GDPR: De Belgische wetgeving laat op zich wachten ...

03 mei 2018Reglementering

Zoals iedereen weet, zal de Algemene verordening inzake gegevensbescherming ("AVG") op 25 mei 2018 in werking treden.

 

Hoewel deze verordening rechtstreeks van toepassing is in de EU-lidstaten, waaronder België, moeten de lidstaten nog steeds nationale wetgeving aannemen om uitvoering te geven aan de Verordening en om een heel aantal punten te verduidelijken inzake de verwerking van persoonsgegevens. De Belgische wetgever moet uiteraard de filosofie en de krachtlijnen respecteren die door de AVG vastgelegd werden.

 

In dit kader heeft de regering op 16 maart 2018 een voorontwerp van wet aangenomen. Dit voorontwerp werd nog niet gepubliceerd en volgt momenteel het wetgevingsproces. Deze wetgeving zou binnenkort in werking moeten treden; althans daar gaan wij van uit.

 

De Belgische Gegevensbeschermingsautoriteit (de vroegere Commissie voor de bescherming van de persoonlijke levenssfeer) heeft onlangs een zeer verhelderend advies over dit voorontwerp uitgebracht.

 

Hieronder bespreken wij een aantal elementen uit dit advies:

 

  • Volgens de Gegevensbeschermingsautoriteit zou dit voorontwerp van wet de overheidsinstanties (die nochtans veel persoonsgegevens verwerken) uitsluiten van het toepassingsgebied van de AVG, onder het voorwendsel dat dit nodig is om « de continuïteit van de openbare dienstverlening te verzekeren ».

 

Deze sterk bekritiseerde uitsluiting dient volgens de Autoriteit evenwel duidelijk omkaderd te worden met het oog op de rechtszekerheid en een effectieve toepassing van de wet, hetgeen thans nog niet het geval is.

 

  • In de memorie van toelichting bij het voorontwerp van wet wordt bevestigd dat de woonplaats van de betrokken persoon (bijvoorbeeld de werknemer) het prioritaire criterium is voor de bepaling van het toepasselijke nationale recht. De vraag welk recht van toepassing is doet zich met name voor wanneer de verwerkingsverantwoordelijke (bv. de werkgever), eventuele verwerkers en de betrokkenen zich in verschillende lidstaten bevinden;

 

De Gegevensbeschermingsautoriteit merkt echter op dat de tekst van het voorontwerp zelf geen aanvullende verduidelijking biedt die het mogelijk zou maken eventuele wetsconflicten op te lossen. Dit is een belangrijke lacune in de wet;

 

  • Het voorontwerp bepaalt dat de verwerkingsverantwoordelijke een maand de tijd heeft voor de ontvangstbevestiging van het verzoek van een betrokkene die zijn rechten wenst uit te oefenen (inzagerecht, recht op rectificatie of op gegevenswissing, enz.). De Gegevensbeschermingsautoriteit meent dat deze termijn ingekort moet worden. De AVG voorziet namelijk een termijn van ten hoogste één maand om de betrokkene in kennis te stellen van zijn rechten op basis van de Verordening;

 

  • De Gegevensbeschermingsautoriteit verwelkomt de nieuwe mogelijkheid om een procedure in kortgeding in te leiden bij de Voorzitter van de rechtbank van eerste aanleg. Het doel van deze procedure is het beëindigen of voorkomen van een verwerking die een ernstige inbreuk zou vormen op het recht op privacy;

 

  • De Gegevensbeschermingsautoriteit merkt op dat de strafrechtelijke sancties waarin het voorontwerp voorziet, lager zijn dan de administratieve boetes die opgelegd kunnen worden, zonder dat hiervoor enige rechtvaardiging wordt gegeven.

 

Tot slot meent de Gegevensbeschermingsautoriteit dat de tekst, voordat het definitief wordt goedgekeurd, op veel punten verbeterd moet worden om in overeenstemming te zijn met de algemene beginselen van de AVG en om een coherente tenuitvoerlegging ervan te verzekeren.

 

Wij blijven deze kwestie op de voet volgen en zullen u op de hoogte brengen van zodra de wettekst beschikbaar is.

 

Bron : Advies nr. 33/2018 van 11 april 2018