Privacyrecht in 2022

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018, volgden nieuwe ontwikkelingen binnen het privacyrecht elkaar snel op. Het afgelopen jaar (2022) vormde hierop geen uitzondering. Tijd om terug te blikken en een overzicht te geven van een aantal belangwekkende zaken.

Internationale doorgiften van persoonsgegevens

Ook in 2022 blijven – in navolging van de zaak Schrems II – vragen over internationale gegevensuitwisseling aan de orde van de dag. In januari 2022 heeft een besluit van de Oostenrijkse gegevensbeschermingsautoriteit (DSB) veel commotie veroorzaakt. De DSB oordeelde dat het gebruik van Google Analytics (cookies) niet was toegestaan, omdat hierbij gegevens door worden gegeven naar Google in de Verenigde Staten, zonder dat daarvoor voldoende waarborgen werden getroffen. Daarmee werd nog maar eens duidelijk dat het onvoldoende is om op papier te zetten dat voldoende waarborgen worden getroffen bij een doorgifte – er moeten daadwerkelijk voldoende waarborgen zijn getroffen. Lees ook nog eens dit blog.

Dit oordeel was het resultaat van overleg van alle nationale toezichthouders die zijn verenigd in de European Data Protection Board (EDPB). Ook de Nederlandse Autoriteit Persoonsgegevens (AP) is hier onderdeel van. De AP gaf aan “begin 2022” ook met een oordeel gekomen. Dit oordeel is echter uitgebleven. Wel heeft de AP ervoor gewaarschuwd dat het gebruik van Google Analytics mogelijk niet is toegestaan.

Nu we aan het eind van het jaar zijn aangekomen, lijkt voor gegevensdoorgifte naar de VS echter een remedie aan de horizon te gloren. Dit in de vorm van een adequaatheidsbesluit, waarvan het concept inmiddels, op 13 december, is gepubliceerd. Wanneer dit adequaatheidsbesluit definitief wordt, wordt het mogelijk om zonder nadere maatregelen gegevens uit te wisselen met entiteiten in de VS. Dit geldt dan uiteraard enkel voor de uitwisseling van persoonsgegevens met entiteiten in de Verenigde Staten. Voor andere landen buiten de Europese Economische Ruimte (zonder adequaatheidsbesluit) blijft in beginsel gelden dat moet zijn voorzien in voldoende waarborgen.

Het commercieel belang als gerechtvaardigd belang

Over dit onderwerp bestaat al geruime tijd discussie. Helaas is er nog steeds geen volledige duidelijkheid verkregen over de vraag of een commercieel belang een “gerechtvaardigd belang” kan zijn (als genoemd in artikel 6 AVG) waarop een verwerking mag worden gebaseerd. Wel zijn er inmiddels prejudiciële vragen gesteld aan het Hof van Justitie. Of we hierop in 2023 antwoorden mogen verwachten blijft even spannend, het Hof doet er namelijk gemiddeld 17 maanden over om te reageren op prejudiciële vragen. In de tussentijd is per geval een degelijke toetsing van de verwerkingsgrondslag vereist. Lees hierover meer in ons eerdere blog: Is een commercieel belang een gerechtvaardigd belang? | Ploum Rotterdam Law Firm.

Sneller sprake van bijzondere persoonsgegevens

Het Europese Hof van Justitie (“HvJ EU”) oordeelde op 1 augustus jl. dat ook gegevens waaruit indirect informatie valt af te leiden die in een bijzondere categorie van persoonsgegevens valt (artikel 9 AVG), behandeld moeten worden als gegevens die in die bijzondere categorie vallen. Dit is van belang omdat voor de verwerking van persoonsgegevens die in een bijzondere categorie vallen strengere regels gelden (in beginsel een verwerkingsverbod). Lees hier meer over dit onderwerp: Wellicht sneller sprake van het verwerken van bijzondere persoonsgegevens dan gedacht | Ploum Rotterdam Law Firm.

Het UBO-register

In 2022 heeft het HvJ EU in ieder geval gereageerd op vragen die gesteld zijn ten aanzien van het UBO-register. In dat register werden gegevens van UBO’s (uiteindelijk belanghebbenden van bedrijven) geregistreerd. Deze gegevens konden vervolgens door eenieder worden ingezien en nu hiermee de privacy van degenen die in het register zijn opgenomen teveel wordt aangetast, is door het verstrekken van deze informatie aan een onbeperkt publiek door het HvJ EU een streep gezet. Naar verwachting wordt het register binnenkort weer beperkt raadpleegbaar voor bevoegde autoriteiten.

Boetes van de Autoriteit Persoonsgegevens (AP)

Het valt op dat de AP in het afgelopen jaar een beperkt aantal boetes heeft gepubliceerd, ten opzichte van vorig jaar. De boetes werden opgelegd voor o.a. het onnodig opvragen van een identiteitsbewijs, het slecht beveiligen van en informeren over een verwerking, het onrechtmatig verwerken van gegevens en hanteren van een zwarte lijst en voor het niet uitvoeren van een risicoanalyse bij een risicovolle verwerking (camerabeelden). De redenen waarvoor boetes zijn opgelegd zijn behoorlijk divers, maar inmiddels zien wij een aantal onderwerpen terugkeren zoals de beveiligingsmaatregelen, risicoanalyses, het beoordelen van verwerkingsgrondslagen, melden van datalekken en het faciliteren van rechten van betrokkenen.

Mogelijk volgt er verder op termijn een aanpassing van de huidige boetebeleidsregels van de AP naar aanleiding van een publicatie van het European Data Protection Board (EDPB) inzake het berekenen van boetes. Dit zou wel eens kunnen leiden tot (aanzienlijk) hogere boetes. Te meer reden om uw privacybeleid nog eens onder de loep te (laten) nemen.

Vragen?

Heeft u vragen over het verwerken van persoonsgegevens of zou u de verwerkingen van persoonsgegevens door uw organisatie nog eens tegen het licht willen houden? Neem gerust contact met ons op via privacy@ploum.nl of lees meer over onze Privacy Helpdesk en de Privacy Quick Scan.