7. Een onmogelijke opdracht?
Veel vage termen
• “Noodzakelijk”
• “Gerechtvaardigde belangen”
• “Passende maatregelen”
• “Waarschijnlijk een hoog risico”
Zelfs ook onduidelijke kerndefinities
Persoonsgegeven
Verantwoordelijke vs. Verwerker
Gezondheidsgegeven
7
10. Verwerker:
Het begrip is nog altijd in beweging
Conclusie AG inzake AP Schleswig-Holstein vs. Wirtschaftsakademie (okt 2017)
10
11. Wetgeving is nog in ontwikkeling
Uitvoeringswet
E-privacy verordening
Sector specifieke wetgeving
11
12. Register verwerkingen
Basis voor AVG compliance
• Meldplicht AP voor verwerkingen verdwijnt AP handhaaft niet meer tot
inwerkingtreding AVG
• Nieuwe verplichting: bijhouden register verwerkingen
• Verplichting geldt voor verwerkingsverantwoordelijke en verwerker
• Uitzondering voor organisaties < 250 werknemers, tenzij:
• verwerking risico voor de rechten en vrijheden van de betrokkenen inhoudt;
• de verwerking niet incidenteel is; of
• de verwerking bijzondere categorieën van gegevens betreft.
12
13. Register verwerkingen
Welke informatie moet erin?
• Verwerkingsdoeleinden
• Categorieën betrokkenen
• Categorieën persoonsgegevens
• Categorieën van ontvangers
• Doorgiftes buiten de EU
• Bewaartermijnen
• Beschrijving beveiliging
Hoe specifiek? Vanuit welk uitgangspunt? En waar te beginnen? (aan de
hand van ICT applicaties / aan de hand van bedrijfsonderdelen/processen
aan de hand van questionnaires naar de managers)
13
14. Register verwerkingen
Voorbeelden:
• Verschillende software-aanbieders
• VNG (lijst met voorgeschreven en optionele posten)
• Belgische toezichthouder Model voor een Register van de verwerkingsactiviteiten
https://www.privacycommission.be/nl/model-voor-een-register-van-de-
verwerkingsactiviteiten
14
16. Hoge compliance kosten
- Interne teams register / beleid / Plan Do Check Act
- DPO?
- ICT-maatregelen
- Externe adviseurs
- Trainingen
Voordelen?
Lagere risico’s op inbreuken / dataverlies / reputatieschade
16
17. Potentieel draconische boetes
Maximaal 20 000 000 EUR of tot 4% van de totale wereldwijde jaaromzet!
• Boetes “doeltreffend, evenredig en afschrikwekkend”(art. 83 lid 1)
• Bij boeteoplegging wordt rekening gehouden met tal van factoren:
• opzettelijke / nalatige aard
• schadebeperkingsmaatregelen
• accountability gezien beveiligingsmaatregelen (art. 83 AVG)
• illustreert noodzaak van register / beveiligingsbeleid / datalekkenprotocol
17
18. Potentieel draconische boetes
AP blijkt sinds 1 januari 2016 niet heel ‘triggerhappy’
Echter: De bindende aanwijzing is geen onderdeel AVG en waarschijnlijk ook niet van
de Uitvoeringswet maar: art. 58 biedt die route wel
Strijd met het rechtszekerheidsbeginsel? (Advies Raad van State)
Biedt argument tegen een opgelegde boete bij te goeder trouw interpretatie open
normen
Boete voor bestuurder?
opdracht / feitelijke leiding / maatregelen achterwege laten
(art.5:1 Awb juncto art. 51 Sr.)
18
19. To do
• Startpunt = register van gegevensverwerkingen
• Kijk kritisch naar doel en noodzaak van verwerkingen.
• Kan een doel ook met minder data bereikt worden?
• Check bewaartermijnen
• Is een PIA vereist?
• Check aanwezigheid en inhoud (bewerkings)overeenkomsten:
• Check informatieplichten / procedures voor uitoefening rechten
• Vergeet niet de organisatorische beveiliging / awareness over privacyrecht
• Meld meldingsplichtige inbreuken (implementeer meldingsprotocol)
19
22. Uitvoeringswet
A-typische verordening. Op veel plaatsen wordt ruimte gelaten voor lidstatelijk recht.
Dit recht wordt vastgelegd in de Uitvoeringswet, maar ook in sectorspecifieke
wetgeving.
- Bijvoorbeeld het invullen van de grondslag van wettelijke verplichtingen
- Uitzonderingen op het verbod op verwerking van bijzondere categorieën gegevens
- Mogelijkheid beperking rechten betrokkenen en meldplicht datalekken
- Verwerking BSN nummer
Status Uitvoeringswet: consultatieronde en advies AP achter de rug, het wachten is op
aangepast voorstel
22
23. Toelichting – reactie AP
Art. 6 lid 1 sub c: wettelijke verplichting als grondslag:
Toelichting Uw: doorgaans specifiek vastgelegd, echter: “Denkbaar is ook dat
verwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde
zorgplicht.”
Art. 6 lid 1 sub e: Publiekrechtelijke taak als grondslag
- Toelichting Uw: “voldoende is dat de hoofdlijnen van de publiekrechtelijke taak
kenbaar zijn uit de wet.”
- “Bij typisch bedrijfsmatige handelingen / handelingen die buiten de taak vallen mag
overheidsinstantie zich wel beroepen op grondslag rechtmatig belang.”
AP in advies: Deze onderdelen die niet buiten discussie staan verwijderen uit
toelichting
23
24. Uitzonderingen voor werkgevers
MvT: Materieel zelfde strekking als huidige artikel 21 van de Wbp.
Art, 23 Uitv, Wet: 1. Het verbod om gegevens over gezondheid te verwerken is
om redenen van zwaarwegend algemeen belang als bedoeld in artikel 9, tweede lid,
onderdeel g, van de verordening dan wel om de redenen, bedoeld in artikel 9, tweede
lid, onderdelen b en h, van de verordening, niet van toepassing indien de
verwerking geschiedt door:
werkgevers [..] voor:
1°. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of
collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk
zijn van de gezondheidstoestand van de betrokkene; of
2°. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in
verband met ziekte of arbeidsongeschiktheid.
24
25. Uitzonderingen voor werkgevers
Uitzondering van art. 9 lid 3 AVG:
verwerking voor doeleinde sub h, slechts door of onder verantwoordelijkheid van een
beroepsbeoefenaar of door een andere persoon die krachtens recht of door nationale
bevoegde instanties vastgestelde regels tot geheimhouding is gehouden
Art. 23 lid 2 uitvoeringswet
Indien toepassing wordt gegeven aan het eerste lid worden de gegevens alleen
verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift,
dan wel krachtens een overeenkomst, tot geheimhouding zijn verplicht.
Tekst is echter (ook volgens de AP) onduidelijk. De impasse tav ‘zachte
gezondheidsgegevens wordt met huidige tekst niet opgelost, terwijl de Verordening
die ruimte wel biedt.
25
26. Formele punten
Tegen (boete)besluiten van de AP staat de mogelijkheid van bezwaar en beroep (t/m
RvS) open.
De AP pleit voor 4 gespecialiseerde rechtbanken.
De bindende aanwijzing voorafgaand aan boetes wordt niet gecontinueerd. De AP
wijst er in zijn advies op dat de artikelen 83 en 84 van de Verordening daar ook geen
ruimte voor laten. Wel wijst de AP erop dat de lasten genoemd in art. 58 AVG een
vergelijkbare bevoegdheid opleveren.
Vb.: 58 lid 2 a) waarschuwen dat inbreuk wordt gemaakt b) berispen d) gelasten
verwerkingen in overeenstemming met wet te brengen.
26
28. Still to come: e-privacy Verordening
Specificeert AVG en vult deze aan.
Wijzigingen nog onduidelijk, 25 mei 2018 zal niet worden gehaald.
28
29. Cookies
Huidige cookiewetgeving:
E-privacy Richtlijn, geïmplementeerd in artikel 11.7a Telecommunicatiewet
Geen informatieplicht of toestemmingplicht voor functionele / analytische cookies
- Cookies nodig om de communicatie uit te voeren.
- Cookies strikt noodzakelijk voor een door de gebruiker gevraagde dienst.
- Cookies die tot doel hebben om informatie te verkrijgen over de kwaliteit en/of
effectiviteit van een geleverde dienst (bijvoorbeeld een website) mits geen of
slechts een geringe inbreuk wordt gemaakt op de privacy van de gebruiker. Hierbij
kan gedacht worden aan analytische cookies.
Cookiewall-verbod louter voor overheid en bijvoorbeeld ziekenhuizen (of toch niet?)
29
30. Amendement Parlement
Art. 8
Necessary strictly necessary
Consent specific consent
Necessary for providing an information society service strictly necessary for service
specifically requested
In the context of employment relationships: strictly technically necessary for the
execution of an employee’s task, not further processed for monitoring the employee
Strict cookie-wall ban: No user shall be denied access to any information
society service or functionality, remunerated or not, on the ground of not
gviing consent
30
31. Direct marketing
Tekst Commissie: COM(2017)0010
o. 33 Het is echter redelijk het gebruik van e-mailcontactgegevens binnen de context
van een bestaande klantrelatie toe te staan voor het aanbieden van soortgelijke
producten of diensten. Deze mogelijkheid mag alleen maar openstaan voor dezelfde
onderneming die de elektronische contactgegevens heeft verkregen overeenkomstig
Verordening (EU) 2016/679.
o. 33 Het is echter redelijk het gebruik van e-mailcontactgegevens binnen de context
van een bestaande klantrelatie toe te staan voor het aanbieden van andere
producten of diensten. Deze mogelijkheid mag alleen maar openstaan voor dezelfde
onderneming die de elektronische contactgegevens heeft verkregen overeenkomstig
Verordening (EU) 2016/679.
31
32. Direct marketing
2. Wanneer een natuurlijke of rechtspersoon in het kader van de verkoop van een
product of een dienst van zijn klanten elektronische contactgegevens voor
elektronische post heeft verkregen overeenkomstig Verordening (EU) 2016/679, kan
hij deze elektronische contactgegevens voor direct marketing van soortgelijke eigen
producten of diensten gebruiken mits de klanten duidelijk en expliciet in de
gelegenheid zijn gesteld om kosteloos en op gemakkelijke wijze bezwaar te maken
tegen dit gebruik. Het recht om bezwaar te maken wordt verleend op het tijdstip
van de gegevensverzameling en telkens wanneer een bericht wordt verzonden.
2. Wanneer een natuurlijke of rechtspersoon in het kader van de verkoop van een
product of een dienst van zijn klanten elektronische contactgegevens voor
elektronische post heeft verkregen overeenkomstig Verordening (EU) 2016/679, kan
hij deze elektronische contactgegevens voor direct marketing van eigen producten
of diensten gebruiken mits de klanten duidelijk en expliciet in de gelegenheid zijn
gesteld om kosteloos en op gemakkelijke wijze bezwaar te maken tegen dit gebruik.
De klant wordt in kennis gesteld van het recht om bezwaar te maken en kan
hiervan op eenvoudige wijze gebruik maken op het tijdstip van de
gegevensverzameling en telkens wanneer een bericht wordt verzonden.
32
34. Definitie gezondheidsgegevens in AVG
34
Overweging 35 AVG:
‘Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die
betrekking hebben op de gezondheidstoestand van een betrokkene en die
informatie geven over de lichamelijke of geestelijke gezondheidstoestand
van de betrokkene in het verleden, het heden en de toekomst.’
Artikel 4 AVG:
‘Persoonsgegevens die verband houden met de fysieke of mentale
gezondheid van een natuurlijke persoon, waaronder gegevens over
verleende gezondheidsdiensten waarmee informatie over zijn
gezondheidstoestand wordt gegeven.’
35. Hoe breed dient dit te worden uitgelegd?
Annex Health data apps and devices (2015) (art. 29 Werkgroep): “data
about a person's intellectual and emotional capacity (such as IQ),
information about smoking and drinking habits, membership of an individual
in a patient support group (e.g. cancer support group), Weight Watchers”
Grote gevolgen voor:
• Assessments
• Uitgebreide personeelsdossiers
• Coaching-sessies
• Uitgebreide (Big-data) analyses van werknemersgedrag
35
39. Uitzonderingen voor werkgevers onder AVG
Art. 9
• Uitdrukkelijke toestemming (sub a) (hoewel: overweging 155)
• Uitoefening van specifieke rechten op het gebied van arbeidsrecht voor zover
toegestaan bij lidstatelijk recht (sub b)
• Noodzakelijk voor vitaal belang betrokkene (sub c)
• Door betrokkene duidelijk openbaar gemaakt (sub e)
• Instelling, onderbouwing of uitoefening of verdediging van een rechtsvordering (f)
• Zwaarwegend algemeen belang ogv Unie- of lidstatelijk recht (sub g)
• Arbeidsgeneeskunde /beoordeling arbeidsgeschiktheid medische diagnosen (sub h)
39
41. Oplossingen?
- Specifiek lidstatelijk recht (mede afhankelijk van uiteindelijke Uitvoeringswet)
- Inbouwen extra waarborgen
Gegevens alleen zichtbaar voor bedrijfsarts?
41
Editor's Notes
The European Parliament’s new Special Rapporteur for the proposed ePrivacy Regulation, German MEP Birgit Sippel
“persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, (…)met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”
HvJEU Breyer vs. Duitsland – definitie persoonsgegeven
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
IP adres = adres van een op internet aangesloten apparaat toegekend door ISP
Identificeerbaar
door wie? “alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om de genoemde persoon te identificeren.”
bevel van regionale toezichthoduer tot deactivering van een „fanpagina” (fanpage) op de site van Facebook Ireland Ltd
Dit bevel berust op de vermeende schending van Duitse bepalingen tot omzetting van richtlijn 95/46, met name doordat de bezoekers van een fanpagina niet worden gewaarschuwd dat hun persoonsgegevens door het sociale netwerk Facebook (hierna: „Facebook”) worden verzameld middels het plaatsen van cookies op hun harde schijf, welke verzameling plaatsvindt om gebruikersstatistieken op te stellen voor de beheerder van deze pagina en om Facebook in staat te stellen gerichte advertenties te verspreiden
Wirtschaftsakademie gebruikte deze fanpage om kennelijke interesses van internetgebruikers te identificeren door het observeren van hun surfgedrag.
Een beheerder van een fanpagina is weliswaar vóór alles een gebruiker van Facebook, waarop hij een beroep doet om gebruik te maken van diens tools en aldus te profiteren van een betere zichtbaarheid, maar deze vaststelling sluit niet uit dat hij tevens verantwoordelijk kan worden geacht voor de fase van de verwerking van persoonsgegevens die het voorwerp is van het hoofdgeding, te weten de verzameling van die gegevens door Facebook.
54. Wat de vraag betreft of de beheerder van een fanpagina de doelen van en de middelen voor de verwerking „vaststelt”, moet worden nagegaan of deze beheerder feitelijk of rechtens invloed uitoefent op deze doelen en middelen. Dit onderdeel van de definitie maakt het mogelijk aan te nemen dat de voor de verwerking verantwoordelijke niet degene is die de verwerking van persoonsgegevens verricht, maar degene die de middelen ervoor en de doelen ervan vaststelt.
De beheerder van een fanpagina kan, met behulp van filters, een gepersonaliseerde doelgroep vaststellen, waardoor hij niet alleen de groep personen kan verfijnen onder wie de informatie betreffende zijn handelsaanbod zal worden verspreid, maar vooral de categorieën personen kan aanwijzen wier persoonsgegevens door Facebook zullen worden verzameld. Door het vaststellen van de doelgroep die hij wenst te bereiken identificeert de beheerder van een fanpagina dus tegelijkertijd het publiek waarvan Facebook persoonsgegevens kan verzamelen en vervolgens benutten. Behalve dat hij degene is die een verwerking van dergelijke gegevens op gang brengt wanneer hij een fanpagina maakt, speelt de beheerder van deze pagina dus een dominerende rol bij deze verwerking door Facebook. Hij draagt op die manier bij aan de vaststelling van de middelen voor en de doelen van deze verwerking door hierop een feitelijke invloed uit te oefenen.
moet aldus worden uitgelegd dat een beheerder van een fanpagina op een sociaal netwerk als Facebook een voor de verwerking verantwoordelijke in de zin van deze bepaling is met betrekking tot de fase van de verwerking van persoonsgegevens die bestaat in de verzameling door dit sociale netwerk van gegevens betreffende de personen die deze pagina raadplegen, om gebruikersstatistieken met betrekking tot deze pagina op te stelle=
Verwerkingsdoeleinden, categorieen betrokkenen, ontvangers, doorgiftes, bewaartermijnen, beschrijving beveiliging
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Ik ben ervoor om dit register een prominentere plaats te geven. Het is mijns inziens de essentie van de AVG voor bedrijven. Het biedt inzicht in de verwerkingen, de grondslagen, de bewaartermijnen et cetera.
Discussie over hoe specifiek je moet zijn. Er zijn partijen die daar heel ver in gaan. Op 25 mei moet er in ieder geval een goede basis staan als volledige invulling niet haalbaar is, die dan vervolgens kan worden aangevuld. Het is immers een levend document.
Belangrijke vraag is: hoe krijg je dit goed ingevuld? Doe je het aan de hand van ICT applicaties / aan de hand van bedrijfsonderdelen aan de hand van questionnaires naar de managers. Snappen de managers de questionnaires?
Verwerkingsdoeleinden, categorieen betrokkenen, ontvangers, doorgiftes, bewaartermijnen, beschrijving beveiliging
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
In het strafrecht en het bestuurlijk boeterecht kunnen naast de rechtspersoon in voorkomend geval ook de bestuurders van die rechtspersoon worden bestraft. Zij kunnen aansprakelijk worden gesteld wegens feitelijk leiding geven aan de verboden gedragingen van hun rechtspersoon. De wettelijke regeling spreekt daarbij geen voorkeur uit: de strafvervolging of bestuurlijke beboeting kan zich derhalve richten op de rechtspersoon, op de bestuurder(s) of op beide(n) tezamen.
In het civiele recht geldt daarentegen wèl een duidelijke voorkeur in de aansprakelijkstelling. Zie bijvoorbeeld HR 6 februari 2015, ECLI:NL:HR:2015:246. Indien de rechtspersoon een onrechtmatige daad heeft gepleegd doordat hij zijn wettelijke verplichtingen niet is nagekomen, geldt als uitgangspunt dat alleen de rechtspersoon zelf aansprakelijk is voor daaruit voortvloeiende schade. Slechts onder bijzondere omstandigheden bestaat ruimte voor bestuurdersaansprakelijkheid. Aan de bestuurder moet een ernstig en persoonlijk verwijt kunnen worden gemaakt. In het bijzonder is vereist dat hij wist of redelijkerwijze had behoren te begrijpen dat schade zou optreden waarvoor de rechtspersoon geen verhaal zou bieden. Daarmee ligt de lat voor bestuurdersaansprakelijkheid in het civiele recht hoger dan in het strafrecht en het bestuurlijk boeterecht.
Zoals terecht opgemerkt door AFM gaat het om een additionele en discretionaire bevoegdheid: de mogelijk op te leggen boete aan een feitelijk leidinggevende komt naast, niet in de plaats van de boete die aan de normadressant kan worden opgelegd.”
Bij een rechtspersoonlijkheid bezittende onderneming is de rechtspersoon de verantwoordelijke in de zin van de Wbp. Aangezien de verantwoordelijke in de zin van de Wbp de drager is van rechten en verplichtingen, ligt het voor de hand dat het Cbp in geval van overtreding door een rechtspersoon (verantwoordelijke) de rechtspersoon daarvoor een bestuurlijke boete oplegt. Dit neemt echter niet weg dat daarnaast of plaats daarvan natuurlijke personen binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden. Deze natuurlijke personen kunnen bestuurders zijn van de onderneming, maar het kunnen ook andere personen zijn binnen de organisatie.
Zonder het expliciet te noemen verwijst de regering naar het strafrechtelijke Slavenburg II-arrest waarin de Hoge Raad heeft bepaald dat indien een functionaris, hoewel daartoe bevoegd en redelijkerwijs gehouden (het machtscriterium), maatregelen ter voorkoming van strafbare gedragingen achterwege laat en bewust de aanmerkelijke kans aanvaardt dat de verboden gedragingen zich zullen voordoen (het aanvaardingscriterium), hij geacht wordt opzettelijk de verboden gedragingen te hebben bevorderd.
Wie betaalt de boete?
De regering wijst verder op de mogelijkheid dat een (arbeids)overeenkomst tussen een bestuurder en de organisatie waarin staat dat een boete van de Autoriteit Persoonsgegevens toch door de rechtspersoon zal worden vergoed, in strijd zou kunnen zijn met de openbare orde en daarmee nietig zou kunnen zijn. De regering is hier echter niet stellig in en is dan ook van mening dat het aan de rechter is om zich hierover uit te laten:
De regering wijst er tot slot nog op dat het in de praktijk waarschijnlijker is dat een boete wordt opgelegd aan de rechtspersoon dan aan een bestuurder. “Het beboeten van feitelijk leidinggevenden of feitelijke opdrachtgevers brengt immers een zwaardere bewijslast mee omdat de toezichthouder aannemelijk moet maken dat de natuurlijke persoon daadwerkelijk feitelijk leiding heeft gegeven of feitelijk opdracht heeft gegeven tot het verrichten van de verboden gedraging en heeft nagelaten om maatregelen te treffen om de verboden gedraging te voorkomen.” Dit neemt echter niet weg dat de kans dus wel bestaat dat de Autoriteit Persoonsgegevens de boete aan een bestuurder oplegt. Daarnaast kan de rechtspersoon besluiten de bestuurder (intern) aansprakelijk te stellen voor de schade als gevolg van overtreding van de privacywetgeving. Tot slot, kunnen ook de personen wiens persoonsgegevens onrechtmatig zijn verwerkt of zelfs gelekt, besluiten om een bestuurder persoonlijk aansprakelijk te stellen.
Artikel 5:1
Vergelijk versies
Opslaan
Relaties (...)(Externe link)
Permanente link
1 In deze wet wordt verstaan onder overtreding: een gedraging die in strijd is met het bepaalde bij of krachtens enig wettelijk voorschrift.
2 Onder overtreder wordt verstaan: degene die de overtreding pleegt of medepleegt.
3 Overtredingen kunnen worden begaan door natuurlijke personen en rechtspersonen. Artikel 51, tweede en derde lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.
Indien een strafbaar feit wordt begaan door een rechtspersoon, kan de strafvervolging worden ingesteld en kunnen de in de wet voorziene straffen en maatregelen, indien zij daarvoor in aanmerking komen, worden uitgesproken:
1°. tegen die rechtspersoon, dan wel
2°. tegen hen die tot het feit opdracht hebben gegeven, alsmede tegen hen die feitelijke leiding hebben gegeven aan de verboden gedraging, dan wel
3°. tegen de onder 1° en 2° genoemden te zamen.
De afdeling wijst erop dat het in de Wbp over vrijwel de gehele linie gaat om zeer vage normen, waarover relatief weinig rechtspraak bestaat. De afdeling acht de mogelijkheid om onder dergelijke omstandigheden zonder meer een bestuurlijke boete op te leggen ongewenst.
AP is strenger in de leer dan de Nederlandse wetgever.
b. Verwerking noodzakelijk is voor de uitvoering van verplichtingen en uitoefening van specifieke rechten op het gebied van het arbeidsrecht en socialezekerheidsrecht en sociale beschermingsrecht;
g. De verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens
wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
h. De verwerking noodzakelijk is voor doelen van preventieve of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, verstrekken van gezondheidszorg of sociale diensten, op grond van Uniewetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid;
Met het oog op de veiligheid is het heel gebruikelijk binnen de zeescheepvaart, dat zee-werkgevers een alcohol- en drugspolicy hanteren, waarbij de zeevarenden ad random worden getest op alcohol- of druggebruik (denk aan blaastesten, urinetesten, bloedtesten en speekseltesten).
Met het oog op de veiligheid is het heel gebruikelijk binnen de zeescheepvaart, dat zee-werkgevers een alcohol- en drugspolicy hanteren, waarbij de zeevarenden ad random worden getest op alcohol- of druggebruik (denk aan blaastesten, urinetesten, bloedtesten en speekseltesten).
In het lidstatelijke recht of in specifieke overeenkomsten kunnen specifieke regels worden vastgesteld voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding met name voor de voorwaarden waaronder persoonsgegevens in de arbeidsverhouding op basis van toestemming mogen worden verwerkt.