Onlangs werd het wetsontwerp van 23 augustus 2017 over de oprichting van de Gegevensbeschermingsautoriteit ingediend in de Kamer. Hieronder lichten we enkele kernpunten uit het wetsontwerp toe.
De GDPR, of consequent AVG genoemd in het wetsontwerp, voorziet een belangrijke rol voor de nationale toezichthouder. Om de terminologie op nationaal vlak in overeenstemming te brengen met de Europese terminologie uit de GDPR, wordt de Belgische nationale toezichthouder, de Privacycommissie, hernoemd naar de Gegevensbeschermingsautoriteit (GBA).
Voor de oprichting van de Gegevensbeschermingsautoriteit heeft de wetgever zich geïnspireerd op andere bestaande, onafhankelijke administratieve autoriteiten zoals de Belgische Mededingingsautoriteit (BMA). Het gaat om een tweesporenbeleid.
Waar de Privacycommissie voorheen louter een adviesorgaan op het gebied van privacy en gegevensbescherming was, zal de Gegevensbeschermingsautoriteit in de toekomst dus eerder een federale controle- en sanctieautoriteit met rechtspersoonlijkheid zijn.
Kennismaken met Privacyspecialist »
Dat de Gegevensbeschermingsautoriteit een controle- en sanctieautoriteit zal zijn, blijkt uit de uitgebreide bevoegdheden die aan de inspecteurs, als hoedanigheid van officier van gerechtelijke politie, worden toegekend. Deze worden verderop uitgebreider toegelicht.
De Gegevensbeschermingsautoriteit kan zowel na een klacht van een betrokkene als op eigen initiatief daden van onderzoek stellen. Zij kan voorlopige maatregelen bevelen en verschillende sancties opleggen met een breed spectrum, variërend van een waarschuwing tot een administratieve geldboete.
De memorie van toelichting vat de bevoegdheden als volgt samen:
Met oog op de transformatie naar een controle- en sanctieautoriteit, zal de Gegevensbeschermingsautoriteit ook een nieuwe structuur krijgen die bestaat uit zes organen: het directiecomité, het algemeen secretariaat, de eerstelijnsdienst, het kenniscentrum, de inspectiedienst en de geschillenkamer
Een andere nieuwigheid is de onafhankelijke reflectieraad. De bedoeling is dat de reflectieraad de maatschappij in haar geheel weerspiegelt. De Gegevensbeschermingsautoriteit kan, en in bepaalde gevallen moet (voor het strategisch plan), deze reflectieraad raadplegen. De adviezen zijn niet-bindend en hebben, door de samenstelling van de reflectieraad, een multidisciplinair karakter.
De verschillende taken van deze zes organen kunnen worden samengevat als volgt:
Voor het vervullen van hun taken kunnen de organen zich laten bijstaan door deskundigen, zonder dat hun bijstand de onafhankelijkheid van de Gegevensbeschermingsautoriteit in het gedrang zou brengen.
Die deskundigen kunnen komen uit allerlei sectoren (academisch, privé, publiek, maatschappelijk middenveld, etc.) en zij kunnen niet-bindend advies geven.
De benoeming van de leden van het directiecomité, het kenniscentrum en de geschillenkamer, maar ook de procedure voor benoeming, worden door het wetsontwerp geregeld.
Nieuw, in tegenstelling tot de Privacycommissie, zijn de onderzoeks- en sanctiebevoegdheden die de Gegevensbeschermingsautoriteit zal krijgen.
Het wetsontwerp legt de procedurele bepalingen met betrekking tot de inspectiedienst en de geschillenkamer vast.
Zowel natuurlijke personen als rechtspersonen, verenigingen of instellingen kunnen kosteloos een klacht of een verzoek indienen bij de inspectiedienst. Deze klacht of verzoek dient schriftelijk, gedateerd en ondertekend te zijn door de daartoe bevoegde persoon.
De memorie van toelichting bepaalt dat een verzoek ruim geïnterpreteerd dient te worden. Het gaat dus ook om een vraag tot inlichting, een verzoek om te bemiddelen, etc. Het verzoek is, in principe, kosteloos, maar er kan een redelijke administratieve vergoeding worden aangerekend wanneer een klacht of een verzoek kennelijk ongegrond of buitensporig is.
De ontvankelijkheid van de klacht of het verzoek wordt beoordeeld door de eerstelijnsdienst, die daarbij een beoordelingsmarge heeft en verschillende overwegingen kan laten meespelen, zoals de prioriteiten vastgelegd door het directiécomité of de ernst van de klacht of het verzoek.
Ook hier heeft de wetgever gekeken naar analoge administratieve autoriteiten zoals de BMA en de FSMA. Zo wordt er bijvoorbeeld een medewerkingsplicht opgelegd aan degene die het voorwerp uitmaakt van een onderzoek.
Voorts kunnen personen worden geïdentificeerd door middel van een identiteitscontrole, zowel fysiek of op afstand indien het onderzoek langs elektronische weg wordt uitgevoerd, en kunnen deze personen ook worden verhoord.
Daarnaast kan er ook een onderzoek ter plaatse worden gedaan of kunnen informaticasystemen worden onderzocht en gekopieerd. Ook inbeslagname of verzegeling is mogelijk. Voor een onderzoek ter plaatse is geen machtiging van een onderzoeksrechter nodig, tenzij voor het betreden van een bewoonde ruimte.
Ontvankelijke klachten worden door de eerstelijnsdienst overgemaakt aan de geschillenkamer, maar ook de inspectiedienst kan de geschillenkamer vatten na het afsluiten van een onderzoek.
De procedure voor de geschillenkamer verloopt in principe schriftelijk, maar dat sluit niet uit dat de betrokken partijen kunnen worden gehoord. De geschillenkamer doet uitspraak en kan gemotiveerd beslissen tot het opleggen van een administratieve geldboete.
Hoger beroep tegen de beslissing van de geschillenkamer kan binnen 30 dagen vanaf de betekening worden ingesteld bij het Marktenhof te Brussel, dat ook bijvoorbeeld uitspraak doet over rechtszaken tegen de FSMA, het BIPT en andere marktregulatoren.
Zoals gezegd gaat het om een wetsontwerp. Het is mogelijk dat er nog wijzigingen worden aangebracht, maar het zou nu toch al min of meer duidelijk moeten zijn waar de kernpunten van het wetsontwerp liggen.
Wij volgen de ontwikkelingen op de voet. Bij vragen over de GDPR of de verwerking van persoonsgegevens binnen uw organisatie kan u steeds bij time.lex terecht.