“Duitse AVG”: de plichten van een verwerkings-verantwoordelijke

De verwerkings-verantwoordelijke, een persoon, een bedrijf of instantie, is verplicht persoonsgegevens te beschermen en de gegevensbewerking op gepaste wijze te beveiligen

“Duitse AVG”: de plichten van een verwerkings-verantwoordelijke

Wie is er verantwoordelijk in het geval van een inbreuk op de Duitse privacy-wetgeving, de Datenschutz-Grundverordnung (DS-GVO)? In de wet wordt steeds gesproken van een “verantwoordelijke”.

Hij is overeenkomstig de “Duitse AVG” diegene, die verantwoordelijk is voor de naleving van de richtlijnen inzake gegevensbescherming. De verantwoordelijke moet er op toezien dat de verwerking van persoonsgegevens conform de wet plaatsvindt.

Wie is deze verantwoordelijke? Een verantwoordelijke inzake gegevensbescherming is in principe de natuurlijke of juridische persoon, overheidsinstantie of instelling, die de beslissingsbevoegdheid inzake de verwerking van persoonsgegevens in zijn portefeuille heeft. Of dit een mens als natuurlijke persoon is of een rechtsbekwaam bedrijf, is om het even. Leidt de ondernemer een bedrijf met een eigen rechtspersoonlijkheid zoals bijv. een GmbH, kan hij zelf bepalen of alleen hijzelf, alleen het bedrijf of beide naast elkaar verantwoordelijk tekenen voor de gegevensbescherming.

Documentatie, informatie, beveiliging

Overeenkomstig de “Duitse AVG” heeft de verwerkings-verantwoordelijke onder andere de hier volgende plichten:

  • Duidelijke documentatie van het privacybeleid en procedures. Aan de toezichthoudende instantie moeten kunnen worden aangetoond dat er een compliance programma is op privacy gebied, dat er inzicht is in alle verwerkingen van persoonsgegevens. De verantwoordingsplicht gebiedt transparantie, waardoor gegevens alleen op een voor de persoon in kwestie begrijpelijke wijze verwerkt mogen worden. Daarnaast mogen persoonsgegevens alleen voor nader bepaalde, ondubbelzinnige en legitieme doeleinden worden verzameld. Tevens mogen slechts die gegevens worden verzameld die voor het doel van de bewerkersovereenkomst nodig zijn, bovendien moeten de verzamelde gegevens correct zijn.
  • De verantwoordelijke heeft een informatieverplichting jegens de betreffende persoon. Ook moet hij aan de betreffende persoon het recht toekennen, zijn persoonsgegevens te corrigeren, te wissen, de verwerking en transfer ervan te beperken en verweer aan te tekenen.
  • De verantwoordelijke is verplicht persoonsgegevens te beschermen en dient de gegevensbewerking op gepaste wijze te beveiligen. Hiervoor moet hij zowel technische als organisatorische maatregelen treffen.
  • De verantwoordelijke moet een register bijhouden m.b.t. alle verwerkingsactiviteiten, waartoe hij bevoegd is.
  • Een inbreuk op de bescherming van persoonsgegevens dient de verantwoordelijke aan de toezichthoudende instantie te melden; onder bepaalde omstandigheden ook aan de betrokken personen.

 

Heeft u vragen over de implicaties van de nieuwe privacy-regels in Duitsland, neem dan contact op met Dr. Romy Latka.

 

  • gepubliceerd : zondag, 09 september 2018