In België is de privacywetgeving opgenomen in de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beter gekend als de Privacywet. De Europese richtlijnen die in het verleden mbt privacy werden uitgevaardigd werden ook in deze wet geïmplementeerd.
De Privacywet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De Privacywet bevat de voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens, alsook de rechten van de betrokkenen.
Op 24 mei 2016 is de nieuwe Algemene Verordening Gegevensbescherming (in het Engels “General Data Protection Regulation”, afgekort “GDPR”) in werking getreden (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/AG).
Deze verordening is een antwoord op de snelle technologische ontwikkelingen en globalisering, en heeft tevens als betrachting de belemmeringen voor het verkeer van persoonsgegevens binnen de Europese Unie op te heffen. De verordening wilt een krachtig en coherent kader bieden voor gegevensbescherming in de Europese Unie dat wordt gesteund door strenge handhaving.
In tegenstelling tot de eerdere richtlijnen, is deze verordening wel rechtstreeks toepasselijk en afdwingbaar in de lidstaten, zonder dat deze eerst nog dient te worden omgezet in nationale wetgeving.
Ondernemingen hebben tot 25 mei 2018 de tijd om zich aan te passen aan de nieuwe regels.
De GDRP houdt een systeem in van verantwoordingsplicht: ondernemingen moeten zelf nagaan of hun verwerking van persoonsgegevens in lijn is met de GDRP en moeten dit ook op ieder ogenblik kunnen aantonen. Dit is een belangrijke wijziging ten aanzien van de bestaande Privacywet. Een onderdeel van de verantwoordingsplicht is het bijhouden van een register met alle verwerkingsactiviteiten die plaatsvinden onder de verantwoordelijkheid van de onderneming. Daarnaast voorziet de GDRP voor bepaalde verwerkingsactiviteiten een voorafgaande gegevensbeschermingseffectenbeoordeling (Privacy Impact Assessment, PIA). Afhankelijk van de verwerkingsactiviteiten worden sommige bedrijven verplicht een gegevensbeschermingsfunctionaris (Data Protection Officer, DPO) aan te stellen. De GDRP voorziet tevens nog in een aantal andere bijkomende verplichtingen, alsook uitgebreidere rechten voor betrokkenen.
Gelet op deze nieuwe verordening zal elke onderneming die persoonsgegeven verwerkt tijdig haar verwerkingsactiviteit in kaart dienen te brengen teneinde deze aan de verordening te toetsen en de daaraan verboden verplichtingen te identificeren.