omgaan met verwerkers

Download Omgaan met verwerkers

Post on 21-Jan-2018

226 views

Category:

Law

0 download

Embed Size (px)

TRANSCRIPT

  1. 1. Omgaan met verwerkers Johan Vandendriessche Partner | Erkelens Law Visiting Professor ICT & Data Protection Law | UGent | HoWest
  2. 2. HET BEGRIP VERWERKER Verwerker een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken Handhaving van definitie van Richtlijn 1995/46/EG Interpretatie Artikel 29 Werkgroep blijft relevant Verwerker is doorgaans dienstverlener [Title]
  3. 3. TOEPASSING VAN DE AVG Fundamentele wijziging in AVG t.o.v. Richtlijn 1995/46/EG Persoonlijk toepassingsgebied wordt radicaal uitgebreid Inhoudelijk eerder een evolutie Toepassingsgebied uitgebreid naar verwerkers Materieel toepassingsgebied Territoriaal toepassingsgebied Gevolg Rechtstreekse wettelijke verplichtingen in hoofde van de verwerker Rechtstreekse toepassing van het aansprakelijkheidsregime op verwerkers Accountability niet van toepassing op verwerkers [Title]
  4. 4. TOEPASSINGSGEBIED Territoriaal toepassingsgebied indien vestiging in EU de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerker in de EU ongeacht of de verwerking in de EU al dan niet plaatsvindt Territoriaal toepassingsgebied indien vestiging buiten EU de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden door een niet in de EU gevestigde verwerker wanneer de verwerking verband houdt met: het aanbieden van goederen of diensten aan deze betrokkenen in de EU, ongeacht of een betaling door de betrokkenen is vereist het monitoren van hun gedrag, voor zover dit gedrag in de EU plaatsvindt. [Title]
  5. 5. VERPLICHTINGEN VAN DE VERWERKER Schriftelijke aanstelling van een vertegenwoordiger indien niet gevestigd in de EU Niet voor incidentele verwerkingen Niet voor overheidsinstanties of organen Overeenkomst Verwerkingsverantwoordelijke Sub-verwerkers Modalisering van de aanstelling van sub-verwerkers Bijhouden van een register van verwerkingsactiviteiten Bijstandsverplichting t.a.v. de verwerkingsverantwoordelijke Medewerkingsplicht t.a.v. de toezichthoudende overheid Beveiligingsplicht Meldingsplicht inzake inbreuken in verband met persoonsgegevens [Title]
  6. 6. MODALISERING AANSTELLING SUB-VERWERKERS Beperking keuzevrijheid sub-verwerkers Voorafgaande toestemming van verwerkingsverantwoordelijke Specifiek Algemeen Bij aanpassing: informatie over beoogde verandering Mogelijkheid van bezwaar in hoofde van verwerkingsverantwoordelijke Impact of standaarddiensten? Doorschuiven van contractuele verplichtingen ononderbroken ketting van verwerkersovereenkomsten [Title]
  7. 7. REGISTER VERWERKINGSACTIVITEITEN Inhoud Naam en contactgegevens Verwerker Iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt Vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker Functionaris voor gegevensbescherming; Categorien van verwerkingen Indien van toepassing, doorgiften van persoonsgegevens aan een derde land en de documenten inzake de passende waarborgen Indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen Vorm Schriftelijk of elektronisch [Title]
  8. 8. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Keuze van de verwerker Beperking in hoofde van de verwerkingsverantwoordelijke Verwerkers die afdoende garanties bieden Passende technische en organisatorische maatregelen Voldoen aan vereisten van de AVG en de bescherming van de rechten van de betrokkene Ruimer dan loutere beveiliging Concrete toepassing Evaluatie in de context van de selectieprocedure Certificatie Gedragscodes Documentatie is aangewezen (beginsel van aantoonbare naleving in hoofde van de verwerkingsverantwoordelijke) [Title]
  9. 9. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Verplichte aanwezigheid van overeenkomst of bindende rechtshandeling Formele vereisten Inhoudelijke vereisten Formele vereisten Schriftelijk of in elektronische vorm Onderscheid is niet relevant in Belgisch recht Artikel XII.15 WER (geschrift) een opeenvolging van verstaanbare tekens die toegankelijk zijn voor een latere raadpleging, welke ook de drager en de transmissiemodaliteiten ervan zijn [Title]
  10. 10. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Inhoudelijke vereisten Omschrijving hoofdelementen overeenkomst het onderwerp en de duur van de verwerking de aard en het doel van de verwerking het soort persoonsgegevens en de categorien van betrokkenen de rechten en verplichtingen van de verwerkingsverantwoordelijke Praktische tip: zorg ervoor dat deze omschrijving kan gewijzigd worden zonder proces contractwijziging Naleving van deze bepaling is niet steeds voor de hand liggend Hosting van gencrypteerde gegevens Hosting van niet-gestructureerde data Impact op vrijstelling aansprakelijkheid hosting (artikel XII.19 WER)? Overweging 21 bij AVG Artikel 2, 4 AVG [Title]
  11. 11. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Inhoudelijke vereisten Uitdrukkelijke bepaling: Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling) Informatieplicht inzake onwettelijke instructies Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk) Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene Beveiligingsplicht Retransitieverplichting bij einde overeenkomst Terbeschikkingstelling informatie en bijstand bij audits Regeling aanstelling sub-verwerkers [Title]
  12. 12. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Verwerking uitsluitend op basis van schriftelijke instructies, behoudens wettelijke verplichting (mits voorafgaande kennisgeving van wettelijke bepaling) Informatieplicht inzake onwettelijke instructies zal hij enkel de persoonsgegevens verwerken (i) volgens de algemene of specifieke schriftelijke instructies van de Klant of, (ii) voor zover dit nodig zou zijn (en enkel in de mate dat het nodig is), om de Diensten onder deze overeenkomst te kunnen uitvoeren of (iii) voor zover noodzakelijk op grond van een wettelijke verplichting, met dien verstande dat de Dienstverlener in dat geval voor zover mogelijk de Klant zal inlichten inform the Data Controller immediately if it believes that any instruction from the Data Controller infringes applicable data protection legislation and regulations [Title]
  13. 13. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Vertrouwelijkheid in hoofde van tussenkomende personen (contractueel of wettelijk) ensure that access, inspection, processing and provision of the personal data shall take place only in accordance with the need-to- know principle, i.e. information shall be provided only to those persons who require the personal data for their work in relation to the performance of the Services not disclose the personal data to any person other than to its personnel as necessary to perform its obligations under the Agreement and ensure that such personnel is subject to statutory or contractual confidentiality obligations [Title]
  14. 14. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Passende technische en organisatorische maatregelen om bijstand te verlenen bij uitoefening rechten betrokkene de Klant onmiddellijk inlichten omtrent elk verzoek van betrokkenen of elke uitoefening van wettelijke rechten door de betrokkenen en de Klant alle nodige medewerking verlenen zodat de Klant eraan kan voldoen alle nodige bijstand aan de Klant verlenen, teneinde de Klant in staat te stellen haar verplichtingen uit de AVG na te leven, waaronder mogelijkerwijze, doch niet beperkt tot, het bijhouden van een verwerkingsregister, het uitvoeren van een gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging [Title]
  15. 15. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Beveiligingsplicht gepaste technische en organisatorische maatregelen nemen om een veiligheidsniveau te garanderen dat is aangepast aan het risico; de Dienstverlener zal op regelmatige basis het gepaste karakter van de beveiligingsmaatregelen verifiren en zonodig bijkomende veiligheidsmaatregelen implementeren om steeds het passend veiligheidsniveau te blijven garanderen. Voor zover de lijst van veiligheidsmaatregelen niet werd opgelijst in de Overeenkomst, zal de Dienstverlener op elk ogenblik op eerste verzoek van de Klant de lijst van genomen maatregelen overmaken [Title]
  16. 16. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Retransitieverplichting bij einde overeenkomst na afloop van de Overeenkomst of, indien eerder, de betreffende Diensten, naar keuze van de Klant, alle persoonsgegevens wissen, dan wel aan de Klant terugbezorgen, behoudens wettelijke bewaarplicht en behoudens andere contractuele bepalingen in deze Overeenkomst [Title]
  17. 17. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Terbeschikkingstelling informatie en bijstand bij audit alle informatie verstrekken die nodig is om de naleving van de in dit artikel vermelde verplichtingen aan te tonen en volledige medewerking verlenen aan audits van de Klant en/of de toezichthoudende autoriteit alle medewerking verlenen aan de toezichthoudende autoriteit vanaf 25 mei 2018, een register van verwerkingen bijhouden in de zin van artikel 30 van de Algemene Verordening Gegevensbescherming en de relevante uittreksels uit dit register op eerste verzoek aan de Klant meedelen [Title]
  18. 18. CONTRACTUELE ASPECTEN VAN DE SAMENWERKING MET EEN VERWERKER Regeling aanstelling sub-verwerkers refrain from engaging another data processor without the prior written agreement of the Data Controller The Data Proces