GDPR juridisch

GDPR en de juridische context.

Onderwerp en doelstellingen van GDPR

  1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.
  2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
  3. Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt, noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.

Materieel toepassingsgebied van GDPR

  1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
  2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
    a) in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
    b) door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van de EU vallen;
    c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;
    d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid
  3. Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is Verordening (EG) nr. 45/2001 van toepassing. Verordening (EG)nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens worden overeenkomstig artikel 98 aan de beginselen en regels van de onderhavige verordening aangepast.
  4. Deze verordening laat de toepassing van Richtlijn 2000/31/EG, en met name van de regels in de artikelen 12 tot en met 15 van die richtlijn betreffende de ansprakelijkheid van als tussenpersoon optredende dienstverleners onverlet.
 

Territoriaal toepassingsgebied van de GDPR wetgeving

  1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

    Dus zodra een organisatie een vestiging heeft in de Unie: geldt de AVG. Ongeacht of er in de Unie verwerkingen plaats vinden!

    Voorbeeld: Microsoft, Facebook hebben een Europese dochteronderneming dus Lid 1 van toepassing. Twitter en Google hebben dit niet, vandaar lid ?

  2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:

    a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
    b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

    Zij dienen wel een vertegenwoordiger aan te duiden in de Unie (Art 27)

  3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door en verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.

    Voorbeeld: verwerkingen door consulaten en andere diplomatieke vestigingen van lidstaten van de Unie, buiten de Unie