GDPR : data is het nieuwe goud, veiligheid is diamant? (VDV Advocaten)

Auteur: Maarten Verhaghe (VDV Advocaten)

Publicatiedatum: 03/11/2017

I. Persoonsgegevens

Inloggen op apps, het meedelen van persoonlijke gegevens, positiebepalingen, financiële gegevens e.a. is vandaag geen uitzondering meer op de regel. Alles wordt door apps, websites bijgehouden en vaak wordt deze informatie gebundeld om personen te identificeren, te profileren en gericht te adverteren.

Al deze processen worden vanaf 25 mei 2018 onderworpen aan de GDPR (General Data Protection Regulation). Deze nieuwe Europese regelgeving vervangt vanaf die datum met onmiddellijk ingang, vroegere Privacywet.

Deze wetswijziging zorgt voor een territoriale uitbreiding, namelijk het volledig Europese grondgebied.  Daarnaast houdt deze wetswijziging ook een materiële uitbreiding van het toepassingsveld in.

Iedere KMO die een bestand bijhoudt dat gegevens van natuurlijke personen bevat (klanten-/leveranciers-/werknemersbestand), moet de bepalingen van GDPR opvolgen. En dient ‘privacy compliant’ te zijn.

II. Handhavingsbeleid

Sancties

De nieuwe privacy reglementering wordt kracht bijgezet door een handhavingsbeleid.  Het biedt de toezichthoudende overheid de mogelijkheid om administratieve sancties op te leggen.
Deze sancties zijn opgenomen in artikel 83 van de GDPR.

Het artikel voorziet 3 sanctioneringsmogelijkheden:

1)

Een administratieve boete tot 10.000.000,00 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.
Deze sanctie is van toepassing wanneer de verwerkingsverantwoordelijke ( lees de onderneming die persoonsgegevens verzamelt) een inbreuk begaat op de geïnformeerde toestemming van kinderen. Ze  kan ook opgelegd worden bij de  miskenning van het concept “Privacy by Design of Privacy by Default”.

2)

Een administratieve boete tot 20.000.000,00 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

Deze zware sanctie is voorzien voor:

  • inbreuken op de basisbeginselen voor een rechtmatige verwerking/verzameling van persoonsgegevens,
  • de miskenning van de rechten van de natuurlijke personen wiens gegevens verwerkt/verzameld worden,
  • de doorgifte van persoonsgegevens naar derde landen die niet erkend zijn door de Privacy Commissie als landen die in een passend beschermingsbeleid voorzien, …

3)

Een administratieve geldboeten tot 20.000.000,00 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.
Een bijkomende sanctie, wanneer de verwerkingsverantwoordelijke of de verwerker weigert een bevel van de toezichthoudende overheid te volgen of na te leven.

De hoogtes van de administratieve sancties zijn alles zeggend, de GDPR voorziet immers in maximumboetes.
In de praktijk is het de toezichthoudende overheid die afhankelijk van de aard, de zwaarte en de duurtijd van de inbreuk, geval per geval zal  beoordelen en een passende, evenwichtige sanctie binnen de maximumgrenzen zal opleggen.

Schadevergoeding

In artikel 82 van de GDPR wordt bovendien een aansprakelijkheidsregime voorzien voor de verwerkingsverantwoordelijken of verwerkers wanneer zij door een inbreuk op de GDPR, ook materiële of immateriële schade veroorzaken:
“Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker een schadevergoeding te ontvangen voor de geleden schade.”

III. De nieuwe GBA – De vroegere Privacy Commissie

De toezichthoudende overheid die in de GDPR wordt vernoemd, zal in België ingevuld worden door de ‘Gegevensbeschermingsautoriteit of GBA’.  Een nieuwe nationale Privacy waakhond, met echte tanden.
Het wetsontwerp hiertoe van 23 augustus 2017 werd door de Kamer op 24 oktober 2017 unaniem goedgekeurd. De GBA is de opvolger van de Privacy Commissie. De GBA zal echter een volledig andere indeling en werking zal krijgen.

1. Werking

De GBA zal onderzoeksdaden kunnen stellen (vraag tot inlichtingen), voorlopige maatregelen bevelen en indien nodig verschillende sancties opleggen. De inspecteurs van de GBA krijgen ruime bevoegdheden om hun opdracht te vervullen.
Zoals hierboven reeds duidelijk gemaakt is de GBA meer dan een louter adviesorgaan zoals haar voorganger, de Privacy Commissie, maar ook een controle- en sanctioneringsorgaan.

2. Indeling

De structuur van de GBA is geïnspireerd op de Belgische Mededingsautoriteit en zal bestaan uit zes organen:

1) Een directiecomité, dit voor de leiding en algemeen beleid;
2) Een algemeen secretariaat;
3) Een eerstelijnsdienst, voor het begeleiden van ondernemingen om aan de voorwaarden van de GDPR te voldoen;
4) Een kenniscentrum, die adviezen en aanbevelingen zal uitvaardigen/publiceren;
5) Een inspectiedienst;
6) Een geschillenkamer, welke fungeert als een administratief rechtscollege.

Conclusie 

Europa heeft aan de hand van de GDPR duidelijk te kennen gegeven dat persoonsgegevens van goudwaarde zijn die de nodige bescherming moeten krijgen, desnoods door handhaving.

Lees hier het originele artikel