Deel dit artikel
-

Nieuwe Europese privacyregels naar Parlement

De Europese ministers publiceren hun versie van de General Data Protection Regulation en geven het stokje door aan het Europees Parlement. Voor het einde van dit jaar kunnen nieuwe privacyregels beklonken worden, met vergaande gevolgen voor de online industrie.

Gisteren publiceerde (PDF) de Europese Raad (ook wel: consilium of EU-ministers) na lange onderhandelingen zijn visie op de nieuwe privacyregels voor Europa. Het eindresultaat wordt een regulation. Die heeft minder flexibiliteit qua lokale implementatie dan een directive. Daardoor ontstaan minder interpretatie- en dus meningsverschillen tussen landen.

Een belangrijk aspect voor de online industrie is dat verwerking van persoonsgegevens enkel mag plaatsvinden na expliciete toestemming van de gebruiker. Dat kan met een vinkje in een ‘toestemmingsdoosje’ maar ook met de voorkeursinstellingen van de browser. Dataverwerkers moeten de verkregen toestemming kunnen aantonen. Overtredingen kunnen worden beboet met straffen tot een miljoen euro of twee procent van de wereldwijde jaaromzet van een concern.

Een ander element van de voorgestelde regels is, dat consumenten het recht tot dataportabiliteit krijgen. Een online dienstverlener moet erin voorzien dat een gebruiker zijn gegevens kan oppakken en kan verhuizen naar een concurrent.

Enkele passages uit het document (PDF) dat de Europese Raad aan het Parlement en de Commissie ter discussie voorlegt.

“The principles of data protection should apply to any information concerning an identified or identifiable natural person. Data including pseudonymised data, which could be attributed to a natural person by the use of additional information, should be considered as information on an identifiable natural person.”

“Consent should be given unambiguously by any appropriate method enabling a freely-given, specific and informed indication of the data subject’s wishes, either by a written, including electronic, oral statement or, if required by specific circumstances, by any other clear affirmative action by the data subject signifying his or her agreement to personal data relating to him or her being processed. This could include ticking a box when visiting an Internet website or any other statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent.”

“Where it is technically feasible and effective, the data subject’s consent to processing may be given by using the appropriate settings of a browser or other application. In such cases it is sufficient that the data subject receives the information needed to give freely specific and informed consent when starting to use the service. (…). Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, unambiguous consent should be granted for all of the processing purposes. If the data subject’s consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.”

Children (…) deserve specific protection of their personal data, as they may be less aware of risks, consequences, safeguards and their rights in relation to the processing of personal data. (…). This concerns especially the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of child data when using services offered directly to a child.”

“Where processing is based on the data subject’s consent, the controller should be able to demonstrate that the data subject has given the consent to the processing operation.”

“Member States should be authorised to provide, under specific conditions and in the presence of appropriate safeguards for data subjects, specifications and derogations to the information requirements and the rights to access, rectification, erasure, to be forgotten, restriction of processing and on the right to data portability and the right to object when processing personal data for historical, statistical or scientific purposes and for archiving purposes.”

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond