Persoonsgegevens zijn «alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon». Een natuurlijke persoon identificeren kan bijvoorbeeld aan de hand van een naam of identificatienummer, locatiegegevens of elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.(Art. 4, 1) AVG.)
De AVG definieert de verwerking heel ruim als een al dan niet geautomatiseerde bewerking van persoonsgegevens. Hieronder vallen o.m. het verzamelen, opslaan, wijzigen, opvragen, raadplegen, gebruiken en wissen.
Voorbeelden van persoonsgegevens:
• het thuisadres
• het privételefoonnummer,
• het telefoonnummer op het werk,
• het e-mailadres in het bedrijf,
• de precieze functie die deze natuurlijke persoon uitoefent.
Het begrip "persoonsgegevens" omvat niet alleen het persoonlijke profiel van een gebruiker in een systeem, maar ook de gebruikersspecifieke referenties en logboeken die aangeven welke handelingen een gebruiker op een systeem heeft verricht ( en omgekeerd - welke gebruikers welke handelingen hebben verricht), alsook de e-mailinhoud die betrekking heeft op een persoon.
Zo kan zelfs een dynamisch IP-adres in bepaalde gevallen een persoonsgegeven zijn (HvJ 19 oktober 2016, nr. C-582/14, ECLI:EU:C:2016:779, Patrick Breyer t/ Bondsrepubliek Duitsland, § 16)..
Zo kan ook een beeldfragment van een identificeerbare persoon een persoonsgegeven.zijn. De publicatie van een video met identificeerbare personen op YouTube is bijgevolg een verwerking van persoonsgegevens. ( HvJ 14 februari 2019, nr. C–345/17, ECLI:EU:C:2019:122, Sergejs Buivids t/ Datu valsts inspekcija, §§ 31-32 en 47; N. Debruyne, «Burgerjournalistiek op Youtube is ook journalistiek», Juristenkrant 2019, afl. 386, 5.)
Overeenkomstig artikel 5, 1., f) AVG moeten persoonsgegevens "door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging".
In het artikel 32, 1. AVG wordt voorgeschreven de verwerkingsverantwoordelijken en verwerkers) passende technische en organisatorische maatregelen dienen te neme om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
- het pseudonimiseren en versleutelen van persoonsgegevens;
- het vermogen om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen;
- het vermogen om in geval van een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te herstellen;
- een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen".
Voormelde opsomming geldt slechts als voorbeeld. Zij is geen exhaustieve lijst of een lijst van minimumeisen. De AVG bepaalt eveneens dat bij de beoordeling van het "passende" beveiligingsniveau rekening moet worden gehouden met de verwerkingsrisico's vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig {art. 32, 2. AVG).
Verwerkingsverantwoordelijken en verwerkers dienen in concreto die maatregelen te nemen die redelijkerwijs als "passend" zijn en die ook grondig worden gedocumenteerd.
Sanctie:
Administratieve boetes begrensd tot het hoogste van de volgende twee bedragen:
(1) 10 miljoen euro of;
(2) 2% van de totale wereldwijde jaaromzet van een onderneming.
Bij een inbreuk op het beginsel van "integriteit & vertrouwelijkheid", d.w.z. het basisbeginsel voor verwerking overeenkomstig artikel 5 AVG, kan de boete in theorie oplopen tot het hoogste van de volgende bedragen: (1) 20 miljoen euro of (2) 4% van de totale wereldwijde jaaromzet.