De Europese Commissie heeft op 25 januari 2012 een grondige hervorming van de EU-gegevensbeschermingsregels van 1995 voorgesteld om de privacy online beter te waarborgen en de digitale economie in Europa te stimuleren.
De manier waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door de technologische vooruitgang en de globalisering ingrijpend veranderd. Tevens hebben de 27 EU-lidstaten de regels van 1995 verschillend omgezet, wat tot verschillen in toepassing en handhaving heeft geleid. Een geïntegreerde wetgeving moet een einde maken aan de huidige fragmentatie en aan dure administratieve formaliteiten
Hieronder volgen de belangrijkste wijzigingen:
- Eén stel regels inzake gegevensbescherming, geldend in de gehele EU. Overbodige administratieve formaliteiten, zoals sommige verplichte meldingen door bedrijven, worden afgeschaft. Dit moet hen circa 2,3 miljard euro aan kosten per jaar besparen.
- Elk bedrijf is momenteel verplicht om alle maatregelen inzake gegevensbescherming aan de toezichthouders te melden, wat overbodige administratieve lasten meebrengt en bedrijven jaarlijks 130 miljoen euro kost. In plaats daarvan verplicht de verordening de verwerkers van persoonsgegevens meer verantwoording en rekenschap af te leggen.
- Zo moeten bedrijven en organisaties ernstige gegevenslekken zo snel mogelijk (zo mogelijk binnen 24 uur) aan de nationale toezichthouder melden.
- Organisaties krijgen te maken met slechts één nationale gegevensbeschermingsautoriteit, in de EU-lidstaat waar zij hun belangrijkste vestiging hebben. Insgelijks is de nationale gegevensbeschermingsautoriteit het aanspreekpunt voor burgers, ook als hun gegevens worden verwerkt door een bedrijf dat buiten de EU is gevestigd. Wanneer voor de verwerking van gegevens toestemming vereist is, moet deze uitdrukkelijk worden gegeven, en niet worden verondersteld stilzwijgend te zijn gegeven.
- Mensen zullen gemakkelijker toegang krijgen tot hun eigen gegevens en hun persoonsgegevens gemakkelijker van de ene dienstverstrekker naar de andere kunnen overdragen (recht op gegevensoverdraagbaarheid), wat de onderlinge concurrentie zal vergroten.
- Een 'recht om te worden vergeten' moet mensen in staat stellen om privacyrisico's op internet beter te beheren, d.w.z. hun gegevens te wissen als er geen gegronde redenen zijn om ze te bewaren.
- De EU-regels zijn van toepassing wanneer persoonsgegevens buiten de EU worden verwerkt door bedrijven die op de markt van de EU actief zijn en hun diensten aan EU-burgers aanbieden.
- Onafhankelijke nationale gegevensbeschermingsautoriteiten zullen meer bevoegdheden krijgen om de EU-regels op hun grondgebied te doen eerbiedigen, onder meer om boetes op te leggen aan bedrijven die die regels overtreden. Die boetes kunnen oplopen tot 1 miljoen euro of tot 2% van de totale jaarlijkse omzet van een bedrijf.
- In een nieuwe richtlijn zullen grondbeginselen en algemene regels worden vastgesteld voor de bescherming van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken. De voorschriften zullen zowel op binnenlandse als grensoverschrijdende gegevensoverdrachten van toepassing zijn.
De voorstellen van de Commissie gaan nu voor bespreking naar het Europees Parlement en de Raad van ministers. Zij treden in werking twee jaar nadat zij zijn goedgekeurd.
Meer lezen:
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/12/46&format=HTML&aged=0&language=NL&guiLanguage=en : Persbericht
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm : informatiepakket
