Verwerking van persoonsgegevens: Nieuwe wet tot oprichting van de Gegevensbeschermingsautoriteit

De Europese algemene verordening gegevensbescherming van 27 april 2016 (AVG, ofwel in het Engels GDPR) voorziet de instelling van toezichthoudende autoriteiten in iedere lidstaat, die zullen instaan voor de controle van de naleving hiervan. Deze onafhankelijke toezichthoudende autoriteiten moeten op nationaal niveau worden opgericht. De wet van 3 december 2017, die vandaag in het Belgisch Staatsblad wordt gepubliceerd, richt daartoe een nieuwe Gegevensbeschermingsautoriteit op die de huidige Privacy Commissie zal opvolgen. Deze wet zal volledig in werking treden op 25 mei 2018, wanneer de GDPR van toepassing wordt.

De wetgever heeft de nieuwe Gegevensbeschermingsautoriteit belangrijke bevoegdheden toegekend om de correcte naleving van de bepalingen van de GDPR en de toepasselijke nationale bepalingen te verzekeren. Deze nieuwe instelling zal bestaan uit verschillende organen, waaronder met name een inspectiedienst en een geschillenkamer.

Een onderzoek kan worden opgestart op enkele klacht van een particulier, op vraag van een toezichthoudende autoriteit van een andere lidstaat, of op vraag van de gerechtelijke en administratieve instanties. Een onderzoek kan eveneens worden opgestart door de Belgische Gegevensbeschermingsautoriteit zelf indien zij een vermoeden zou hebben van een schending van de wetgeving waarop zij de controle voorziet.

De inspectiedienst beschikt over uitgebreide bevoegdheden bij het verrichten van deze onderzoeken. Zo kan zij overgaan tot verhoren, plaatsonderzoeken, identificatie van de personen aanwezig op de gecontroleerde locaties of van de gebruikers van communicatiediensten, of zelfs tot raadpleging en kopie van informaticasystemen en de gegevens die ze bevatten. De onderzoekers kunnen ook de veiligheidssystemen testen en goederen of informatiedragers in beslag nemen. Voor de onderzoekshandelingen die het meest een inmenging vormen van de vrijheden van de gecontroleerde personen, zal er eerst de toestemming van de onderzoeksrechter moeten worden gevraagd.

Na de sluiting van het onderzoek kan er een procedure worden opgestart voor de geschillenkamer, die zich ook zal bezighouden met bepaalde klachten en beroepen tegen verschillende onderzoeksmaatregelen. Deze zaken kunnen dan ook worden doorgestuurd naar de nationale gerechtelijke instanties.

Indien de geschillenkamer beslist om de zaak ten gronde te behandelen, wordt een quasi-gerechtelijke procedure opgestart, waarbij de partijen de mogelijkheid hebben om te worden gehoord en hun argumenten uit te wisselen.

De geschillenkamer beschikt over de mogelijkheid om over te gaan tot seponering, kan een minnelijke schikking voorstellen, maar ook volgende sancties opleggen: bevelen dat de verwerking in overeenstemming wordt gebracht, een verwerking definitief verbieden, of zelfs dwangsommen en administratieve geldboetes uitspreken. Deze laatste kunnen uiterst zwaar zijn en zelfs oplopen tot een bedrag van 20 miljoen euro, ofwel 4% van de wereldwijde jaaromzet (dit bedrag kan worden verdubbeld in geval van samenloop van verschillende inbreuken).

Om u te helpen bij het in overeenstemming brengen van uw onderneming met de GDPR, heeft ons kantoor een Data Mapping Tool ontwikkeld, die toelaat om uw gegevensverwerkingen in kaart te brengen. Ons data protection team staat klaar om u hierbij bij te staan en op al uw vragen een antwoord te bieden. Voor meer informatie over de GDPR en onze Data Mapping Tool verwijzen we graag naar onze website: www.gdprbegium.be

> Actiepunt

Bereid u voor op de inwerkingtreding van de GDPR op 25 mei 2018 en hou vooral ook rekening met de belangrijke bevoegdheden van de Gegevensbeschermingsautoriteit en de mogelijke sancties die hieruit kunnen volgen.