GDPR – uw strafrechtelijke verantwoordelijkheid komt er effectief aan met het ontwerp van kaderwet! (GD&A Advocaten)

Privacy & Gegevensbescherming | 19 juni 2018

Auteurs: Willem Mariën, Wouter Rubens en Bert De Keyser (GD&A Advocaten)

Publicatiedatum: 13/06/2018

Op 25 mei 2018 trad de General Data Protection Regulation (‘GDPR’) in werking, vanaf afgelopen maandag 11 juni 2018 ligt (eindelijk) het wetsontwerp klaar in kader van de tenuitvoerlegging van enkele ‘open’ bepalingen van de GDPR en de in de GDPR voorziene mogelijkheden voor elke lidstaat om te voorzien in afwijkende regelingen.

Uit de 864 bladzijden dikke bundel beschouwen wij alvast kort titel 6 – artikel 221 – 230, zijnde de sancties die bij inbreuken op de wet zullen gelden.

Het integrale wetsontwerp – memorie van toelichting, voorontwerp, impactanalyse, advies van de Raad van State, wetsontwerp, advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan u raadplegen via deze link.

Zoals door Staatssecretaris Philippe De Backer o.m. reeds aangekondigd in De Tijd op 2 mei 2018 met als titel ‘Ambtenaar die Privacywet schendt riskeert cel’ wil de overheid ervoor zorgen dat ook haar eigen diensten de GDPR-regels strikt naleven en de mogelijke sancties ook voor haar doeltreffend, evenredig en voldoende afschrikwekkend zijn.

Zoals uit de memorie van toelichting blijkt – in het verlengde van art. 83.7 van de GDPR – is er voor geopteerd om – in tegenstelling tot de private sector – geen administratieve geldboetes op te leggen aan overheidsinstanties en -organen, zij worden echter wel onderworpen aan niet-geldelijke administratieve sancties (corrigerende maatregelen) alsook aan rechterlijke controle en aan strafrechtelijke sancties.

Voormeld verschil in behandeling is te verklaren door het feit dat de overheid de taak heeft het algemeen belang te dienen en in de meeste gevallen verplicht is persoonsgegevens te verwerken zonder dat daarbij enig financieel voordeel te beogen.

Het advies van de Privacycommissie – dat trouwens over de totaliteit van bepalingen onder titel 6 (sancties) ongunstig adviseerde – onderstreept echter dat art. 5 van het Strafwetboek bepaalde rechtspersonen uitsluit van strafrechtelijke verantwoordelijkheid. Immers in toepassing van art. 5, 4de lid Strafwetboek kunnen niet als strafrechtelijk verantwoordelijke rechtspersonen worden beschouwd: de federale staat, de gewesten, de gemeenschappen, de provincies, de Brusselse agglomeratie, de gemeenten, meergemeentezones …

De memorie van toelichting verduidelijkt echter dat – onverminderd art. 5 van het Strafwetboek – de strafrechtelijke verantwoordelijkheid van verwerkingsverantwoordelijken in de publieke sector niet uitgesloten is, gelet in dat geval de orgaantheorie van toepassing is!

Een greep uit de verplichtingen waarvoor u expliciet een strafsanctie boven het hoofd kan hangen:

verwerking van persoonsgegevens zonder rechtmatige grondslag uit artikel 6 GDPR: wettelijke verplichting, taak van algemeen- of gerechtvaardigd belang, toestemming …;
verwerking van persoonsgegevens in overtreding met de beginselen van artikel 5 GDPR: rechtmatig, behoorlijk, transparant, enkel ‘need to know’, integriteit en vertrouwelijkheid, verantwoordingsplicht …
miskenning van het recht van bezwaar behoudens dwingende wettige redenen;
(…)

De strafsancties die de verwerkingsverantwoordelijke of de verwerker, zijn aangestelde of gemachtigde, bij een inbreuk riskeren zijn weliswaar lager dan de bedragen waarvan sprake in geval van administratieve sanctie én variëren afhankelijk van de inbreuk (art. 222 – 227) van minimaal 100 Euro tot maximaal 30.000 Euro. Daarenboven zijn alle bepalingen van Boek I van het Strafwetboek van toepassing voor alle misdrijven bij deze wet of haar uitvoeringsbesluiten begaan.

GD&A Advocaten volgt onderhavige materie op de voet én zal nog uitvoerig terugkomen op dit ontwerp van kaderwet maar ook op de verplichtingen van de Verordening die zoals u allen weet reeds vanaf 25 mei 2018 van toepassing zijn.