Voorzitter op vrijdag: "Toegang tot competent en onafhankelijk juridisch advies moet gegarandeerd zijn, voor vriend én vijand."
Innovatieve oplossingen voor complexe geschillen: een blik op hybride ADR
Wat is GDPR?
Op 25 mei 2018 trad de General Data Protection Regulation (GDPR) in werking. Die Europese regelgeving, in het Nederlands bekend als de Algemene Verordening Gegevensbescherming (AVG) beoogt – en verplicht – een betere bescherming van de persoonsgegevens in de lidstaten van de EU.
GDPR/AVG definitief in werking getreden
Op 25 mei 2018 trad de General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) onherroepelijk in werking.
Die Europese regelgeving werd ontworpen om de bestaande privacywetgeving van de EU-lidstaten klaar te maken voor het huidige digitale tijdperk: enerzijds door de bescherming van de persoonsgegevens op Europees niveau te harmoniseren, anderzijds door de bescherming te versterken via bijkomende verplichtingen voor de verwerkingsverantwoordelijken en verwerkers en uitgebreide rechten voor de betrokkenen (de personen van wie de gegevens verwerkt worden).
Een eerste rechtstreeks gevolg daarvan was dat de Verordening de Europese Gegevensbeschermingsrichtlijn 95/46/EC vervangt, maar ook dat de lidstaten hun Nationale ‘privacy huishouding’ in overeenstemming moesten brengen met de AVG.
Een Verordening heeft conform artikel 288 van het Verdrag betreffende de werking van de Europese Unie (VWEU) dan wel een algemene strekking, is verbindend in al haar onderdelen en rechtstreeks toepasselijk in elke lidstaat, maar de Europese regelgever bouwde een overgangsperiode in om de Nationale overheden de mogelijkheid te bieden hun regelgeving aan te passen.
Daarom werd bepaald dat, hoewel de Verordening al op 27 april 2016 werd ondertekend, zij pas van toepassing zou worden vanaf 25 mei 2018.
Verantwoordelijkheid, transparantie, informatie en proportionaliteit in het kader van minimale gegevensverwerking Basisprincipes
De Verordening vormt in zekere zin een stijl- en trendbreuk met tal van de vorige privacyregels en nationale principes inzake de gegevensbescherming, doordat ze de verantwoordelijkheid en verplichtingen van de verwerkingsverantwoordelijkenin aanzienlijke mate opschroeft.
Dat uit zich onder meer in de afschaffing van de voorafgaande machtiging die een verwerker (of verwerkingsverantwoordelijke) kon opvragen bij de Nationale Privacycommissie (in België de Gegevensbeschermingsautoriteit of GBA) en waardoor zo goed als alle ‘gemachtigde’ verwerkingen een a priori rechtmatigheidskarakter kregen.
Sinds 25 mei bepaalt de Verordening dat de verwerkingsverantwoordelijke zelf moet instaan voor al zijn verplichtingen, en te allen tijde moet kunnen aantonen dat zijn verwerking rechtmatig, doelgericht en -gebonden en proportioneel is.
Het basisprincipe is dat uitgegaan wordt van een minimale gegevensverwerking, en dat elke afwijking van dat principe onder de verantwoordelijkheid valt van de verwerkingsverantwoordelijke.
Die verantwoordelijkheid komt onder meer tot uiting in de verplichte opmaak van het zogenaamde dataverwerkingsregister. Dat vormt bij wijze van spreken het ‘hart’ van de verwerkingsactiviteiten en vormt een levend archief van alle soorten van verwerkingen die een onderneming uitoefent. Dat register kan in theorie ook steeds opgevraagd worden door de Nationale toezichthoudende autoriteiten (zie infra).
Daarnaast bepaalt de Verordening ook dat bepaalde ondernemingen vanaf een bepaald type van verwerkingen, of voor verwerkingen van een specifieke omvang – in mensentaal gaat het om grootschalige verwerkingen of geautomatiseerde verwerkingen, al dan niet van gevoelige gegevens – verplicht een zogenaamde functionaris voor de gegevensbescherming (beter gekend onder de Engelse benaming als Data Protection Officer, of DPO) moeten aanstellen.
Vooralsnog stellen de Verordening en de adviezen van de toenmalige Article 29 Working Party (nu hervormd naar de EDPB die op Europees niveau de implementatie van de Verordening in goede banen moet leiden) en onze eigen GBA dat die verplichting in principe niet geldt voor de individuele advocaat of voor kleinere kantoren.
Een andere verplichting die geldt, is dat de verwerkingsverantwoordelijken van persoonsgegevens op een transparante wijze moeten communiceren over hun verwerkingen. De meest evidente manier om dat te doen is om te werken via informatiefiches en het gebruik van een privacyverklaring die op een eenvoudige manier te consulteren is
Wanneer een verwerkingsverantwoordelijke geconfronteerd wordt met een datalek of een inbreuk in zijn systemen (bijvoorbeeld door hacking, ransomware of phishing) moet hij dat vanaf nu ook binnen de 72 uur melden aan de Nationale autoriteit voor de gegevensbescherming, en in bepaalde gevallen aan de mogelijks geraakte betrokkenen.
Meer in het algemeen stelt de Verordening bovendien de verplichtingen inzake een passende en veilige IT-architectuur voor ondernemingen op scherp.
Een onrechtstreekse verplichting, ten slotte, is dat de verwerkingsverantwoordelijke verplicht wordt om tijdig en op gepaste wijze om te gaan met de rechten van de betrokkenen.
‘Nieuwe’ rechten voor de betrokkenen
De Verordening heeft sinds 25 mei 2018 tal van rechten omschreven waarvan een betrokkene gebruik kan maken. Het betreft volgende rechten:
- Recht op informatie (art. 13-14 AVG)
- Recht op inzage (art. 15 AVG)
- Recht op rectificatie/aanvulling (art. 16 AVG)
- Recht op gegevenswissing/’vergetelheid’ (art. 17 AVG)
- Recht op verzet (art. 18 en 21 AVG)
- Recht op overdracht (art. 20 AVG)
Hoewel de perceptie bestaat dat dat allen nieuwe principes zijn, stonden heel wat van die rechten reeds in de Belgische privacywet van 1992. Het verschil is wel dat, sinds 25 mei 2018, verwerkingsverantwoordelijken verplicht zijn om tijdig en gemotiveerd te reageren op de uitoefening van al die rechten. Dat betekent niet dat een verwerkingsverantwoordelijke steeds verplicht zal zijn om gevolg te geven aan een uitgeoefend recht – de Verordening voorziet ook verschillende toepassingsvoorwaarden en uitzonderingen of weigeringsgronden – maar wel dat hij binnen een vastgestelde termijn van 30 dagen (eenmalig verlengbaar met nogmaals 30 dagen) de betrokkene dient te informeren over de al dan niet tegemoetkoming aan het gevraagde.
Bijkomend moet een verwerkingsverantwoordelijke er zich vanaf nu ook van bewust zijn dat betrokkenen steeds een klachtrecht hebben. Dat betekent dat zij zich te allen tijde kunnen wenden tot de nationale Gegevensbeschermingsautoriteit wanneer zij van mening zijn dat hun gegevens niet op rechtmatige wijze verwerkt worden, dan wel dat niet op adequate wijze gevolg werd gegeven aan een verzoek tot uitoefening van een van boven opgesomde rechten.
Nieuwe Gegevensbeschermingsautoriteit(en) met verregaande bevoegdheden
Een laatste belangrijke innovatie waarop gewezen moet worden, is dat de Verordening op uniforme wijze de installatie en organisatie van de nationale Gegevensbeschermingsautoriteiten regelt. Waar de lidstaten vroeger vrij waren om de structuur, organisatie, bevoegdheden en sanctiemogelijkheden van hun autoriteiten te regelen, wordt dat nu geharmoniseerd – en scherp gesteld – door de AVG.
Dat betekent voor België onder meer dat de bestaande CBPL omgevormd werd – met de wet van 3 december 2017 – tot de Gegevensbeschermingsautoriteit (GBA). Belangrijk is dat die GBA vanaf nu ook een andere structuur meekreeg en over verregaande bevoegdheden beschikt. Zo werden een inspectiedienst en een geschillenkamer opgericht, die respectievelijk als een soort van gerechtelijke privacy politie en een interne rechtbank opereren. De inspectiedienst kan buigen op intrusieve onderzoeksmogelijkheden zoals verhoren, woonstbetredingen, inbeslagnames en verzegelingen. De geschillenkamer beschikt dan weer over een arsenaal aan sanctiemaatregelen – en wordt ook de kamer die zich zal buigen over de klachten van de betrokkenen – waarvan de beruchte monsterboetes de beruchtste zijn.
Iedereen die persoonsgegevens verwerkt, dient zich dus bewust te zijn dat de GBA weldegelijk het potentieel heeft om hardhandig op te treden, maar uiteraard in eerste instantie ook zal trachten om minder verregaandere oplossingen te vinden, zoals bemiddeling en dergelijke.
Op Vlaams niveau werd door de Vlaamse Regering bovendien ook een Vlaamse Toezichtscommissie (VTC) opgericht, die op gelijkaardige manier over dezelfde bevoegdheden beschikt.
Nieuwe wind, geen orkaan?
In de aanloop naar de inwerkingtreding van de AVG, werd de nodige ruchtbaarheid gegeven aan de nieuwe vloedgolf van verplichtingen en regels waaraan ondernemingen dienden te voldoen vanaf 25 mei. In samenloop met een in gebreke blijven van adequate adviesverlening door de toenmalige CBPL, zorgt dat voor vaak onnodige paniekreacties. Nu de storm wat is gaan liggen, blijven vooral veel vragen over, en het besef dat ook onze eigen Belgische wetgever niet klaar is met implementatie. Niettemin geldt sinds 25 mei dat een verwittigd man er twee waard is, en bent u als advocaat-ondernemer maar beter voorbereid.
De OVB heeft van in het begin de vinger aan de pols gehouden van de ontwikkelingen van de GDPR en de overige relevante wetgeving, en maakte daarvan via diverse meldingen en opleidingen gewag. Bovendien werden heel wat modellen, voorbeelden, adviezen en nota’s aan de advocatuur ter beschikking gesteld.