De Algemene Verordening inzake Gegevensbescherming die op 25 mei 2018 van toepassing wordt, heeft ook gevolgen voor onze Privacycommissie. Deze commissie wordt omgevormd tot de Gegevensbeschermingsautoriteit om te voldoen aan alle voorwaarden die door GDPR worden opgelegd.
De Algemene Verordening inzake Gegevensbescherming van 27 april 2016 die we kennen als GDPR (General Data Protection Regulation), voorziet een reeks nieuwe maatregelen voor verwerking, beheer en bewaren van persoonsgegevens. Vanaf 25 mei 2018 moet elke Belgische onderneming die gegevens van EU-burgers verzamelt, met deze nieuwe privacy wetgeving in regel zijn (zie hierover onze bijdrage verschenen in oktober 2017).
Deze Europese privacyverordening verplicht de lidstaten ook om gegevensbeschermingsautoriteiten op te richten in overeenstemming met deze GDPR. Om aan die verplichting tegemoet te komen, heeft ons land beslist om de huidige Commissie voor de Bescherming van de Persoonlijke Levenssfeer (de Privacycommissie opgericht door de Privacywet van 8 december 1992) te hervormen. De Privacycommissie krijgt een nieuwe naam die beter haar opdrachten weerspiegelt: de Gegevensbeschermingsautoriteit (GBA) of de Toezichthoudende autoriteit voor de verwerking van persoonsgegevens.
Adviseren, begeleiden en controleren
Waar onze Privacycommissie louter een adviesorgaan is op het gebied van privacy en gegevensbescherming, zal de Gegevensbeschermingsautoriteit over veel ruimere bevoegdheden beschikken en ook onderzoeks- en sanctiebevoegdheden krijgen. De vier soorten bevoegdheden van de Gegevensbeschermingsautoriteit zijn:
het informeren en adviseren van particulieren, verwerkingsverantwoordelijken en beleidsmakers over de wetgeving inzake gegevensbescherming zodat zij de wetgeving kunnen (doen) naleven;
het begeleiden van verwerkingsverantwoordelijken en hun verwerkers bij het toepassen van preventietools voorzien in de GDPR zoals certificering, naleving van gedragscodes, inschakelen van een data protection officer;
het controleren van de verwerkingsverantwoordelijken en hun verwerkers door een specifieke inspectiedienst;
het sanctioneren met waarschuwingen en financiële sancties afgestemd op de ernst van de situatie.
Nieuwe afgeslankte structuur met zes organen
De sectorale comités van de Privacycommissie die bevoegd zijn om de toegang tot bepaalde databanken zoals het Rijksregister toe te staan, worden afgeschaft. Voortaan zal een ambtenaar belast met die taak de aanvragen beheren.
De nieuwe autoriteit is samengesteld uit zes organen, elk met specifieke bevoegdheden.
1° Het directiecomité bepaalt onder meer het algemeen beleid van de Gegevensbeschermingsautoriteit, stelt een strategisch plan op, legt de prioriteiten vast en neemt een reglement van interne orde aan. In het directiecomité zetelen de leidinggevenden van de andere organen.
2° Het algemeen secretariaat staat vooral in voor de dagelijkse ondersteunende taken van de autoriteit (bv. communicatie, informatica, HR).
3° De eerstelijnsdienst neemt alle eerstelijnstaken van de toezichthouder op zich. Deze dienst vormt het contactpunt voor de externe stakeholders, zoals de burgers, de verwerkingsverantwoordelijken en de verwerkers voor het ontvangen en behandelen van klachten en verzoeken.
4° Het kenniscentrum geeft adviezen en aanbevelingen over alle zaken rond de verwerking van persoonsgegevens en aanbevelingen over de maatschappelijke, economische en technologische ontwikkelingen die een weerslag kunnen hebben op de verwerking van persoonsgegevens.
5° De inspectiedienst is het onderzoeksorgaan bestaande uit een inspecteur-generaal en meerdere inspecteurs. Eenieder -zowel natuurlijke personen, rechtspersonen, verenigingen of instellingen- kunnen schriftelijk, gedateerd en ondertekend een klacht of een verzoek indienen. Dit is kosteloos.
6° De geschillenkamer is het administratief geschillenorgaan dat corrigerende maatregelen of financiële sancties kan opleggen (cfr. het Mededingingscollege van de Belgische Mededingingsautoriteit (BMA) en de Sanctiecommissie van de Autoriteit voor Financiële Diensten en Markten (FSMA)).
De Gegevensbeschermingsautoriteit zal daarnaast worden bijgestaan door een reflectieraad (nieuw). Hij geeft niet-bindende adviezen.
De mandaten zijn voortaan beperkt tot maximaal twee periodes van zes jaar. Voor de vroegtijdige beëindiging van een mandaat moet de Kamer van Volksvertegenwoordigers een specifieke procedure volgen.
Klachten, verzoeken en onderzoeken
Ontvankelijke klachten worden door de eerstelijnsdienst overgemaakt aan de geschillenkamer. Ontvankelijke verzoeken behandelt de eerstelijnsdienst zelf. Een verzoek wordt ruim geïnterpreteerd (bv. een vraag tot inlichting, een verzoek om te bemiddelen, enz.). Als geen minnelijk akkoord kan worden bereikt, kan het verzoek in een klacht worden omgezet.
De onderzoeksmogelijkheden van de inspectiedienst strekken zich uit tot de mogelijkheid om voorlopige maatregelen op te leggen bij een ernstig, onmiddellijk en moeilijk herstelbaar nadeel (bevel tot de voorlopige opschorting, beperking of bevriezing van de verwerking van gegevens), het inwinnen van inlichtingen, de identificatie van personen, het verhoor, de schriftelijke bevraging, het onderzoek ter plaatse, de raadpleging van het informaticasysteem en het kopiëren van de gegevens daarop, de inbeslagname en de verzegeling. Nadat het onderzoek is afgerond, kan het dossier naar de geschillenkamer gaan of bij een strafrechtelijke inbreuk naar de procureur des Konings, het kan worden geseponeerd of het gaat naar een Gegevensbeschermingsautoriteit van een andere lidstaat.
De geschillenkamer komt in actie voor de behandeling van een klacht via de eerstelijnsdienst, als een betrokken partij hoger beroep instelt tegen maatregelen van de inspectiedienst of als inspectiedienst zijn onderzoek heeft afgesloten. Voor ze een beslissing ten gronde neemt, kan de geschillenkamer nog een (aanvullend) onderzoek aan de inspectiedienst vragen.
De geschillenkamer heeft de keuze tussen een relatief snelle light procedure of een procedure ten gronde met meer mogelijkheden zoals het opleggen van corrigerende maatregelen (bv. verwerking aanpassen, bevriezen, beperken of verbieden), dwangsommen en administratieve geldboeten. Tegen de beslissing van de geschillenkamer kan beroep worden ingesteld bij het Marktenhof. Het Marktenhof is een gespecialiseerde kamer bij het hof van beroep van Brussel, dat de beroepen behandeld tegen beslissingen van marktregulatoren zoals de BMA en de FSMA.