Legal insight

D. CASAER, "25 mei 2018 nadert snel – wees voorbereid!", ODC Nieuwsbrief Privacy Law, september 2017

Monsterboetes tot 20 miljoen euro en meer - Gegevens-beschermingsautoriteit krijgt inspectie en sanctiebevoegdheid.

Op 25 mei 2018 zal de General Data Protection Regulation (GDPR - Algemene Verordening Gegevensbescherming) haar volledige uitwerking krijgen. Het wetsontwerp dat de Privacycommissie omvormt naar Gegevensbeschermingsautoriteit en bijkomende bevoegdheden verschaft, werd recent ingediend in het parlement en zal de komende weken verder worden behandeld. De krachtlijnen zijn echter nu reeds te lezen in het wetsontwerp 54/2648.

Zeg niet meer Privacycommissie maar wel Gegevensbeschermingsautoriteit

De Privacycommissie wordt grondig hervormd. De Gegevensbeschermingsautoriteit (verder DPA = Data Privacy Authority) moet de Privacycommissie vervangen en moet evolueren van een adviesorgaan naar een controle- en sanctieautoriteit. Deze autoriteit zal verschillende diensten omvatten zoals:

 - een eerstelijnsdienst die advies geeft

 - een kenniscentrum

 - een inspectiedienst

 - een geschillenkamer

Deze ombouw van de bestaande Privacycommissie moet ten laatste tegen 25 mei 2018 rond zijn.

Kan de Belgische Gegevensbeschermings-autoriteit Facebook en co binnenkort verplichten om de stekker uit te trekken?

Dat het menens is met deze nieuwe privacy waakhond blijkt uit de lijst van de bijkomende bevoegdheden die de DPA krijgt om op te treden bij bedrijven die de privacyregels met voeten treden. Het gaat om volgende bevoegdheden:

 - mensen verhoren

 - PV opstellen

 - schriftelijk inlichtingen inwinnen

 - onderzoeken ter plaatse verrichten

 - informaticasystemen raadplegen

 - tot identificatie overgaan van de gebruikers van elektronische communicatie

Maar de meest ingrijpende maatregelen zouden wel eens kunnen zijn dat de DPA als voorlopige maatregel de verwerking van gegevens kan opschorten, beperken of bevriezen. Daarnaast kan men voorwerpen, documenten of informaticasystemen gedurende 72 uur verzegelen of in beslag nemen.

Administratieve geldboetes tot 20 miljoen euro (x 2 zelfs bij recidive)

Er is al veel aandacht geweest voor de hoge boetes die de DPA vanaf 25 mei 2018 zal kunnen opleggen. De maximumboete kan inderdaad tot 20 miljoen euro oplopen (of 4% van de totale wereldwijde omzet in het voorgaande boekjaar).

Het wetsontwerp voorziet de procedure die gevolgd zal worden bij het opleggen van deze extreme boetes.

Het zal de geschillenkamer van de DPA zijn die hierover zal oordelen en die haar beslissingen moet motiveren. Bij samenloop van inbreuken kan de sanctie worden verhoogd tot maximum het dubbele van het hoogste boetebedrag. Kortom: 40 miljoen euro.

Feiten verjaren na 5 jaar en er mag geen rekening meer gehouden worden met een eerdere administratieve geldboete van méér dan 3 jaar terug.

De bestaande boetepraktijk uit bijvoorbeeld Nederland leert wel dat men al flink huis dient te houden alvorens men tot dergelijke megabedragen komt. Voor het vastleggen van de boetes zal men rekening houden met de 11 criteria die voorzien zijn in de Privacyverordening 2016/679. Het gaat samengevat om volgende criteria:

  • de aard, ernst en duur van de inbreuk

  • of de inbreuk opzettelijk gebeurde of door nalatigheid

  • de door de verantwoordelijke genomen maatregelen om de schade te beperken

  • de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker gelet op de beveiligingsmaatregelen die hij genomen had

  • eerdere inbreuken

  • of er goed is samengewerkt met de DPA

  • over welke persoonsgegevens het juist gaat

  • de manier waarop de DPA kennis kreeg van de inbreuk en of de verantwoordelijke één en ander zelf gemeld heeft

  • of de verwerker de opgelegde corrigerende maatregelen door de DPA goed heeft nageleefd

  • of de onderneming is aangesloten bij een goedgekeurde gedragscode

  • alle andere verzwarende of verzachtende omstandigheden zoals de gemaakte winst of het geleden verlies

Deze monsterboetes moeten ervoor zorgen dat bedrijven zich in regel stellen met de nieuwe privacyregels. We kunnen dan ook niet voldoende benadrukken dat men tijdig aan de voorbereiding van de GDPR dient te beginnen.

 

***

 

 

Dylan Casaer is advocaat-vennoot bij Olislaegers & De Creus / Awerian, specialist arbeidsrecht & data privacy, Certified Data Privacy Officer (DPO). Heeft u hierbij verdere vragen, aarzel niet contact op te nemen via dcasaer@odc.law.