België bekent kleur: de uitvoeringswet AVG is een feit.

Op 19 juli 2018 is het Wetsontwerp betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna “Wetsontwerp”) goedgekeurd door de wetgever. Het Wetsontwerp geeft invulling aan de vrijheid die de Algemene Verordening Gegevensbescherming (AVG) aan de lidstaten liet om op verschillende vlakken de AVG af te stemmen op ‘nationale’ maat. Dit artikel gaat beknopt in op de belangrijkste wijzigingen en uitbreidingen relevant voor ondernemingen.

Het Wetsontwerp heft de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (en bijhorend KB) op, en treedt in werking de tiende dag na haar publicatie in het Belgisch staatsblad; vanaf dan kijken we dus naar de AVG, dit Wetsontwerp en eventuele specifieke regelgeving.

 

  1. Wat zijn de nieuwigheden?

 

  • Digitale meerderjarigheid: 13 jaar

Het Wetsontwerp stelt de leeftijdsgrens van digitale meerderjarigheid vast op 13 jaar. De AVG bepaalde reeds dat een verwerking waar de grondslag “toestemming” is, als rechtmatig wordt beschouwd wanneer de minderjarige, die een de rechtstreekse ontvanger is van een dienst van de informatiemaatschappij, 16 jaar is. Een 16-jarige kan dus volgens de AVG zijn/haar toestemming geven voor de verwerking van zijn/haar persoonsgegevens, terwijl voor minderjarigen onder 16 jaar zijn/haar wettelijke vertegenwoordiger moet toestemmen met die verwerking. De AVG voorziet echter de mogelijkheid voor de lidstaten om deze leeftijd te verlagen.

De Belgische wetgever heeft van deze mogelijkheid gebruik gemaakt en gekozen voor de laagst mogelijke leeftijd, namelijk 13 jaar. In de praktijk betekent dit dat Belgische minderjarigen vanaf 13 jaar social media zoals Facebook kunnen gebruiken zonder ouderlijke toestemming.

 

  • Belangrijke uitzonderingen voor verwerking van strafrechtelijke gegevens

De regulering van de verwerking van strafrechtelijke persoonsgegevens werd in de AVG (deels) overgelaten aan de lidstaten. Daarom vermeldt het Wetsontwerp (art. 10 §1) uitzonderingsgevallen waarin er een verwerking van strafrechtelijke persoonsgegevens toegestaan is. De meest opvallende uitzondering (art. 10 §1 5°) laat dergelijke verwerking toe indien de betrokkene daarmee uitdrukkelijk en schriftelijk instemt. Met deze uitzondering wordt de verwerking van strafrechtelijke persoonsgegevens in verschillende gevallen opnieuw mogelijk die voor de inwerkingtreding van het Wetsontwerp niet was toegestaan.

Het Wetsontwerp bevat ook enkele maatregelen ter bescherming van deze gegevens (art. 10 §2). Zo moet de verwerkingsverantwoordelijke de categorieën van personen aanwijzen die toegang hebben tot dergelijke persoonsgegevens en hun hoedanigheid nauwkeurig beschrijven, hij moet ervoor zorgen dat deze personen het vertrouwelijk karakter van de gegevens in acht nemen en deze lijst bijhouden. De toezichthoudende autoriteit kan die lijst opvragen.

 

  • DPO verplicht bij verwerking persoonsgegevens voor de federale overheid

Lidstaten hebben de mogelijkheid om bijkomende situaties te bepalen waarbij een DPO verplicht aangesteld moet worden. Nieuw is nu dat een organisatie die persoonsgegevens verwerkt voor rekening van een federale overheid of waaraan een federale overheid persoonsgegevens doorgeeft, een DPO moet aanstellen indien de verwerking een “hoog risico” kan inhouden in de zin van artikel 35 AVG (Wetsontwerp art. 21).

Voor bedrijven is het dus belangrijk om na te gaan of er een gegevensuitwisseling plaatsvindt van of naar de federale overheid en zo ja, of er bij de verwerking sprake is van een hoog risico. Deze laatste voorwaarde is toegevoegd op voorstel van de Gegevensbeschermingsautoriteit (GBA; toen nog Privacycommissie) in het kader van de risicogebaseerde benadering die voortvloeit uit sommige bepalingen van de AVG.

Dit hoog risico kan volgens de adviescommissie o.a. bestaan uit een groot aantal bij de verwerking betrokken personen of bij opdrachten van openbare dienst die de verwerking vergen van de persoonsgegevens van de gebruikers van openbare diensten.

 

  • Bijzondere categorieën persoonsgegevens en het “zwaarwegend algemeen belang”

Onder de AVG bestaat een principieel verbod om bijzondere categorieën persoonsgegevens te verwerken. Dit zijn gegevens omtrent het ras, politieke opvattingen, medische gegevens etc. Artikel 9.2 AVG somt wel enkele uitzonderingsgevallen op. Zo is de verwerking o.a. wel toegestaan wanneer die noodzakelijk is om redenen van zwaarwegend algemeen belang. De invulling van deze term is aan de lidstaten overgelaten.

 

België maakte daar gebruik van; het Wetsontwerp somt drie redenen op:

  • de verwerking van bijzondere persoonsgegevens is toegestaan door verenigingen die als statutair hoofddoel de verdediging en bevordering van de fundamentele rechten en vrijheden van de mens heeft, de verwerking verricht voor dit doel en een machtiging heeft verkregen van de Koning;
  • de verwerking van bijzondere persoonsgegevens is rechtmatig wanneer ze gebeurt door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”, en
  • bijzondere persoonsgegevens die het seksuele leven betreffen mogen verwerkt worden door verenigingen met als statutair hoofddoel de evaluatie, begeleiding en behandeling van personen van wie het seksueel gedrag gekwalificeerd kan worden als een misdrijf, en die voor dit doel erkend en gesubsidieerd zijn.

De Belgische wetgever legde verder specifieke beperkingen op, ook wanneer een dergelijke wettelijke verwerkingsgrond aanwezig is. Niet zomaar elke verwerking (m.n. verwerking van genetische en biometrische gegevens) zijn in voornoemde gevallen toegestaan.

Bij de verwerking van genetische, biometrische of gezondheidsgegevens konden lidstaten ook passende maatregelen nemen. Deze zijn dezelfde geworden als bij de verwerking van strafrechtelijke persoonsgegevens (zie punt b). Dit wil zeggen dat elke onderneming die genetische, biometrische of gezondheidsgegevens verwerkt, met het Wetsontwerp een lijst van personen moet bijhouden die toegang hebben tot deze categorieën van bijzondere gegevens.

 

  • AVG en de overheid

Vooral voor overheden is er dankzij het Wetsontwerp nu meer duidelijkheid. Zo wordt o.a. de Richtlijn 2016/680/EU inzake de verwerking van gegevens in het kader van het strafonderzoek omgezet. Verder wordt meer invulling gegeven aan de bepalingen omtrent de verwerking door de veiligheidsdiensten, de krijgsmacht, OCAD en de passagiersinformatie-eenheid.

De wetgever ging ook in op de afwijkingen in het kader van de verwerking voor wetenschappelijke, historische, statistische doeleinden of op oog op archivering.

 

  1. Rechtsmiddelen en vertegenwoordiging

Vanaf heden is het mogelijk om een vordering tot staking in te stellen om een inbreuk op een bepaling betreffende de gegevensbescherming vast te doen stellen en de staking ervan te doen bevelen. Dit is een procedure voor de voorzitter van de rechtbank van eerste aanleg, zetelend zoals in kort geding. De schadelijder kan bovendien schadevergoeding vorderen overeenkomstig het contractueel of buitencontractuele aansprakelijkheidsrecht.

Het is nu ook mogelijk voor een betrokkene om zich te laten vertegenwoordigen. Zo kunnen bepaalde organen, organisaties of vzw’s namens een betrokkene een klacht indienen en administratief of gerechtelijk beroep aantekenen. Er gelden wel enkele voorwaarden voor die vertegenwoordiger, zoals een geldige oprichting, rechtspersoonlijkheid, een statutair doel van openbaar belang en een activiteit sedert minstens drie jaar inzake gegevensbescherming.

 

  1. Strafsancties
  • Nieuwe strafsancties

Het meest opvallende van het Wetsontwerp is waarschijnlijk de invoering van strafsancties. Naast de reeds bestaande corrigerende maatregelen, die administratieve boetes kunnen omvatten, bood de AVG de lidstaten de mogelijkheid om zelf strafsancties te voorzien bij ernstige inbreuken.

 

  • Overheid vs. private sector – een andere bestraffing verantwoord?

Artikelen 222 tot 227 van het Wetsontwerp sommen de verschillende inbreuken op, samen met de bijhorende straffen. Het gaat om handelingen die gelinkt zijn aan misdrijven in het Strafwetboek, zoals bijvoorbeeld de belemmering van de wettelijke verificatie- en controleopdrachten. Meestal moet er ook sprake zijn van kwaadwilligheid of ernstige nalatigheid om bestraft te kunnen worden met een strafsanctie. Opvallend hierbij, en ook aangeklaagd door de adviescommissie, is de ongelijke behandeling tussen inbreuken in de publieke en private sector. Zo kunnen overheden en hun aangestelden of gemachtigden niet bestraft worden met administratieve geldboetes, maar enkel met strafsancties en corrigerende maatregelen zonder financiële impact, in tegenstelling tot de private sector waar alle voorgaande sancties toegepast worden. De adviescommissie vond deze ongelijke behandeling moeilijk te verantwoorden, maar de wetgever hield voet bij stuk.

 

  • Non bis in idem

Hierop aansluitend ontstaat er een interessant vraagstuk wanneer feiten zowel straf- als administratiefrechtelijk bestraft kunnen worden. Artikel 229 van het Wetsontwerp biedt de mogelijkheid voor de bevoegde toezichthoudende autoriteit en het College van procureur-generaals om een protocolakkoord te sluiten met werkafspraken omtrent de verdeling van de zaken. Het gaat in dit geval om inbreuken die tot een administratieve sanctie kunnen leiden en vallen onder de strafrechtelijke inbreuken van artikelen 222 en art. 223 van dit Wetsontwerp. Deze artikelen dekken bijna alle misdrijven op het vlak van gegevensbescherming. Bij gebrek aan een protocolakkoord heeft de Procureur des Konings twee maanden om de toezichthoudende autoriteit mee te delen dat er een opsporingsonderzoek of gerechtelijk onderzoek loopt. Deze mededeling doet de mogelijkheid vervallen voor de autoriteit om haar corrigerende bevoegdheden uit te oefenen. Bij gebrek aan een mededeling binnen de twee maanden kunnen de feiten enkel nog administratiefrechtelijk bestraft worden. Dit betekent dat het Openbaar Ministerie zeer snel moet handelen, want de Procureur des Konings verliest de bevoegdheid bepaalde feiten te vervolgen wanneer hij deze mededeling niet doet binnen de vooropgestelde periode.

De adviescommissie bekritiseert het verval van de corrigerende bevoegdheden en vindt dit in strijd met artikel 58.2 AVG, zonder verdere motivering. Nochtans mag er volgens het non bis in idem beginsel niet tweemaal gestraft worden voor dezelfde inbreuk, zelfs al gaat het om twee verschillende soorten sancties. Dit haalt de Belgische wetgever zelf ook tweemaal aan in de Memorie van Toelichting. Hierbij verwijst de wetgever naar arrest nr. 86/2015 van het Grondwettelijk Hof van 11 juni 2016 waar geoordeeld werd dat “bij cumulatieve strafrechtelijke en administratieve sancties, de non bis in idem-regel moet worden nageleefd bij de concrete toepassing van deze regels in de praktijk”.

 

Link Wetsontwerp: http://www.dekamer.be/FLWB/PDF/54/3126/54K3126001.pdf

Auteur: Nathan Schryvers

Anneleen Vander Elstraeten
Maxime Verstrepen
Pauline Hellemans