AVGB-Update: Toezichthouders (taken en bevoegdheden)

Inleiding

In deze AVGB-update staat de rol van de nationale toezichthoudende autoriteiten centraal, met inbegrip van hun territoriale bevoegdheid, (nieuwe) taken en (nieuwe) handhavingsmiddelen.

De AVGB introduceert verscheidene nieuwe regels met betrekking tot de bevoegdheid van nationale toezichthoudende autoriteiten en bevat uitgebreide onderzoeks- en handhavingsmogelijkheden, waaronder de mogelijkheid om hoge boetes uit te vaardigen.

De bevoegdheid van nationale toezichthoudende autoriteiten

Ook onder de AVGB blijven nationale toezichthouders bestaan. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Er is geen overkoepelende toezichthoudende autoriteit op Europees niveau op grond van de AVGB. Iedere lidstaat is verplicht om een onafhankelijke toezichthoudende autoriteit aan te stellen die verantwoordelijk is voor het toezicht op de toepassing van de AVGB.

Indien een verantwoordelijke of een verwerker grensoverschrijdende verwerkingsactiviteiten verricht, is de toezichthoudende autoriteit van de hoofdvestiging (of de enige vestiging van de verantwoordelijke of verwerker) exclusief bevoegd om als leidende toezichthoudende autoriteit ten aanzien van die grensoverschrijdende verwerkingsactiviteiten. De bevoegdheid en de rol van de leidende toezichthoudende autoriteit zal in de volgende AVGB-update in meer detail worden besproken.

Iedere toezichthoudende autoriteit is bevoegd om op het grondgebied van haar eigen lidstaat toezicht te houden op verwerkingsactiviteiten die betrekking hebben op betrokkenen op haar grondgebied, alsmede op verwerkingsactiviteiten die worden uitgevoerd door een niet in de EU gevestigde verantwoordelijke of verwerker wanneer zij zich richt op betrokkenen die zich op het grondgebied van de toezichthoudende autoriteit bevinden. Deze 'lokale' zaken dienen door de nationale autoriteit bij de leidende autoriteit te worden gemeld. De leidende autoriteit heeft vervolgens drie weken de tijd om te besluiten of zij de zaak al dan niet zal behandelen. Indien de leidende autoriteit besluit om de zaak niet te behandelen, zal deze door de nationale autoriteit worden behandeld met, waar nodig, wederzijdse bijstand en gezamenlijke onderzoeken.

Taken

De AVGB bevat een uitgebreide lijst met taken voor de toezichthoudende autoriteiten. Deze taken omvatten de verplichting om:

  • de AVGB te monitoren en handhaven;
  • de bekendheid met en het inzicht in de risico's, regels, waarborgen en rechten met betrekking tot verwerkingsactiviteiten (met name met betrekking tot kinderen) te bevorderen bij het brede publiek;
  • nationale instellingen en organen te adviseren over de toepassing van de AVGB;
  • de verantwoordelijken en de verwerkers beter bekend te maken met hun verplichtingen op grond van de AVGB;
  • desgevraagd informatie te verstrekken aan betrokkenen over de uitoefening van hun rechten op grond van de AVGB;
  • klachten van betrokkenen of hun vertegenwoordiger(s) te behandelen, de inhoud te onderzoeken en de betrokkenen binnen een redelijke termijn van de uitkomst in kennis te stellen;
  • samen te werken met andere toezichthoudende autoriteiten teneinde de samenhang in de toepassing en de handhaving van de AVGB te waarborgen;
  • onderzoeken te verrichten naar de toepassing van de AVGB;
  • de relevante ontwikkelingen te volgen voor zover deze van invloed kunnen zijn op de bescherming van persoonsgegevens;
  • standaard verwerkingsovereenkomsten goed te keuren;
  • standaardbepalingen voor de doorgifte van persoonsgegevens naar derde landen goed te keuren;
  • bindende bedrijfsvoorschriften goed te keuren;
  • voorwaarden op te stellen voor het verrichten van gegevensbeschermingseffectbeoordelingen;
  • het opstellen van gedragscodes te bevorderen; en
  • andere taken uit te voeren met betrekking tot de bescherming van persoonsgegevens.

Bevoegdheden

Een groot deel van de bevoegdheden die de AVGB aan de toezichthoudende autoriteiten verleent, hebben betrekking op de hierboven genoemde specifieke taken. De meeste bevoegdheden zijn een gedetailleerde(re) uitwerking van de bevoegdheden die reeds onder het huidige privacy regelgevingskader (de Richtlijn Bescherming Persoonsgegevens 95/46/EC, geïmplementeerd in de Nederlandse Wet bescherming persoonsgegevens) aan toezichthoudende autoriteiten worden toegekend.

De toezichthoudende autoriteiten hebben onder de AVGB onder meer de volgende handhavingsmiddelen:

  • verantwoordelijken en verwerkers gelasten informatie te verstrekken met betrekking tot verwerkingsactiviteiten;
  • onderzoeken verrichten in de vorm van gegevensbeschermingscontroles;
  • toegang verkrijgen tot alle bedrijfsruimten van verantwoordelijken en verwerkers, alle uitrustingen en middelen voor gegevensbescherming daaronder begrepen;
  • waarschuwingen of berispingen geven;
  • boetes opleggen (het onderwerp 'boetes' zal meer in detail worden besproken in de AVGB update van februari 2018);
  • verantwoordelijken en verwerkers gelasten de verzoeken van betrokkenen met betrekking tot de uitoefening van hun rechten op grond van de AVGB in te willigen (inzage, rectificatie, verwijdering et cetera);
  • verantwoordelijken en verwerkers gelasten hun verwerkingsactiviteiten in overeenstemming met de AVGB te brengen;
  • verantwoordelijken gelasten een inbreuk in verband met persoonsgegevens aan de betrokkenen mee te delen; en
  • het doorgeven van persoonsgegevens naar een ontvanger in een derde land opschorten.

Lidstaten kunnen voorzien in aanvullende bevoegdheden voor hun toezichthoudende autoriteit. De Nederlandse regering heeft van deze mogelijkheid gebruik gemaakt door in het wetsvoorstel Uitvoeringswet AVGB (momenteel aanhangig bij de Tweede Kamer) de AP de bevoegdheid te geven een last onder dwangsom en, weliswaar minder waarschijnlijk, een last onder bestuursdwang op te leggen bij niet-naleving van de AVGB.

In het geval van een last onder dwangsom krijgt de betreffende organisatie een bepaalde termijn om haar werkwijze aan te passen. Indien de organisatie dit nalaat, zal er een boete worden opgelegd. In het geval van een last onder bestuursdwang zal de AP zelf de nodige maatregelen nemen, indien de organisatie in gebreke blijft om tijdig passende maatregelen te nemen om de niet-naleving te herstellen. Een voorbeeld van het gebruik van deze bevoegdheid is wanneer de AP de verantwoordelijke gelast de betrokkenen in kennis te stellen van een datalek. Indien de verantwoordelijke niet aan deze last voldoet, is de AP bevoegd zelf een openbare verklaring te publiceren om zo de betrokkenen te informeren over het datalek. De kosten die de AP in dit verband maakt, kunnen op de verantwoordelijke worden verhaald.

Een dergelijke verklaring van de AP zal een aanzienlijk breder publiek bereiken dan alleen de desbetreffende betrokkenen. Deze methode kan dan ook aanzienlijke gevolgen voor de reputatie van de verantwoordelijke hebben, waardoor dit mogelijk een zeer effectief hulpmiddel voor is voor de AP om naleving van de AVGB te handhaven.

Praktische aanbevelingen en conclusie

Hoewel de AVGB een uitgebreide lijst met taken en bevoegdheden voor de toezichthoudende autoriteiten bevat, zijn deze taken en bevoegdheden grotendeels gelijk aan de bestaande taken en bevoegdheden van toezichthoudende autoriteiten op grond van de huidige regelgeving. Echter, onder de AVGB kunnen diverse bevoegdheden worden uitgeoefend zowel jegens verantwoordelijken als verwerkers, terwijl de bevoegdheden onder de huidige regelgeving alleen jegens verantwoordelijken kunnen worden uitgeoefend.

Bovendien kunnen sommige bevoegdheden een behoorlijke invloed hebben op de dagelijkse bedrijfsvoering van organisaties, bijvoorbeeld de bevoegdheid om de doorgifte van gegevens naar ontvangers in derde landen op te schorten. Daarnaast zijn toezichthoudende autoriteiten bevoegd om aanzienlijke boetes op te leggen, wat wij verder zullen bespreken in onze AVGB-update van februari 2018.

Klik hier om u aan te melden voor deze nieuwsbrief

Overzicht van te behandelen onderwerpen

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017 'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage,rectificatie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (wissing, beperking, bezwaar en geautomatiseerde besluitvorming)
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overzicht

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.