing!).(3) Het volstaat bij een representatieve vordering aanvoert dat de betrokken gegevensbescherming afbreuk kan doen aan de rechten van geïdentificeerde of identificeerbare natuurlijke personen, zonder het  bewijs van effectieve schade (4)

(1.1) HvJ 17.6.2010, Volker abd Markus Schecke v Land Hesse, C-92/09 and C-93/09, ECLI:EU:C:2010:353, § 64; E.J.Kndt, Data Protection: An important new and fast growing legal domain; Computerrecht, 1A/2021P.79

(1.2) HvJ 13.5.2014, Google Spain and Google, C-131/12, ECLI:EU 2014:317, § 81 ( het zoeken naar een juist evenwicht )

(1.3) HvJ 24.11.2011, Scarlet extend-ted sa, C-70/10, ECLI:EU:C:2011:771, § 50

(2.1) Computerrecht 2/2020, pag.118

(2.2) HvJ EU 16.7.2020, C-311/1; zie noot Michielsen&Joost, De implicaties van Schrems II voor de gunning van overheidsopdrachten ( nl), Computerrecht 2021/56, p.553

(2.3)  HvJ Eu 28.4.2022, RW 2022-23, p. 1295

(3) cfr.F.Debusseré, Vernieuwde stakingsprocedure in het gegevensbeschermingsrecht, NJW nr 429, pag. 722 ( art. 211 § 1GBW).

(4) HvJ EU 28.4.2022,C-319/20; cfr.E.Schoenmakers, De verhouding tussen AVG ..., Computerrecht 2022,p.318