Onlangs werd het wetsontwerp van 23 augustus 2017 over de oprichting van de Gegevensbeschermingsautoriteit ingediend in de Kamer. Hieronder lichten we enkele kernpunten uit het wetsontwerp toe.
Privacycommissie (CBPL) wordt Gegevensbeschermingsautoriteit (GBA)
Aangepaste terminologie
De GDPR, of consequent AVG genoemd in het wetsontwerp, voorziet een belangrijke rol voor de nationale toezichthouder. Om de terminologie op nationaal vlak in overeenstemming te brengen met de Europese terminologie uit de GDPR, wordt de Belgische nationale toezichthouder, de Privacycommissie, hernoemd naar de Gegevensbeschermingsautoriteit (GBA).
Tweesporenbeleid: ex ante en a posteriori
Voor de oprichting van de Gegevensbeschermingsautoriteit heeft de wetgever zich geïnspireerd op andere bestaande, onafhankelijke administratieve autoriteiten zoals de Belgische Mededingingsautoriteit (BMA). Het gaat om een tweesporenbeleid.
Enerzijds is er een ex ante begeleidingstaak waarbij verwerkingsverantwoordelijken en verwerkers worden ondersteund en geadviseerd.
Anderzijds is er een a posteriori toezichtstaak waarbij zij kunnen worden gecontroleerd en gesanctioneerd.
Waar de Privacycommissie voorheen louter een adviesorgaan op het gebied van privacy en gegevensbescherming was, zal de Gegevensbeschermingsautoriteit in de toekomst dus eerder een federale controle- en sanctieautoriteit met rechtspersoonlijkheid zijn.
GBA met een nieuwe structuur, taken en bevoegdheden
Vier verschillende bevoegdheden
Dat de Gegevensbeschermingsautoriteit een controle- en sanctieautoriteit zal zijn, blijkt uit de uitgebreide bevoegdheden die aan de inspecteurs, als hoedanigheid van officier van gerechtelijke politie, worden toegekend. Deze worden verderop uitgebreider toegelicht.
De Gegevensbeschermingsautoriteit kan zowel na een klacht van een betrokkene als op eigen initiatief daden van onderzoek stellen. Zij kan voorlopige maatregelen bevelen en verschillende sancties opleggen met een breed spectrum, variërend van een waarschuwing tot een administratieve geldboete.
De memorie van toelichting vat de bevoegdheden als volgt samen:
- Verstrekken van informatie en advies aan particulieren, verwerkingsverantwoordelijken (en hun verwerkers) en beleidsmakers om de wetgeving inzake gegevensbescherming na te leven of te doen naleven.
- Begeleiding van verwerkingsverantwoordelijken (en hun verwerkers) bij maximaal benutten van preventieve instrumenten voorzien in de AVG zoals certificering, naleving van gedragscodes, inschakelen van een DPO…
- Controle van de verwerkingsverantwoordelijken (en hun verwerkers) door een daarvoor specifiek opgeleide inspectiedienst.
- De sanctie met een breed spectrum dat toelaat geval per geval te oordelen en naargelang de ernst van de situatie een evenwichtige en proportionele behandeling te voorzien.
Structuur met zes organen
Met oog op de transformatie naar een controle- en sanctieautoriteit, zal de Gegevensbeschermingsautoriteit ook een nieuwe structuur krijgen die bestaat uit zes organen: het directiecomité, het algemeen secretariaat, de eerstelijnsdienst, het kenniscentrum, de inspectiedienst en de geschillenkamer
Een andere nieuwigheid is de onafhankelijke reflectieraad. De bedoeling is dat de reflectieraad de maatschappij in haar geheel weerspiegelt. De Gegevensbeschermingsautoriteit kan, en in bepaalde gevallen moet (voor het strategisch plan), deze reflectieraad raadplegen. De adviezen zijn niet-bindend en hebben, door de samenstelling van de reflectieraad, een multidisciplinair karakter.
Verschillende taken
De verschillende taken van deze zes organen kunnen worden samengevat als volgt:
- Directiecomité: bepalen van het algemeen beleid, het strategisch plan (vaststellen prioriteiten, etc.), en het aannemen van reglement van interne orde twee maanden na de oprichting van de GBA.
- Algemeen secretariaat: beheren van de dagelijkse ondersteunende taken.
- Eerstelijnsdienst: ontvangen en behandelen van klachten en verzoeken, begeleiden van verwerkers en verwerkingsverantwoordelijken, en informeren van burgers.
- Kenniscentrum: verlenen van adviezen en aanbevelingen.
- Inspectiedienst: onderzoeksorgaan bestaande uit een inspecteur-generaal en meerdere inspecteurs.
- Geschillenkamer: administratief rechtscollege, naar analogie van het “Mededingingscollege” van de BMA en de “Sanctiecommissie” van de FSMA.
Voor het vervullen van hun taken kunnen de organen zich laten bijstaan door deskundigen, zonder dat hun bijstand de onafhankelijkheid van de Gegevensbeschermingsautoriteit in het gedrang zou brengen.
Die deskundigen kunnen komen uit allerlei sectoren (academisch, privé, publiek, maatschappelijk middenveld, etc.) en zij kunnen niet-bindend advies geven.
De benoeming van de leden van het directiecomité, het kenniscentrum en de geschillenkamer, maar ook de procedure voor benoeming, worden door het wetsontwerp geregeld.
Procedurele bepalingen voor de GBA
Nieuw, in tegenstelling tot de Privacycommissie, zijn de onderzoeks- en sanctiebevoegdheden die de Gegevensbeschermingsautoriteit zal krijgen.
Het wetsontwerp legt de procedurele bepalingen met betrekking tot de inspectiedienst en de geschillenkamer vast.
Inspectiedienst
Zowel natuurlijke personen als rechtspersonen, verenigingen of instellingen kunnen kosteloos een klacht of een verzoek indienen bij de inspectiedienst. Deze klacht of verzoek dient schriftelijk, gedateerd en ondertekend te zijn door de daartoe bevoegde persoon.
De memorie van toelichting bepaalt dat een verzoek ruim geïnterpreteerd dient te worden. Het gaat dus ook om een vraag tot inlichting, een verzoek om te bemiddelen, etc. Het verzoek is, in principe, kosteloos, maar er kan een redelijke administratieve vergoeding worden aangerekend wanneer een klacht of een verzoek kennelijk ongegrond of buitensporig is.
De ontvankelijkheid van de klacht of het verzoek wordt beoordeeld door de eerstelijnsdienst, die daarbij een beoordelingsmarge heeft en verschillende overwegingen kan laten meespelen, zoals de prioriteiten vastgelegd door het directiécomité of de ernst van de klacht of het verzoek.
Uitgebreide onderzoeksbevoegdheden
Ook hier heeft de wetgever gekeken naar analoge administratieve autoriteiten zoals de BMA en de FSMA. Zo wordt er bijvoorbeeld een medewerkingsplicht opgelegd aan degene die het voorwerp uitmaakt van een onderzoek.
Voorts kunnen personen worden geïdentificeerd door middel van een identiteitscontrole, zowel fysiek of op afstand indien het onderzoek langs elektronische weg wordt uitgevoerd, en kunnen deze personen ook worden verhoord.
Daarnaast kan er ook een onderzoek ter plaatse worden gedaan of kunnen informaticasystemen worden onderzocht en gekopieerd. Ook inbeslagname of verzegeling is mogelijk. Voor een onderzoek ter plaatse is geen machtiging van een onderzoeksrechter nodig, tenzij voor het betreden van een bewoonde ruimte.
Geschillenkamer
Ontvankelijke klachten worden door de eerstelijnsdienst overgemaakt aan de geschillenkamer, maar ook de inspectiedienst kan de geschillenkamer vatten na het afsluiten van een onderzoek.
De procedure voor de geschillenkamer verloopt in principe schriftelijk, maar dat sluit niet uit dat de betrokken partijen kunnen worden gehoord. De geschillenkamer doet uitspraak en kan gemotiveerd beslissen tot het opleggen van een administratieve geldboete.
Hoger beroep bij het Marktenhof
Hoger beroep tegen de beslissing van de geschillenkamer kan binnen 30 dagen vanaf de betekening worden ingesteld bij het Marktenhof te Brussel, dat ook bijvoorbeeld uitspraak doet over rechtszaken tegen de FSMA, het BIPT en andere marktregulatoren.
Wetsontwerp: wijzigingen nog mogelijk
Zoals gezegd gaat het om een wetsontwerp. Het is mogelijk dat er nog wijzigingen worden aangebracht, maar het zou nu toch al min of meer duidelijk moeten zijn waar de kernpunten van het wetsontwerp liggen.
Wij volgen de ontwikkelingen op de voet. Bij vragen over de GDPR of de verwerking van persoonsgegevens binnen uw organisatie kan u steeds bij time.lex terecht.