Op 16 november 2017 werd het wetsontwerp "tot oprichting van de Gegevensbeschermingsautoriteit" aangenomen in de plenaire vergadering van de Kamer van Volksvertegenwoordigers. Het wetsontwerp beoogt de huidige Commissie voor de Bescherming van de Persoonlijke Levenssfeer (Privacycommissie) in overeenstemming te brengen met de Algemene Verordening Gegevensbescherming.
De Algemene Verordening Gegevensbescherming ("AVG") treedt op 25 mei 2018 in werking. Iedereen heeft inmiddels gehoord van de sancties op niet-naleving ervan, waaronder monsterboetes die kunnen oplopen tot 20.000.000 EUR of tot 4% van de totale wereldwijde jaaromzet van een onderneming (artikel 83 AVG).
Op 23 augustus 2017 heeft de regering een wetsontwerp ingediend dat de Privacycommissie omvormt tot een Gegevensbeschermingsautoriteit ("GBA") met de nodige bevoegdheden om (onder meer) die sancties te kunnen afdwingen (zie Memorie van toelichting). Op 16 november 2017 werd dit wetsontwerp in de plenaire vergadering van de Kamer van Volksvertegenwoordigers aangenomen (aangenomen tekst).
Waar de huidige Privacycommissie momenteel hoofzakelijk een adviesbevoegdheid heeft, zal de Gegevensbeschermingsautoriteit in de toekomst worden omgedoopt tot een toezichthouder met alle bevoegdheden op het vlak van onderzoek en vervolging. Advies geven en informatie verstrekken aan particulieren, bedrijven en beleidsmakers over hoe zij de wetgeving inzake gegevensbescherming kunnen naleven, blijft wel een prioritaire bevoegdheid van de GBA. Wordt de wetgeving niet nageleefd, dan kan de GBA een onderzoek starten en controles uitvoeren die kunnen leiden tot dwingende maatregelen en ultiem tot een administratieve geldboete.
Om haar nieuwe taken op een efficiënte manier te kunnen uitoefenen, kent het wetsontwerp aan de Gegevensbeschermingsautoriteit een bijzondere structuur toe. De GBA zal voortaan bestaan uit zes organen:
- Het directiecomité bepaalt het algemeen beleid en de prioriteiten van de GBA.
- Het algemeen secretariaat beheert de dagelijkse ondersteunende taken.
- De eerstelijnsdienst ontvangt en behandelt klachten en verzoeken.
- Het kenniscentrum verleent advies en aanbevelingen over maatschappelijke en technologische ontwikkelingen die een impact kunnen hebben op de verwerking van persoonsgegevens.
- De inspectiedienst staat in voor het onderzoek en beschikt over uitgebreide onderzoeksbevoegdheden (personenverhoor, onderzoek ter plaatse, raadpleging van informaticasystemen, inbeslagneming, enz.).
- De geschillenkamer is het administratief geschillenorgaan en heeft onder meer de bevoegdheid om administratieve geldboeten op te leggen bij de vaststelling van inbreuken op de wetgeving. Tegen beslissingen van de geschillenkamer staat hoger beroep open bij het Marktenhof (hof van beroep) te Brussel.
Daarnaast voorziet het wetsontwerp in de oprichting van een onafhankelijke reflectieraad met vertegenwoordigers van de ondernemerswereld, beroepsfederaties, consumentenorganisaties of de academische wereld. De Gegevensbeschermingsautoriteit kan de reflectieraad raadplegen en vragen om niet-bindende adviezen te geven.
Ten slotte zullen de sectorale comités bij de Privacycommissie verdwijnen. Zij verleenden machtigingen voor de toegang tot persoonsgegevens in bepaalde gegevensbanken of voor de uitwisseling van persoonsgegevens tussen gegevensbanken. Eerder verleende machtigingen blijven wel hun rechtsgeldigheid behouden, zonder afbreuk te doen aan de potentiële controlebevoegdheden van de GBA.
De Gegevensbeschermingsautoriteit moet in principe tegen 25 mei 2018 actief zijn. Niettemin moeten verschillende aspecten nog in detail worden geregeld, zodat is af te wachten of die deadline zal worden gehaald.