dutch: social media & privacy for companies
TRANSCRIPT
!SOCIAL MEDIA & PRIVACY
VOOR BEDRIJVEN !
We starten het webinar om 11.00 uur. Geniet tot die tijd van de muziek en introduceer jezelf in de chat. !
!!
Stel je vragen direct in de chat of op Twitter #komfowebinar!!
Social Media & Privacy voor bedrijven!
SPREKERS!
Theo Reichgelt!Country Manager!2DiALOG!
Wietje de Muinck Keizer!Advokaat!Doorn en Keizer!
Vera Verkooijen!Partner Relations & Events!Komfo!
Privacy and employment law matters!
Praktisch en strategisch maatwerk voor arbeidsrecht en privacyrecht met een internationale component
Social Media & Privacy voor bedrijven!
AGENDA!!1. Overzicht privacywetgeving (Doorn en Keizer)!
2. Wet bescherming persoonsgegevens (Doorn en Keizer)!
3. Vrijstellingsbesluit (Doorn en Keizer)!
4. Wet- en regelgeving in de praktijk (2DiALOG)!
5. Internationale doorgifte (Doorn en Keizer)!
6. Privacy compliance (Doorn en Keizer)!
7. Cases Facebook en Google (2DiALOG)!
8. Privacy Verordening (Doorn en Keizer)!
Social Media & Privacy voor bedrijven!
1. OVERZICHT PRIVACYWETGEVING!Bronnen Privacyrecht
Europees niveau Na4onaal niveau
Grondrecht privacy Ar$kel 8 Europees Verdrag voor de Rechten van de Mens (EVRM) Ar$kelen 7 (respect for private and family life) en 8 (protec$on of personal data) van het Handvest van de grondrechten van de Europese Unie
Ar$kel 10 Grondwet (Gw)
Wet-‐en regelgeving Europese richtlijnen 95/46/EG (Privacy richtlijn) en 2002/58/EG (privacy en elektronische iommunica$e)
Wet bescherming persoonsgegevens (Wbp) en Vrijstellingsbesluit (Vb) Telecommunca$ewet
Beleid, adviezen en richtlijnen, handhaving
Ar$kel 29 Werkgroep hQp://ec.europa.eu/jus$ce/data-‐protec$on/ar$cle-‐29/documenta$on/opinion-‐recommenda$on/index_en.htm
College Bescherming Persoonsgegevens (CBP) www.cbpweb.nl Func$onaris voor de gegevensbescherming Minister van Veiligheid en Jus$$e Autoriteit Consument en Markt Ministerie van Economische Zaken
Rechtspraak Europees Hof voor de Rechten van de Mens (EHRM) Hof van Jus$$e van de Europese Unie (HvJEU)
Na$onale Rechter
Wijzigingen? Voorstel Algemene verordening gegevensbescherming 2012/0011, COD (Privacy verordening)
Aangekondigde wetswijziging: o.a. naamswijziging CBP naar Autoriteit persoonsgegevens + melding data lekken
Social Media & Privacy voor bedrijven!
OVERZICHT PRIVACYWETGEVING!Voorbeelden HvJEU 13 mei 2014
Google Spain vs Mario Costeja González Recht om vergeten te worden door online zoekmachine?
Ar4kel 29 Werkgroep (Ar4cle 29 Working Party)
-‐ Guidelines on the implementa$on of the court judgment Google Spain vs Mario Costeja González, C-‐131/12
-‐ Opinion 9/2014 on the applica$on of Direc$ve 2002/58/EC to device fingerprin$ng
-‐ Working Document 02/2013 providing guidance on obtaining consent for cookies
-‐ Opinion 02/2013 on apps on smart devices -‐ Opinion 05/2012 on Cloud Compu$ng -‐ Opinion 02/2012 on facial recogni$on in online and mobile
services -‐ Opinion 2/2010 on online behavioural adver$sing -‐ Opinion 5/2009 on online social networking
Social Media & Privacy voor bedrijven!
OVERZICHT PRIVACYWETGEVING!Voorbeelden
CBP (College Bescherming Persoonsgegevens)
-‐ Wetgevingsadvies aanpassing cookiebepaling (2013) m.b.t. per 11 maart jl. ingevoerde gewijzigde cookiewetgeving
-‐ Richtsnoeren: bijv. beveiliging van persoonsgegevens (2013) en publica$e van persoonsgegevens op internet (2007)
-‐ Gedragscodes -‐ Zienswijzen: bijv. cloud compu$ng (2012) -‐ Register zwarte lijsten
Sog rules
ENISA (European Union Agency for Network and Informa$on Security www.enisa.europa.eu
-‐ Privacy and Data Protec$on by Design -‐ from policy to engineering (2015)
-‐ Online as soon as it happens (2011)
Europees adviesorgaan
NVP (Nederlandse Vereniging voor Personeelsmanagement & Organisa$eontwikkeling) www.nvp-‐plaza.nl
-‐ Sollicita$ecode Sog rules
DDMA (Dutch Dialogue Marke$ng Associa$on) hQps://ddma.nl
-‐ DDMA Code Privacy -‐ DDMA Code Social Media -‐ DDMA Code E-‐mail
Sog rules
Social Media & Privacy voor bedrijven!
2. WET BESCHERMING PERSOONSGEGEVENS!
Belangrijke defini4es Uitleg Voorbeelden
Persoonsgegevens (ar4kel 1 sub a Wbp)
“Elk gegeven betreffende een geïden$ficeerde of iden$ficeerbare natuurlijke persoon”
Wel: naw-‐gegevens, video-‐opname, ziekteverzuim Niet: geaggregeerde gegevens over ziekteverzuim binnen onderneming
Bijzondere persoonsgegevens (ar4kel 16 Wbp)
“Godsdienst of levensovertuiging Ras Poli$eke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vereniging Strafrechtelijk verleden”
Foto’s, voor ras bijv. gegevens omtrent huidskleur, apomst en na$onale of etnische afstamming, voor gezondheid bijv. alle gegevens die de geestelijke of lichamelijke gezondheid persoon betreffen en voor strafrechtelijke gegevens veroordelingen en gegronde verdenkingen.
Betrokkene (ar4kel 1 sub f Wbp)
“degene op wie een persoonsgegeven betrekking heeg”
Consument, klant, abonnee, werknemer
Gebruiker (art. 1.1 sub n Telecommunica4ewet)
“natuurlijk persoon of rechtspersoon die gebruik maakt van of verzoekt om een openbare elektronische communica$edienst”
Consument, klant, abonnee (ook bedrijven)
Social Media & Privacy voor bedrijven!
Belangrijke defini4es Uitleg Voorbeelden
Verwerking (ar4kel 1 sub b Wbp)
“elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in elk geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede afschermen, uitwissen of vernie$gen van gegevens”
Kortom: alle handelingen met persoonsgegevens vanaf het verzamelen tot en met het vernie$gen.
Verantwoordelijke (ar4kel 1 sub d Wbp)
“de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”
Kortom: degene die bepaalt dat er persoonsgegevens verwerkt worden en de manier waarop.
Bewerker (ar4kel 1 sub e Wbp)
“degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen”
Salarisadministra$ekantoor
WET BESCHERMING PERSOONSGEGEVENS!
Social Media & Privacy voor bedrijven!
Reikwijdte en normen Wbp
Uitleg Voorbeelden
Reikwijdte -‐ geheel of gedeeltelijk geautoma$seerde verwerkingen; en
-‐ niet geautoma$seerde verwerkingen die in een bestand zijn opgenomen of daartoe bestemd zijn
Persoonlijke aantekening van HR manager $jdens een func$oneringsgesprek valt niet onder de reikwijdte Wbp, tenzij deze krabbel in het personeels-‐dossier van werknemer verdwijnt.
Materiële normen
-‐ Basisnorm (art. 6 Wbp) -‐ Doelbinding (art. 7 Wbp) -‐ Grondslagen (art. 8 Wbp) -‐ Verenigbaar gebruik (art. 9 Wbp) -‐ Bewaartermijn (art. 10 Wbp) -‐ Kwaliteitseisen (art. 11 Wbp)
Art.7 Wbp: welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden!
WET BESCHERMING PERSOONSGEGEVENS!
Social Media & Privacy voor bedrijven!
Materiële normen Wbp
Uitleg Voorbeelden
Rechtma4ge grondslagen verwerking (art. 8 Wbp)
-‐ Ondubbelzinnige toestemming -‐ Noodzakelijk voor de uitvoering van een
(arbeids)overeenkomst/precontractuele maatregelen
-‐ Noodzakelijk voor het nakomen van weQelijke verplich$ng
-‐ Noodzakelijk voor vrijwaring vitaal belang betrokkene
-‐ Noodzakelijk voor de behar$ging van het gerechtvaardigd belang van het bedrijf of derde
Kwaliteitseisen verwerking (art. 11 Wbp)
-‐ Toereikend -‐ Ter zake dienend -‐ Niet bovenma$g -‐ Juist en nauwkeurig
Bewaartermijn (art. 10 Wbp)
“Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden”
Intranet (2 jaar na einde dienstverband, ar$kel 38a Vrijstellingsbesluit) en informa$eblad CBP bewaartermijnen uit specifieke wetgeving
WET BESCHERMING PERSOONSGEGEVENS!
Social Media & Privacy voor bedrijven!
Bijzondere persoons-‐ gegevens
Uitleg Voorbeelden
Verbod (art. 16-‐23 Wbp)
Verwerking van bijzondere persoonsgegevens is verboden, tenzij: a. een uitzondering geldt o.g.v. ar$kel 17-‐22 Wbp; b. uitdrukkelijke toestemming van de betrokkene; c.de gegevens door de betrokkene duidelijk openbaar zijn gemaakt; d. noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of e. noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde en het vragen van diens uitdrukkelijke toestemming onmogelijk blijkt
Ras: slechts indien a. met het oog op de iden$fica$e van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is; b. met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte posi$e toe te kennen ten einde feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen en slechts onder voorwaarden.
WET BESCHERMING PERSOONSGEGEVENS!
Social Media & Privacy voor bedrijven!
Plichten en rechten Wbp
Uitleg Voorbeelden
Rechten betrokkene
-‐ Recht op inzage (art. 35 Wbp) -‐ Recht op correc$e (art. 36 Wbp) -‐ (Beperkt) Recht van verzet (art. 40 Wbp)
Plichten verantwoordelijke
-‐ Mededelingsplicht aan betrokkene: doel, iden$teit en nadere gegevens:
* gegevens verkregen bij betrokkene zelf (art. 33 Wbp): vóór verkrijging; * gegevens verkregen bij derden: bij vastlegging of 1e verstrekking aan derde -‐ Meldingsplicht verwerking (bij CBP of func$onaris
voor de gegevensbescherming, ar$kel 27-‐30 Wbp): > tenzij Vrijstellingsbesluit (art. 31-‐38 Vb) > voorafgaand onderzoek (art. 31 e.v. Wbp)
Uitzonderingen mededelingsplicht: -‐ al bekend; -‐ indien mededeling van de
informa$e aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.
-‐ indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven.
WET BESCHERMING PERSOONSGEGEVENS!
Social Media & Privacy voor bedrijven!
Handhaving Wbp Uitleg Aandachtspunten
Toezichthouder -‐ CBP (art. 51 e.v. Wbp) -‐ Func$onaris voor de gegevensbescherming (art. 62 e.v. Wbp)
Wetswijziging: Autoriteit persoonsgegevens.
Sanc4es -‐ Last onder bestuursdwang (art. 65 Wbp) -‐ Bestuurlijke boeten* (art. 66 Wbp)
Wetswijziging: max. boete van € 4.500 naar min. € 20.250 tot max. € 810.000 of 10% jaaromzet.
Strafrechter Strafrechtelijke san$es (art. 75 Wbp): -‐ strijd met ar$kel 4, derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid Wbp (overtreding). -‐ opzet: strafverhogend (misdrijf).
-‐ Geldboete van de derde categorie -‐ Gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie
Civiele rechter Bv. strijd met weQelijke of contractuele verplich$ng of onrechtma$ge daad
Schadevergoeding
WET BESCHERMING PERSOONSGEGEVENS!
Social Media & Privacy voor bedrijven!
3. VRIJSTELLINGSBESLUIT
!Vrijstellingsbesluit Uitleg Voorbeelden
Omschrijving per categorie
-‐ de doeleinden van de vrijgestelde verwerkingen
-‐ de verwerkte gegevens of categorieën van gegevens
-‐ de categorieën van betrokkenen -‐ de ontvangers of categorieën van
ontvangers aan wie gegevens worden verstrekt
-‐ maximale bewaarperiode
Social Media & Privacy voor bedrijven!
VRIJSTELLINGSBESLUIT
!Vrijstellingsbesluit Uitleg Voorbeelden Vrijgestelde categorieën Paragraaf 2. Arbeid en pensioen
-‐ Sollicitanten -‐ Personeelsadministra$e Paragraaf 7. Archieven en onderzoek -‐ Wetenschappelijk onderzoek en sta$s$ek (art. 38 Vb) Paragraaf 8. Beheer en beveiliging -‐ Documentenbeheer (art. 31 Vb) -‐ Netwerksystemen (art. 32 Vb) -‐ Computersystemen (art. 33 Vb) -‐ Communica4eapparatuur (art. 34 Vb) -‐ Toegangscontrole (art. 35 Vb) -‐ Overig intern beheer (art. 36 Vb) -‐ Bezoekersregistra$e (art. 37 Vb) -‐ Videocameratoezicht (art. 38 Vb) -‐ Intranet (art. 38a Vb) -‐ Persoonlijke websites (art. 38b Vb)
o.m.: verwerkingen ten dienste van het interne beheer van de organisa$e van de verantwoordelijke, zoals verwerkingen met betrekking tot netwerk-‐ en computersystemen, communica$eapparatuur en toegangscontrole.
Social Media & Privacy voor bedrijven!
4. WET- EN REGELGEVING IN DE PRAKTIJK!
• Reclamecode social media!• www.reclamecode.nl!
Social Media & Privacy voor bedrijven!
WET-EN REGELGEVING IN DE PRAKTIJK!
à Publiceer de voorwaarden voor deelname aan social media campagnes!
à Houdt je aan de algemene voorwaarden van de kanalen!
Social Media & Privacy voor bedrijven!
5. INTERNATIONALE DOORGIFTE
!Interna4onale doorgi`e Wbp
Uitleg Voorbeelden
Doorgi`e binnen Europa
-‐ WBP: geen aparte bepalingen -‐ O.b.v. privacy richtlijn: gelijkwaardige
bescherming in de lidstaten -‐ Geen bijzondere vereisten, normale vereisten
van WBP
Verstrekking/bewaring personeelsgegevens dochter aan/door buitenlandse moeder
Doorgi`e buiten Europa
-‐ Eigenlijk EER: Noorwegen, IJsland en Liechtenstein
-‐ WBP: specifieke bepalingen art. 76-‐78 -‐ Doorgige: is ter kennis brenging aan persoon
buiten rechtsmacht EU lidstaat -‐ Doorgige alleen mogelijk als: > land dat “passend beschermingsniveau” waarborgt (art. 76 lid 1 Wbp) > een uitzonderingsgeval van toepassing (art. 77 lid 1 WBP) > vergunning Minister van Jus$$e met voorschrigen (art. 77 lid 2 Wbp) > Binding Corporate Rules
Safe Harbor, www.export.gov/safeharbor Uitzonderingen (art. 77 lid 1 Wbp) m.n.: -‐ ondubbelzinnige toestemming -‐ overeenkomst -‐ modelcontracten
Social Media & Privacy voor bedrijven!
6. PRIVACY COMPLIANCE
!Handhaving privacywetgeving binnen onderneming
Uitleg Voorbeelden
Analyse bedrijfsprocessen
-‐ In kaart brengen verwerking persoonsgegevens
-‐ privacy’s risico’s en oplossingen -‐ (interna$onale) doorgige van
persoonsgegevens -‐ verdelen van taken en verantwoordelijke -‐ melding en onderzoek van incidenten
Kenbaarheid Vergroten kenbaarheid/bewustzijn regels (bijv. verschil regels per EU land) en compliance dmv training.
Beleidsvorming -‐ Invoering IT en social media code met richtlijnen/privacy statements (op en buiten werkplek, rich$ng klanten, etc.)
-‐ Handhaven, monitoren en evalua$e van beleid
Social Media & Privacy voor bedrijven!
7. CASE: FACEBOOK!
à Facebook’s data policy!– http://www.facebook.com/policy!
à Download je Facebook data!
à Topic data!
à Privacy voorwaarden!
Social Media & Privacy voor bedrijven!
CASE: GOOGLE!
à Privacy voorwaarden google in strijd met de Nederlandse wet!
Social Media & Privacy voor bedrijven!
8. PRIVACY VERORDENING !Voorbeelden Uitleg Verordening -‐ Verordening werkt rechtstreeks en uniform
-‐ Geen lappendeken aan na$onale weQen ter bescherming van persoonsgegevens.
Toezichthouder -‐ 1 interna$onale toezichthouder? -‐ Geen meldingsplicht, maar alle verwerkingen gedetailleerd documenteren en op
verzoek toezichthouder inzage geven. Ook moet verantwoordelijke compliance kunnen aantonen. Ten aanzien van nieuwe verwerkingen moet verantwoordelijke analyseren of deze een privacyeffectbeoordeling (of Privacy Impact Assessment) behoeven of zelfs aan voorafgaand onderzoek of voorafgaande goedkeuring door de toezichthouder moeten worden onderworpen.
-‐ Verplicht func$onaris voor de gegevensbescherming. Europese Commissie (EC): minstens 250 werknemers. Echter, Europees Parlement (EP) kiest ander criterium: aantal betrokkenen, gegevens van meer dan 5.000 personen verwerkt gedurende een achtereenvolgende periode van 12 maanden.
Verplich4ngen -‐ Meldplicht datalekken, verplich$ng inbreuk op beveiliging van persoonsgegevens, met vernie$ging, verlies, wijziging of ongeoorloofde verstrekking of toegang tot gevolg.
Social Media & Privacy voor bedrijven!
PRIVACY VERORDENING !Voorbeelden Uitleg
Rechten -‐ Informa$eplicht wordt uitgebreid. Betrokkenen moeten op een duidelijke, eenvoudig toegankelijke en begrijpelijke manier worden geïnformeerd over de gegevensverwerking en hun rechten (eerst simplis$sche iconen, vervolgens gedetailleerde informa$e, enz.).
-‐ Er moeten procedures zijn voor uitoefening rechten, zoals het inzage-‐ en correc$erecht, maar ook voor nieuwe rechten: het recht om ‘te worden vergeten’ en het recht om gegevens te laten wissen.
-‐ het recht toe om niet te worden onderworpen aan maatregelen gebaseerd op profilering. Profilering of gebruik voor secundaire doeleinden is niet toegestaan.
Interna4onale doorgi`e
-‐ EC: naar landen buiten de EU vereenvoudigen. -‐ EP: Snowden affaire met NSA prak$jken, wil juist einde aan Safe Harbor.
Sanc4es -‐ EC: hoogste boete bedraagt € 1 miljoen of 2% van de wereldwijde omzet van een onderneming.
-‐ EP: boete verhogen tot € 100 miljoen of tot 5% van de jaarlijkse wereldwijde omzet van een onderneming, azankelijk van welk bedrag hoger is.
Social Media & Privacy voor bedrijven!
KEY TAKE AWAYS!à Privacy law matters!!!à Houd naast de toezichthouder nationale privacywetgeving ook
rekening met de internationale toezichthouder!!à Compliance begint intern met beleid en handhaving daarvan!!à Leer van de fouten van Facebook of Google!!à Houd de (internationale) ontwikkelingen omtrent de Privacy Verordening in de gaten!
!
Social Media & Privacy voor bedrijven!
VRAGEN?!
Theo Reichgelt! [email protected]!
@2dialognl!@theoreichgelt!
Wietje de Muinck [email protected]!
www.denklaw.nl!
Vera [email protected]!
@komfo!@salute_vera!