Eén van de meest ophefmakende veranderingen die de GDPR met zich mee zal brengen is ongetwijfeld de invoering van verregaande controle- en sanctioneringsbevoegdheden voor de toezichthoudende autoriteiten ("data protection authority", in België is dat de Privacycommissie). Hoe deze nieuwe bevoegdheden in de praktijk zullen worden toegepast, blijft echter een open vraag.
Hoewel er op dit moment al in veel Europese landen (waaronder in België) sancties voorzien zijn in de regelgeving omtrent de verwerking van de persoonsgegevens, kunnen de toezichthoudende autoriteiten deze sancties momenteel niet opleggen omdat ze geen sanctionerende bevoegdheid hebben. De GDPR brengt hier verandering in door de toezichthoudende autoriteiten niet enkel een sanctioneringsbevoegdheid toe te kennen, maar ze daarnaast ook een nieuw en verregaand sanctioneringsarsenaal ter beschikking te stellen.
Uitbreiding bevoegdheden van de toezichthoudende autoriteiten
Zo worden de toezichthoudende autoriteiten ten eerste een aantal onderzoeksbevoegdheden toegekend die hen in staat zullen stellen om na te gaan of er sprake is van een inbreuk op de GDPR. Zo zullen de toezichthoudende autoriteiten voortaan onder meer:
- de gegevensverantwoordelijke en verwerker opdragen alle informatie door te geven die vereist is voor de uitvoering van haar taken;
- onderzoek kunnen verrichten in de vorm van gegevensbeschermingscontroles (“audits”);
- toegang krijgen tot alle bedrijfsruimtes van de verwerkingsverantwoordelijke en de verwerker.
Daarnaast kent de GDPR de toezichthoudende autoriteiten de bevoegdheid toe om een aantal corrigerende maatregelen te treffen:
- waarschuwingen en berispingen geven;
- de opdracht geven om overtredingen binnen een bepaalde termijn recht te zetten;
- een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;
- de opschorting van gegevensstromen naar een derde land bevelen.
De toezichthoudende autoriteit zal zelf oordelen welke sanctie in een concreet geval het meest gepast is.
Administratieve geldboetes
Daarnaast zullen de toezichthoudende autoriteiten administratieve geldboetes kunnen opleggen. Deze boetes kunnen bovenop of in plaats van de corrigerende maatregelen worden getroffen. Bij de beoordeling of een boete zal worden opgelegd, en om de hoogte ervan te bepalen, zal met allerlei verzachtende en verzwarende omstandigheden rekening worden gehouden, zoals de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk, de aard van persoonsgegevens (al dan niet gevoelig), eerdere inbreuken door de verwerkingsverantwoordelijke of de verwerker, enzovoort.
Voor een aantal inbreuken kan de boete oplopen tot 10 miljoen EUR of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dat cijfer hoger is, bijvoorbeeld wanneer:
- er geen register van verwerkingsactiviteiten werd bijgehouden door de verwerkingsverantwoordelijke;
- er geen overeenkomst is gesloten tussen de verwerkingsverantwoordelijke en de verwerker;
- er geen functionaris voor de gegevensbescherming (“data protection officer”) is aangesteld, hoewel dat wel verplicht was.
De meeste inbreuken op de GDPR kunnen echter bestraft worden met een boete van 20 miljoen EUR of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dat cijfer hoger is, bijvoorbeeld wanneer:
- de verwerkingsverantwoordelijke de basisbeginselen naast zich heeft neergelegd of niet beschikt over een rechtsgrond om aan gegevensverwerking te doen;
- de rechten van de betrokkenen niet worden gewaarborgd;
- de doorgifte van gegevens naar een derde land niet beschermd is.
De GDPR stelt dat deze geldboetes “doeltreffend, evenredig en afschrikwekkend” moeten zijn. Door de toezichthoudende autoriteiten de bevoegdheid toe te kennen om dergelijke zware geldboetes op te leggen, tracht de Europese wetgever de nationale waakhonden de nodige tanden te geven om de naleving van de GDPR te garanderen. Het doel van deze hoge sancties is dan ook duidelijk: de naleving van de GDPR hoog op de agenda te krijgen bij de directie en de raden van bestuur van de bedrijfswereld.
Toepassing in de praktijk
Hoe de nieuwe bevoegdheden concreet zullen worden ingevoerd in de lidstaten is momenteel nog een open vraag. Zo heeft in België de Privacycommisie zich in een recent advies alvast kritisch opgesteld ten aanzien van het wetsontwerp dat tot doel heeft de Privacycommisie te hervormen en klaar te stomen voor de GDPR. De voornaamste punten van kritiek van Privacycommissie hadden enerzijds betrekking op het feit dat het wetsontwerp voorziet dat er één orgaan, m.n. de geschillenkamer, zou instaan voor zowel het onderzoek en vervolging van inbreuken, als voor het rechtspreken. De vermenging van deze twee bevoegdheden, gaat - zo stelt de Privacycommissie - in tegen de scheiding der machten en zal leiden tot minder kwalitatieve rechtspraak. Een tweede belangrijke punt van kritiek van de Privacycommissie heeft betrekking op het feit dat een aantal van de in de GDPR bepaalde taken niet aan haar werden toevertrouwd. Zo zou het wetsontwerp bijvoorbeeld de taken inzake samenwerking met andere toezichthoudende autoriteiten en de taken inzake het bijhouden van een intern register van inbreuken op de GDPR en van de getroffen maatregelen niet aan de Privacycommissie toekennen. Het voornaamste punt van kritiek van de Privacycommissie betreft echter het procedureverloop zoals dat voorzien werd in het wetsontwerp. Dit zou volgens de Privacycommissie namelijk incoherent, rigide en onduidelijk zijn en - op bepaalde punten - niet in overeenstemming met wat de GDPR voorschrijft.
Hoewel het duidelijk is dat de GDPR de toezichthoudende autoriteiten verregaande bevoegdheden en een uitgebreid sanctiearsenaal ter beschikking stelt, is het nog koffiedik kijken hoe deze nieuwe bevoegdheden in de praktijk zullen worden toegepast.