Reeds Europese wetgeving in werking

Sinds 25 mei 2018 gelden reeds enkele verstrengde regels op het vlak van privacy- en gegevensbescherming. Deze regels werden opgenomen in de Europese Verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, beter bekend onder de benaming ‘GDPR’. 

De GDPR reglementering liet echter nog op bepaalde onderdelen wat ruimte aan de Belgische wetgever om aanvullende regels op te leggen of bepaalde uitzonderingen te creëren.

De nieuwe Belgische Privacywet die op 5 september in het Belgisch Staatsblad werd gepubliceerd, geldt aldus als aanvulling op de reeds bestaande Europese regelgeving. Deze herhaalt of ontkracht geenszins de reeds daarin opgenomen regels.

De nieuwe Belgische privacywet van 30 juli 2018 vervangt wel integraal onze huidige Privacywet van 8 december 1992. 

Belgische wet als aanvulling op de Europese spelregels  

Uitzonderingen voor bepaalde categorieën en overheidsdiensten

De wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens bevat voornamelijk aanvullende bepalingen die van belang zijn voor bepaalde overheidsdiensten of beroepsgroepen. Zo worden er specifieke regels voorzien voor onder meer de Krijgsmacht, inlichtingen- en veiligheidsdiensten, instellingen die instaan voor hulpverlening aan seksueel delinquenten, child focus, journalisten, etc.   

Kinderen vanaf 13 jaar geen ouderlijke toestemming meer nodig

Ook wordt in uitvoering van artikel 8.1 van de Verordening (GDPR) de verwerking van persoonsgegevens van een kind rechtmatig indien de toestemming verleend wordt door kinderen van 13 jaar of ouder. Dit betekent bijvoorbeeld dat een kind vanaf de leeftijd van 13 jaar vrij diens toestemming kan geven om een profiel aan te maken op diverse sociale media.

België kiest hierbij in vergelijking met onze buurlanden voor de laagst mogelijk toepasbare leeftijd.

Bijkomende Belgische sancties gecreëerd

Wel heeft de Belgische wetgever de reeds door de Europese regelgeving vastgelegde sancties verder verfijnd.

Zo wordt onder meer vastgesteld dat er geen administratieve geldboetes kunnen worden opgelegd aan de overheid. Overheden riskeren bijgevolg enkel niet-geldelijke administratieve sancties en/of strafrechtelijke sancties. Overheidsbedrijven die daarentegen diensten aanbieden op de Belgische markt riskeren wel nog administratieve geldboetes.

Daarnaast worden er ook enkele nieuwe strafsancties in de Belgische wetgeving opgenomen.

Zo kunnen bijvoorbeeld zowel een verwerkingsverantwoordelijke als diens verwerkers, diens aangestelde of diens gemachtigde bestraft worden met een geldboete van 250 EUR tot 15.000 EUR in volgende specifieke gevallen:

• Indien persoonsgegevens worden verwerkt zonder wettelijke basis, inbegrepen de voorwaarden voor de toestemming en verdere verwerking;
• Indien persoonsgegevens worden verwerkt in overtreding van de algemene voorwaarden voor verwerking (gerechtvaardigd doel, toereikend, ter zake dienend en niet overmatig, …) en dit door ernstige nalatigheid of kwaadwillig;
• Indien de verwerking waartegen bezwaar is gemaakt, wordt gehandhaafd zonder dwingende wettige redenen;
• Indien persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie worden doorgegeven in overtreding van de waarborgen, voorwaarden of uitzonderingen voorzien in de AVG of deze Belgische Privacywet en dit door ernstige nalatigheid of kwaadwillig;
• Indien de door de toezichthoudende autoriteit vastgestelde corrigerende maatregel voor de tijdelijke of definitieve beperking van verwerking niet wordt gerespecteerd;
• Indien de door de toezichthoudende autoriteit vastgestelde corrigerende maatregel die werd opgelegd om de verwerking in overeenstemming te brengen met de bepalingen uit de GDPR niet wordt gerespecteerd;
• Indien de wettelijke verificatie- en controle-opdrachten van de bevoegde toezichthoudende overheid, haar leden of deskundigen worden belemmerd;
• Indien er sprake is van weerspannigheid ten aanzien van de leden van de toezichthoudende autoriteit (in de zin van artikel 269 van het Strafwetboek);
• Indien er een certificering wordt opgeëist of certificeringszegels voor gegevensbescherming openbaar worden gebruikt, ook al zijn die certificeringen, zegels of merktekens niet afgeleverd door een geaccrediteerde entiteit of worden ze gebruikt nadat de geldigheid van de certificering, de zegel of het merkteken is verlopen;
• …

Bij een eventuele veroordeling tot een misdrijf zoals hierboven omschreven kan de rechtbank eveneens bevelen dat het vonnis wordt opgenomen in één of meerdere dagbladen op de wijze die zij bepalen en dit op kosten van de veroordeelde.

Kleine impact op de gemiddelde werkgever

De Belgische wetgever heeft evenwel geen gebruik gemaakt van de mogelijkheid voorzien bij de Europese Verordening om specifieke en bijkomende regels vast te leggen voor de toepassing van privacy en gegevensbescherming op de werkvloer.

Voor de gemiddelde werkgever heeft de nieuwe Belgische Privacywet dus weinig bijkomende impact.