GDPR update: Regulators (competence, tasks and powers) (Dutch)

Dentons
Contact

Dentons

AVGB-Update: Toezichthouders (taken en bevoegdheden)

Inleiding

In deze AVGB-update staat de rol van de nationale toezichthoudende autoriteiten centraal, met inbegrip van hun territoriale bevoegdheid, (nieuwe) taken en (nieuwe) handhavingsmiddelen.

De AVGB introduceert verscheidene nieuwe regels met betrekking tot de bevoegdheid van nationale toezichthoudende autoriteiten en bevat uitgebreide onderzoeks- en handhavingsmogelijkheden, waaronder de mogelijkheid om hoge boetes uit te vaardigen.

De bevoegdheid van nationale toezichthoudende autoriteiten

Ook onder de AVGB blijven nationale toezichthouders bestaan. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Er is geen overkoepelende toezichthoudende autoriteit op Europees niveau op grond van de AVGB. Iedere lidstaat is verplicht om een onafhankelijke toezichthoudende autoriteit aan te stellen die verantwoordelijk is voor het toezicht op de toepassing van de AVGB.

Indien een verantwoordelijke of een verwerker grensoverschrijdende verwerkingsactiviteiten verricht, is de toezichthoudende autoriteit van de hoofdvestiging (of de enige vestiging van de verantwoordelijke of verwerker) exclusief bevoegd om als leidende toezichthoudende autoriteit ten aanzien van die grensoverschrijdende verwerkingsactiviteiten. De bevoegdheid en de rol van de leidende toezichthoudende autoriteit zal in de volgende AVGB-update in meer detail worden besproken.

Iedere toezichthoudende autoriteit is bevoegd om op het grondgebied van haar eigen lidstaat toezicht te houden op verwerkingsactiviteiten die betrekking hebben op betrokkenen op haar grondgebied, alsmede op verwerkingsactiviteiten die worden uitgevoerd door een niet in de EU gevestigde verantwoordelijke of verwerker wanneer zij zich richt op betrokkenen die zich op het grondgebied van de toezichthoudende autoriteit bevinden. Deze ‘lokale’ zaken dienen door de nationale autoriteit bij de leidende autoriteit te worden gemeld. De leidende autoriteit heeft vervolgens drie weken de tijd om te besluiten of zij de zaak al dan niet zal behandelen. Indien de leidende autoriteit besluit om de zaak niet te behandelen, zal deze door de nationale autoriteit worden behandeld met, waar nodig, wederzijdse bijstand en gezamenlijke onderzoeken.

Taken

De AVGB bevat een uitgebreide lijst met taken voor de toezichthoudende autoriteiten. Deze taken omvatten de verplichting om:

  • de AVGB te monitoren en handhaven;
  • de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten met betrekking tot verwerkingsactiviteiten (met name met betrekking tot kinderen) te bevorderen bij het brede publiek;
  • nationale instellingen en organen te adviseren over de toepassing van de AVGB;
  • de verantwoordelijken en de verwerkers beter bekend te maken met hun verplichtingen op grond van de AVGB;
  • desgevraagd informatie te verstrekken aan betrokkenen over de uitoefening van hun rechten op grond van de AVGB;
  • klachten van betrokkenen of hun vertegenwoordiger(s) te behandelen, de inhoud te onderzoeken en de betrokkenen binnen een redelijke termijn van de uitkomst in kennis te stellen;
  • samen te werken met andere toezichthoudende autoriteiten teneinde de samenhang in de toepassing en de handhaving van de AVGB te waarborgen;
  • onderzoeken te verrichten naar de toepassing van de AVGB;
  • de relevante ontwikkelingen te volgen voor zover deze van invloed kunnen zijn op de bescherming van persoonsgegevens;
  • standaard verwerkingsovereenkomsten goed te keuren;
  • standaardbepalingen voor de doorgifte van persoonsgegevens naar derde landen goed te keuren;
  • bindende bedrijfsvoorschriften goed te keuren;
  • voorwaarden op te stellen voor het verrichten van gegevensbeschermingseffectbeoordelingen;
  • het opstellen van gedragscodes te bevorderen; en
  • andere taken uit te voeren met betrekking tot de bescherming van persoonsgegevens.

Bevoegdheden

Een groot deel van de bevoegdheden die de AVGB aan de toezichthoudende autoriteiten verleent, hebben betrekking op de hierboven genoemde specifieke taken. De meeste bevoegdheden zijn een gedetailleerde(re) uitwerking van de bevoegdheden die reeds onder het huidige privacy regelgevingskader (de Richtlijn Bescherming Persoonsgegevens 95/46/EC, geïmplementeerd in de Nederlandse Wet bescherming persoonsgegevens) aan toezichthoudende autoriteiten worden toegekend.

De toezichthoudende autoriteiten hebben onder de AVGB onder meer de volgende handhavingsmiddelen:

  • verantwoordelijken en verwerkers gelasten informatie te verstrekken met betrekking tot verwerkingsactiviteiten;
  • onderzoeken verrichten in de vorm van gegevensbeschermingscontroles;
  • toegang verkrijgen tot alle bedrijfsruimten van verantwoordelijken en verwerkers, alle uitrustingen en middelen voor gegevensbescherming daaronder begrepen;
  • waarschuwingen of berispingen geven;
  • boetes opleggen (het onderwerp ‘boetes’ zal meer in detail worden besproken in de AVGB update van februari 2018);
  • verantwoordelijken en verwerkers gelasten de verzoeken van betrokkenen met betrekking tot de uitoefening van hun rechten op grond van de AVGB in te willigen (inzage, rectificatie, verwijdering et cetera);
  • verantwoordelijken en verwerkers gelasten hun verwerkingsactiviteiten in overeenstemming met de AVGB te brengen;
  • verantwoordelijken gelasten een inbreuk in verband met persoonsgegevens aan de betrokkenen mee te delen; en
  • het doorgeven van persoonsgegevens naar een ontvanger in een derde land opschorten.

Lidstaten kunnen voorzien in aanvullende bevoegdheden voor hun toezichthoudende autoriteit. De Nederlandse regering heeft van deze mogelijkheid gebruik gemaakt door in het wetsvoorstel Uitvoeringswet AVGB (momenteel aanhangig bij de Tweede Kamer) de AP de bevoegdheid te geven een last onder dwangsom en, weliswaar minder waarschijnlijk, een last onder bestuursdwang op te leggen bij niet-naleving van de AVGB.

In het geval van een last onder dwangsom krijgt de betreffende organisatie een bepaalde termijn om haar werkwijze aan te passen. Indien de organisatie dit nalaat, zal er een boete worden opgelegd. In het geval van een last onder bestuursdwang zal de AP zelf de nodige maatregelen nemen, indien de organisatie in gebreke blijft om tijdig passende maatregelen te nemen om de niet-naleving te herstellen. Een voorbeeld van het gebruik van deze bevoegdheid is wanneer de AP de verantwoordelijke gelast de betrokkenen in kennis te stellen van een datalek. Indien de verantwoordelijke niet aan deze last voldoet, is de AP bevoegd zelf een openbare verklaring te publiceren om zo de betrokkenen te informeren over het datalek. De kosten die de AP in dit verband maakt, kunnen op de verantwoordelijke worden verhaald.

Een dergelijke verklaring van de AP zal een aanzienlijk breder publiek bereiken dan alleen de desbetreffende betrokkenen. Deze methode kan dan ook aanzienlijke gevolgen voor de reputatie van de verantwoordelijke hebben, waardoor dit mogelijk een zeer effectief hulpmiddel voor is voor de AP om naleving van de AVGB te handhaven.

Praktische aanbevelingen en conclusie

Hoewel de AVGB een uitgebreide lijst met taken en bevoegdheden voor de toezichthoudende autoriteiten bevat, zijn deze taken en bevoegdheden grotendeels gelijk aan de bestaande taken en bevoegdheden van toezichthoudende autoriteiten op grond van de huidige regelgeving. Echter, onder de AVGB kunnen diverse bevoegdheden worden uitgeoefend zowel jegens verantwoordelijken als verwerkers, terwijl de bevoegdheden onder de huidige regelgeving alleen jegens verantwoordelijken kunnen worden uitgeoefend.

Bovendien kunnen sommige bevoegdheden een behoorlijke invloed hebben op de dagelijkse bedrijfsvoering van organisaties, bijvoorbeeld de bevoegdheid om de doorgifte van gegevens naar ontvangers in derde landen op te schorten. Daarnaast zijn toezichthoudende autoriteiten bevoegd om aanzienlijke boetes op te leggen, wat wij verder zullen bespreken in onze AVGB-update van februari 2018.

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.