Historiek

De eerbiediging van het privé-leven en de bescherming van persoonsgegevens is geen nieuw fenomeen.

Reeds in de Belgische grondwet kan men lezen dat ieder recht heeft op de bescherming van zijn privé-leven.

Conventie 1981 ter bescherming bij automatische verwerking van persoonsgegevens

Op 28 januari 1981 werd te Straatsburg de Conventie (Verdrag 108) inzake de bescherming van personen met betrekking tot de automatische verwerking van persoonsgegevens aangenomen. Dit verdrag werd in 2018 gemoderniseerd.

Deze conventie, hoewel niet rechtstreeks van toepassing, legt wel de fundamenten inzake de verwerking van persoonsgegevens in haar 27 artikelen tellende text.

Zo wordt er in art.5 o.a. bepaald dat persoonsgegevens die automatisch worden verwerkt:

  • rechtmatig werden verkregen;
  • opgeslagen voor een rechtmatig doel en gebruikt worden in overeenstemming met dit doel;
  • dat er aan minimale gegevensverwerking wordt gedaan;

De Conventie definieerde ook reeds wat speciale categorieën van persoonsgegevens zijn.

Speciale categorieën van persoonsgegevens zijn o.a. persoonsgegevens die betrekking hebben op:

  • ras;
  • politieke overtuiging of geloof;
  • gezondheid of sexuele orientatie.

Verder voorzag ze reeds bepalingen ter bescherming van de natuurlijke personen wiens persoonsgegevens worden verwerkt.

Europese richtlijn 1995 ter bescherming van de verwerking van persoonsgegevens van natuurlijke personen

Op 24 oktober 1995 werd dan door het Europees Parlement en de Raad de Europese Richtlijn 95/46 aangenomen.

Hoewel ook deze richtlijn moest worden omgezet in het recht van de lidstaat, voerde ze nog meer bepalingen en verduidelijkingen in.

Zo werd het begrip functionaris voor de gegevensbescherming ingevoerd; de voorloper van de huidige DPO. Deze functionaris voor de gegevensbescherming moest op een onafhankelijke wijze toezicht uitoefenen op de toepassing van de krachtens de Richtlijn getroffen nationale maatregelen, en een verwerkingsregister bijhouden van de voor de verwerkingsverantwoordelijke verrichte verrichtingen.

Handvest van de Grondrechten van de Europese Unie 2000

Het Handvest van de Grondrechten van de Europese Unie (18 december 2000) maakt melding van de eerbiediging van het privé-leven (art.7) en de bescherming van persoonsgegevens (art.8).

Persoonsgegevens moeten worden verwerkt met bepaalde doeleinden en met de toestemming van de betrokkene of op basis van een gerechtvaardigde grondslag.

De betrokkene wiens persoonsgegevens worden vewerkt heeft recht op toegang tot de over hem of haar verzamelde gegevens en correctie van deze gegevens wanneer deze onjuist zijn.

Een onafhankelijk autoriteit moet toezien dat deze regels worden nageleefd.

Europese verordening 2018 ter bescherming van de verwerking van persoonsgegevens van natuurlijke personen

Voor de komst van wat nu bekend staat als de GDPR (General Data Protection Regulation) of in het Nederlands AVG (Algemene Verordening Gegevensbescherming) was er geen eenvormigheid inzake de wetgevingen binnen de EER. Ieder land van de EER had toen immers zijn eigen wetgeving inzake de bescherming van persoonsgegevens.

Zo had Nederland bijvoorbeeld haar Wet bescherming persoonsgegevens (Wbp), die zoals de wet in België gebaseerd was op de Europese Richtlijn van 1995 (EG 94/46).

Het was voor de inwerkingtreding van de GDPR voor een burger soms ook moeilijk om zijn rechten nageleefd te krijgen door grote organisaties zoals Google. Zie hiervoor de zaak van het Hof van Justitie van de Europese Unie uit 2014 van een Spaanse zakenman tegen Google. Deze zakenman was jaren voordien veroordeeld wegens sociale zekerheidsschulden, maar via de zoekmachine van Google kon men nog steeds een link vinden naar een artikel met betrekking tot zijn veroordeling.

De man vroeg Google Spanje om de link te verwijderen, deze laatste gaf de vraag door aan Google in de Verenigde Staten. Beide wilden echter de link niet verwijderen, en de zaak kwam voor de Spaanse rechtbank. De Spaanse rechter stelde toen een prejudiciële vraag aan het Hof van Justitie van de Europese Unie.

Deze zaak toont aan hoe moeilijk het is voor een individuele rechtzoekende om zijn rechten uit te oefenen tegen grote multinationale spelers zoals Google.

Met de inwerkingtreding van de GDPR zijn de regels binnen de EER hetzelfde, en zullen ook verwerkingsverantwoordelijken die buiten de EER bevinden zich moeten in orde stellen met de Europese regels wanneer zij persoonsgegevens verwerken van Europese burgers.

Tevens voert de GDPR ook meer verduidelijkingen in inzake de verplichtingen in vergelijking met de Europese Richtlijn van 1995. Zo wordt bijvoorbeeld de rol en verantwoordelijkheden van de DPO verduidelijkt en wordt de verantwoordingsplicht ingevoerd.

De sancties worden ook nauwkeuriger omschreven. Zo kunnen verwerkingsverantwoordelijken boetes krijgen tot 20 miljoen Euro of 4% van hun wereldwijde omzet.

Bloep, 10 juni 2025.