Beter laat dan nooit: Ook België heeft zijn “GDPR-wet” klaar

shutterstock_581985661

Beloofd voor het begin van het jaar, maar naar goede Belgische gewoonte uiteindelijk meer dan drie maanden te laat: de Belgische wet van 30 juli 2018 tot uitvoering van de AVG/GDPR werd afgelopen 5 september 2018 eindelijk gepubliceerd in het Belgisch Staatsblad en dat na een zeer korte voorbereiding en zonder veel democratisch debat in het parlement.

GDPR-wet vervangt de Privacywet van 8 december 1992

De “Wet van 30 juli betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens” (die wij hierna “de GDPR-wet” zullen noemen) schrapt de oude wet van 8 december 1992 en de daarbij horende uitvoeringsbesluiten. Deze wet komt bovenop de wet van 3 december 2017, die alvast de nieuwe Gegevensbeschermingsautoriteit oprichtte.

Wat staat er in deze GDPR-wet?

De GDPR-wet is uiteindelijk érg omvangrijk geworden, als men er rekening mee houdt dat ze eigenlijk enkele enkele bijkomstige elementen zou moeten uitwerken die niet rechtstreeks door de GDPR zelf geregeld zijn.  Maar liefst 280 artikels regelen niet enkel de implementatie van de GDPR an sich, maar in één trek door ook de omzetting van een andere richtlijn, met name “Richtlijn 2016/680 betreffende gegevensverwerking in verband met het plegen van strafbare feiten en hun straffen” én daarbovenop bevat de wet een hele waslijst specifieke regels betreffende de privacy-gerelateerde aspecten van de werking van onze inlichtingendiensten, leger en veiligheidsdiensten.

De territoriale reikwijdte

Een element dat in de GDPR zelf onduidelijk blijft, betreft de territoriale bevoegdheid en reikwijdte van nationale wetgeving van de lidstaten.

De Belgische wetgever tracht dat zelf in te vullen door te stellen dat de wet van toepassing is op elke verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van een in België gevestigde verwerker of verantwoordelijke, zelfs als de eigenlijke verwerking in een ander land plaatsvindt.

De wet is daarnaast ook van toepassing op elke verwerking van persoonsgegevens van Belgische inwoners, ook als de verantwoordelijke of de verwerker zich buiten de EU zouden bevinden.

De nieuwe uitvoeringsregels en toepassing van de GDPR

De GDPR is een Europese verordening, die rechtstreekse toepassing heeft in de ganse EU.  Op het eerste zicht is dan weinig nationale wetgeving nodig voor de “omzetting” in nationaal recht, maar de GDPR liet de lidstaten nog steeds heel wat ruimte om enkele specifieke elementen zelf te regelen.

Het is in die context dat de Belgische wetgever beslist heeft om:

  • De minimumleeftijd waarop jongeren zelf toestemming kunnen geven voor verwerking van hun persoonsgegevens (in een digitale context) wordt omlaag gebracht van de in de GDPR voorziene 16 jaar naar 13 jaar.
  • Een hele lijst van verwerkingen wordt om redenen van openbaar belang noodzakelijk geacht en vormt een uitzondering op het verbod op “gevoelige” gegevensverwerking, zo onder meer verwerking van persoonsgegevens door vzw’s of stichtingen met als doel de verdediging van de mensenrechten.  Ook Child Focus bijvoorbeeld wordt hier nominatum vernoemd.
  • Aanvullende waarborgen zijn voorzien voor de verwerking van genetische, biometrische en gezondheidsgegevens (dit is bijna letterlijk de inhoud van het relevante KB onder de oude Privacywet).  Zo moet de verantwoordelijke bijvoorbeeld zorgen voor het classificeren van mensen met toegang tot de gegevens, met een nauwkeurige beschrijving van hun functie in relatie tot de uitgevoerde behandelingen.
  • Een lijst is voorzien waarin een uitzondering wordt gemaakt op het verbod op verwerking van gegevens met betrekking tot veroordelingen en strafbare feiten. Natuurlijke of rechtspersonen, publiek- of privaatrechtelijk, hebben bijvoorbeeld het recht dergelijke gegevens te verwerken met het oog op het beheer van hun eigen geschillen; advocaten zijn ook vrijgesteld van dit verbod in het belang van de verdediging van hun klanten enz.
  • De wet voorziet in een aantal beperkingen van de rechten van betrokkenen in het kader van de verwerking van hun gegevens door gerechtelijke autoriteiten, politiediensten, de algemene inspectie van de federale politie en de lokale politie, de fiscus, de algemene administratie van douane en accijnzen en in het kader van verwerking van passagiersinformatie in de luchtvaart.
  • De wet regelt verder een hele reeks aangelegenheden met betrekking tot de werking van en de verwerking van gegevens door actoren in de openbare sector (artikelen 19 tot en met 23 van de wet).  Deze artikels zijn o.i. van relatief belang voor de openbare sector en we gaan hier om deze reden niet in op de details.
  • Wat wel aandacht vereist is de vaststelling dat de Belgische wetgever de gevallen waarin de aanwijzing van een DPO vereist is, verbreedt. De wet bepaalt dat een private rechtspersoon die persoonsgegevens verwerkt namens een federale overheidsinstantie of een federale overheidsinstantie die persoonsgegevens heeft overgedragen, altijd een DPO moeten aanstellen bij de behandeling van gegevens die een hoog risico met zich mee kunnen brengen in de zin van artikel 35 van de GDPR.
  • De wet voorziet een hele reeks erg uitgebreide vrijstellingen en ontheffingen voor behandeling voor journalistieke doeleinden en voor wetenschappelijke, artistieke en literaire doeleinden.

Rechtsmiddelen en sancties

De wet regelt daarnaast ook het aspect van de gerechtelijke actiemiddelen in geval van overtreding van de GDPR en de bijhorende Belgische wetten.

Gerechtelijke procedures kunnen ingesteld worden niet enkel door de betrokkene zelf, maar ook door belangenverenigingen en door de bevoegde toezichthoudende autoriteit en deze procedures kunnen gepaard gaan met een vordering tot schadevergoeding op basis van contractuele of buitencontractuele aansprakelijkheid.

Bevoegd is de voorzitter van de rechtbank van eerste aanleg, zetelend zoals in kortgeding.

De wet regelt tenslotte een aantal administratieve sancties voor overheden, hun ambtenaren en aangestelden.  Terechte bedenking die de oude Privacycommissie daarbij destijds al maakte is dat de overheid zichzelf bezwaarlijk boetes kan of zal opleggen, natuurlijk…

Vragen over GDPR of databeshcemrign en privacy in het algemeen?

Contacteer ons vrijblijvend op info@siriuslegal.be of op 02 721 13 00