Met de Algemene Verordening Gegevensbescherming wordt de verwerking van persoonsgegevens binnen de EU beschermd. Het moet gaan om een rechtmatige verwerking, de persoonsgegevens moeten op de juiste manier worden verwerkt en hier moet transparantie over zijn. Dit brengt voor decentrale overheden diverse verplichtingen met zich mee.
De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast. Deze regels maken inzichtelijk hoe de AP de hoogte van een boete berekent.
In december 2018 heeft de Europese Commissie bekeken of het EU-US Privacy Shield nog het vereiste niveau van gegevensbescherming geeft. Uit de evaluatie blijkt dat de bescherming van persoonsgegevens in de Verenigde Staten het afgelopen jaar is verbeterd.
De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?
Eind 2018 heeft de European Data Protection Board (EDPB) twee nieuwe richtlijnen ter consultatie gepubliceerd. Een van deze richtlijnen gaat in op de territoriale reikwijdte van de Algemene verordening gegevensbescherming.
In dit arrest geeft het Hof van Justitie uitleg over de beginselen van doelbinding en opslagbeperking. Hierdoor wordt voor decentrale overheden duidelijker hoe zij ervoor kunnen zorgen dat iedere verwerking van persoonsgegevens rechtmatig gebeurt.
Op 14 februari 2019 heeft het Hof van Justitie van de EU twee prejudiciële vragen beantwoord over de uitlegging van het begrip ‘voor uitsluitend journalistieke doeleinden’ in artikel 9 van richtlijn 95/46/EG. Deze richtlijn is inmiddels vervangen door de Algemene verordening gegevensbescherming (Verordening 2016/679). Het begrip ‘journalistieke doeleinden’ is ook in de AVG vastgelegd (artikel 85). De uitspraak is daarom ook relevant voor uitlegging van de AVG.
In deze zaak gaat het om de reikwijdte van het begrip persoonsgegevens en de uitwerking van het recht op toegang tot deze gegevens uit richtlijn 95/46 (hierna: de richtlijn). Deze richtlijn is in Nederland in de Wet bescherming persoonsgegevens (Wbp) geïmplementeerd. Vanaf 25 mei 2018 zullen de regels van de Algemene verordening gegevensbescherming (AVG) gelden en worden zowel de richtlijn als de Wbp ingetrokken. De definitie van ‘persoonsgegevens’ is in de AVG hetzelfde als in de richtlijn.
Hoe kunnen de fundamentele rechten en vrijheden van natuurlijke personen beschermd blijven, terwijl persoonsgegevens wel doorgespeeld worden. En hoe moeten de woorden ‘noodzakelijk voor de behartiging van het gerechtvaardigd belang van derde aan wie de gegevens worden verstrekt’ uitgelegd worden? In dit arrest gaat het Hof van Justitie hierop in.
