Situering
Het Europees Parlement en de Raad hebben op 27 april 2016 de Algemene Verordening inzake Gegevensbescherming aangenomen, beter bekend als ‘GDPR’ (‘General Data Protection Regulation’). De verordening is van kracht geworden op 24 mei 2016, maar zal pas vanaf 25 mei 2018 van toepassing zijn.
De GDPR verplicht de lidstaten onder meer om een wet aan te nemen tot oprichting van gegevensbeschermingsautoriteiten in overeenstemming met deze GDPR.
Privacycommissie hervormd naar Gegevensbeschermingsautoriteit
Huidige wet richt de Gegevensbeschermingsautoriteit op.
Deze Gegevensbeschermingsautoriteit is de rechtsopvolger van de huidige Privacycommissie, die opgericht was door de Privacywet van 8 december 1992.
De Gegevensbeschermingsautoriteit voldoet aan alle voorwaarden die de GDPR oplegt.
Taken Gegevensbeschermingsautoriteit
De wet regelt de taken van de Gegevensbeschermingsautoriteit , haar samenstelling, de benoeming van de leden van het directiecomité, de leden van het kenniscentrum en de leden van de geschillenkamer,…
Wij beperken ons in deze nieuwsbrief tot een samenvatting van het uitgebreide takenpakket van de Gegevensbeschermingsautoriteit.
- het verstrekken van informatie en advies aan particulieren, verwerkingsverantwoordelijken (en hun verwerkers) en beleidsmakers om de wetgeving inzake gegevensbescherming na te leven of te doen naleven;
- de begeleiding van verwerkingsverantwoordelijken (en hun verwerkers) bij maximaal benutten van preventieve instrumenten voorzien in de GDPR zoals certificering, naleving van gedragscodes, inschakelen van een data protection officer, …;
- de controle van de verwerkingsverantwoordelijken (en hun verwerkers) door een daarvoor specifiek opgeleide inspectiedienst;
- de sanctionering (variërend van waarschuwingen tot financiële sancties) die toelaat geval per geval te oordelen en naargelang de ernst van de situatie een evenwichtige en proportionele behandeling te voorzien.
De Gegevensbeschermingsautoriteit heeft veel ruimere bevoegdheden dan de vroegere Privacycommissie. Deze laatste was immers louter een adviesorgaan op het gebied van privacy en gegevensbescherming.
Dit terwijl de Gegevensbeschermingsautoriteit ook onderzoeks- en sanctiebevoegdheden krijgt.
De Europese wetgever wil immers inzetten op een tweesporenbeleid. Zo heeft de Gegevensbeschermingsautoriteit:
- enerzijds een ex ante begeleidingstaak waarbij zij ondersteuning en advies geeft bij de verwerking van persoonsgegevens;
- anderzijds een a posteriori toezichtstaak waarbij zij kan controleren en sanctioneren.
Inwerkingtreding
Deze wet treedt in werking op 25 mei 2018. De Koning kan een vroegere inwerkingtredingsdatum bepalen voor iedere bepaling in deze wet.
Uitzondering:
De bepalingen rond de benoeming van de leden van het directiecomité, de leden van het kenniscentrum en de leden van de geschillenkamer (hoofdstuk III) treden in werking op 10 januari 2018.