GDPR - Privacycommissie wordt Gegevensbeschermingsautoriteit

GDPR - Privacycommissie wordt Gegevensbeschermingsautoriteit

Via eerdere nieuwsbrieven kon u reeds uitvoerig kennismaken met de Algemene Verordening inzake Gegevensbescherming oftewel de GDPR. In een eerste nieuwsbrief werden de algemene krijtlijnen van de GDPR uiteengezet, vervolgens kwamen het verwerkingsregister en de data protection officer aan bod.

Zoals reeds uiteengezet, sluit de GDPR een heel reeks nieuwe rechten en verplichtingen in wat betreft de verwerking van persoonsgegevens. De GDPR kent een belangrijke rol toe aan de “toezichthoudende autoriteit” die erover moet waken dat gegevensverwerkingen correct verlopen. Is dit niet het geval, heeft de toezichthoudende autoriteit de mogelijkheid sanctionerend op te treden.

De rol van toezichthoudende overheid wordt in België toegekend aan de Gegevensbeschermingstautoriteit (GBA). De GBA vormt de opvolger van de Commissie voor  de bescherming van de persoonlijke levenssfeer - beter gekend als de Privacycommissie. Dit blijkt uit een recent wetsontwerp van 23 augustus 2017, dat ons al een eerste zich geeft op de geboorte van de GBA.

De naamswijziging is volgens de memorie van toelichting enerzijds doorgevoerd om beter aan te sluiten bij de terminologie uit de GDPR en anderzijds om aan te geven dat het niet langer enkel een adviesorgaan is, maar evenzeer een controle- en sanctieautoriteit. Zo kan de GBA o.a. daden van onderzoek stellen (na een klacht of op eigen initiatief), voorlopige maatregelen bevelen en verschillende sancties opleggen (bv. administratieve geldboete, berisping, waarschuwing). Door de omvorming moet de GBA in staat zijn de correcte naleving van de GDPR in België te verzekeren. De inspecteurs van de GBA ontvangen trouwens de hoedanigheid van officier van gerechtelijke politie en hebben alzo zeer ruime bevoegdheden.

De Gegevensbeschermingsautoriteit zal een volledig andere structuur kennen dan de Privacycommissie en is geïnspireerd op die van de Belgische Mededingsautoriteit. De nieuwe structuur zou noodzakelijk zijn om de nieuwe bevoegdheden beter te kunnen uitoefenen.

De GBA zal bestaan uit zes organen: een directiecomité (algemeen beleid en strategisch plan), een algemeen secretariaat (ontvangen van klachten en informeren van burgers), een eerstelijnsdienst (begeleiden van verwerkers en verwerkingsverantwoordelijken), een kenniscentrum (adviezen en aanbevelingen), een inspectiedienst (onderzoekorgaan) en een geschillenkamer (administratief rechtscollege). Er zal ook een “reflectieraad” worden opgericht die representatief is voor de gehele samenleving en die niet-bindende adviezen zal formuleren. De GBA zal in tegenstelling tot de Privacycommissie ook rechtspersoonlijkheid hebben. Hiermee wil men de onafhankelijkheid en autonome werking van de Gegevensbeschermingsautoriteit beklemtonen.

De bevoegdheden van de GBA worden in het wetsontwerp samengevat in vier categorieën, met volgorde van prioriteit:

  1. verstrekken van informatie en advies aan particulieren, verwerkingsverantwoordelijken en hun verwerkers en beleidsmakers om de GDPR na te leven of te doen naleven;
  2. begeleiding  van verwerkingsverantwoordelijken en hun verwerkers bij maximaal benutten van preventieve instrumenten voorzien in de GDPR zoals certificering, naleving van gedragscodes, inschakelen van een data protection officer, ...;
  3. controle van de verwerkingsverantwoordelijken en verwerkers door een daarvoor specifiek opgeleide inspectiedienst;
  4. ruim sanctiearsenaal – van waarschuwingen tot financiële sancties – dat toelaat geval per geval te oordelen en naargelang de ernst van de situatie een evenwichtige en proportionele behandeling te voorzien.

De omvorming van de Privacycommissie naar de Gegevensbeschermingsautoriteit en de bijhorende toekenning van voormelde bevoegdheden heeft volgens de memorie van toelichting tot doel het creëren van een moderne gegevensbeschermingsautoriteit met sterke bevoegdheden, zodat België over een orgaan beschikt dat in staat is het gebruik van persoonsgegevens effectief te controleren, rekening houdend met de wettelijke, economische, ethische en technologisch aspecten van de digitale maatschappij.

Het bovenstaande is natuurlijk nog onder voorbehoud, aangezien dit wetsontwerp nog moet worden goedgekeurd. 

Bron: Wetsontwerp van 23 augustus 2017 tot oprichting van de Gegevensbeschermingsautoriteit.  

Meer over de GDPR in volgende nieuwsbrieven.

Voor meer info over dit specifieke onderwerp, kan u de auteurs raadplegen, zijnde Dave Mertens, Sara Cockx en Sébastien van Damme.