Aan welke regels moet je je houden: de e-Privacy Verordening of de Algemene Verordening Gegevensbescherming?
De e-Privacy Verordening is het meest recente stukje privacy-gerelateerde wetgeving afkomstig van de Europese Commissie. Waar privacy in de voorgaande jaren wellicht een beetje het ondergeschoven kindje leek, heeft de Europese Commissie de smaak nu te pakken. Hierbij ontstaat echter het gevaar dat je door de bomen het bos niet meer ziet. Want aan welke regels moet je je nu houden? De Algemene Verordening Gegevensbescherming (AVG) of toch de e-Privacy Verordening? Om antwoord te geven op deze vragen zal ik in deze blogpost proberen wat meer duidelijkheid te scheppen over de verhouding tussen de AVG en de aankomende e-Privacy Verordening.
Allereerst is van belang op te merken dat het in beide gevallen gaat om Verordeningen. Dit betekent, zoals in eerdere posts al vermeld werd, dat beide stukken regelgeving rechtstreekse werking hebben. Ze hoeven dus niet meer in nationale wetgeving geïmplementeerd te worden door de lidstaten van de EU, maar zijn direct (rechtstreeks) van toepassing.
Twee stukken nieuwe regelgeving
Op dit moment is de AVG al aangenomen en de e-Privacy Verordening nog niet. Dit zou er op kunnen wijzen dat het langer gaat duren voor de e-Privacy Verordening in werking treedt. Zoals in een eerdere post is geschreven heeft de Europese Commissie echter aangegeven te streven naar inwerkingtreding van beiden op 25 mei 2018. Het ziet er dus naar uit dat we te maken krijgen met twee stukken nieuwe regelgeving.
Aan welke verordening moet je je houden?
Dan blijft de vraag aan welke verordening je je dan moet houden nog over, ze lijken immers over hetzelfde onderwerp te gaan. Tot op zekere hoogte klopt dit. De e-Privacy Verordening is namelijk bedoeld als zogenaamde ‘lex specialis’ bij de AVG. ‘Lex specialis’ is een juridische term die betekent dat deze wet verdere invulling geeft aan het kader dat eerder door de AVG is neergezet. Hierbij moet je je het volgende voorstellen: De AVG geeft algemene regels voor het gebruik van persoonsgegevens. Er wordt in algemene termen beschreven wat wel en niet mag op het moment dat je als persoon of organisatie persoonsgegevens wil verwerken. De e-Privacy Verordening geeft meer invulling aan deze algemene regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. Dit betekent dat beide verordeningen in principe over hetzelfde onderwerp gaan, maar dat ze toch naast elkaar kunnen bestaan. Wel is het zo dat een ‘lex specialis’ in principe altijd boven een wet in algemene zin (zoals de AVG) gaat. Dit komt er op neer dat, als je gebruik maakt van elektronische communicatiegegevens, je eerst moet kijken naar de e-Privacy Verordening en pas daarna naar de AVG. De AVG regelt vervolgens alle onderwerpen met betrekking tot verwerking van persoonsgegevens die niet onder de e-Privacy Verordening vallen.
Dit moet ook het uitgangspunt zijn bij het bepalen aan welke regelgeving jouw organisatie moet voldoen. Het startpunt is altijd de AVG, maar in de specifieke gevallen waarin jouw organisatie te maken heeft met elektronische communicatiegegevens zal de e-Privacy Verordening leidend zijn. Het is dus aan te raden om te kijken of jouw organisatie elektronische communicatiegegevens verwerkt en, zo ja, het beleid hierop aan te passen.