Voorafgaand privacy advies
Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk. GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure. Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.
Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen. Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens. Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren. Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.
De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”. Sinds maart 2019 biedt de Britse toezichthouder (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is. Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.
Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen. Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden. Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.
Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.
Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…
Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR. Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.
Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.