Advocaten en notarissen

Transcriptie

1 Advocaten en notarissen

2 Boetebevoegdheid CBP (AP) IAPP Meeting June 11 th 2015

3 Programma Inleiding Huidige boetebevoegdheden Praktijk tot op heden Uitbreiding bevoegdheden Handhaving Openbaarmaking Gevolgen voor praktijk

4 Inleiding Boetes niet verplicht op grond van privacyrichtlijn, maar wel mogelijk Artikel 24: De Lid-Staten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze richtlijn vastgestelde bepalingen.

5 Huidige bevoegdheden CBP Last onder bestuursdwang (artikel 65 WBP) Last onder dwangsom (artikel 65 WBP jo. artikel 5:32 Awb) Bestuurlijke boete 4.500,-- op schending meldplichten Strafrechtelijke boete op schending meldplichten: Niet-opzettelijk: boete 3 e categorie (= 8.100,--) Opzettelijk: boete 4 e categorie (= ,--) of max. zes maanden gevangenisstraf

6 Huidige bevoegdheden CBP (II) Opvallend: destijds heel bewuste keuze alleen boete op schending administratieve verplichtingen te stellen. Voorzover handhaving plaatsvindt door het College bescherming persoonsgegevens is zowel in de publieke als in de particuliere sector sprake van een administratief dwangmiddel, namelijk de bestuursdwang met daaraan gekoppeld de mogelijkheid om een dwangsom op te leggen. Alleen in geval van niet-nakoming van het administratieve voorschrift dat melding dient plaats te vinden bij het College bescherming persoonsgegevens is er een strafrechtelijke handhaving met als alternatief de administratieve boete

7 Praktijk tot op heden Na 2006 geen boetes meer opgelegd, daarvoor nauwelijks Handhaving tot op heden vaak via normale correspondentie, al dan niet in combinatie met last onder dwangsom en/of perspublicaties

8 Inhoud wet kamerstukken Inhoud wet 33662: Meldplicht datalekken bij CBP en (evt.) betrokkene Administratieplicht datalekken en genomen maatregelen Afspraken over datalekken in bewerkersovereenkomst Introductie boetebevoegdheid CBP Grondslag voor samenwerkingsprotocollen en gegevensuitwisseling met andere toezichthouders Overlegplicht CBP met Justitie en BZK over beleidsregels boetes Handhaving privacybepalingen uit Tw voortaan door CBP Naamswijziging CBP naar Autoriteit Persoonsgegevens

9 Stand wetsvoorstel Op 26 mei 2015 zonder stemming door Eerste Kamer aangenomen. Inwerkingtreding op bij KB te bepalen tijdstip (evt. in delen)

10 Wijziging boetebevoegdheden (I) Boete schending meldplicht vervallen. Nieuw: boete 4 e categorie (= ) op: Niet aanwijzen NL vertegenwoordiger door verantwoordelijke buiten EU Data-export naar land dat door EU-besluit als onveilig is aangemerkt

11 Wijziging boetebevoegdheden (II) Nieuw: (lid 2) boete op schending materiele normen WBP van maximaal 6 e categorie (= ,--) c.q. 10% jaaromzet Direct op te leggen bij: Opzet (incl. voorwaardelijke opzet!) Ernstig verwijtbare nalatigheid In andere gevallen eerst na schending door CBP opgelegde bindende aanwijzing Nieuw: (lid 5) boete van maximaal 6 e categorie (= ,--) c.q. 10% jaaromzet bij niet-naleven bindende aanwijzing

12 Rode kaart situaties (I) Criterium Omschrijving & voorbeeld(en) uit wetsgeschiedenis Opzet Willens en wetens (de handeling, niet de opzet op overtreding van de Wbp!) commerciële handel in persoonsgegevens voor financieel gewin vermarkten medische gegevens zonder toestemming filmen patiënten in zwakke positie (casus VUmc) Voorwaardelijke opzet willen en wetens aanmerkelijke kans op intreden negatieve gevolgen aanvaarden (incl. behoren te weten) Niet ingrijpen terwijl geavanceerde monitoringsoftware op netwerk waarschuwt voor incidenten Ernstig verwijtbare nalatigheid het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen. Arboarts die het tot verdienmodel maakt systematisch dossiers te mailen naar werkgever Kinderen met spelletje ontlokken om vragen over ouders te beantwoorden zonder toestemming filmen patiënten in zwakke positie (casus VUmc)

13 Rode kaart situaties (II) Voorbeelden in wetsgeschiedenis (behoorlijk) willekeurig en arbitrair Onderscheid in verschillende gradaties van ernst ook behoorlijk willekeurig en arbitrair Illustratief dat VUmc-casus zowel bij gradatie 1 als gradatie 3 wordt genoemd! Hopelijk komt CBP (AP) met duidelijkere criteria in handhavingsbeleid

14 Bindende aanwijzing (I) Artikel 1 sub q WBP: de zelfstandige last die wegens een overtreding wordt opgelegd. Geïntroduceerd na advies van RvS vanwege lex-certa beginsel Concretiseert de abstracte normen uit Wbp in specifieke situatie Vereist in alle gevallen behalve de rode kaart situaties Kritische noot: last onder dwangsom niet geschikter als gele kaart?

15 Bindende aanwijzing (II) Overeenkomst: Beide gericht op herstel van overtreding In beide gevallen termijnstelling vereist Verschil: Last onder dwangsom per definitie geld verbeurd indien overtreding niet tijdig gestaakt. Na bindende aanwijzing afzonderlijk boetebesluit vereist Dwangsom kan ook per tijdseenheid of overtreding Tegelijkertijd opleggen zou dubbele herstelsanctie zijn (artikel 5:6 Awb)

16 Normen waarop boete staat (I) Artikel Artikel 6 Artikel 7 Artikel 8 Artikel 9 lid 1 Artikel 9 lid 4 Artikel 10 lid 1 Artikel 11 Artikel 12 Omschrijving Eerlijke verwerking Verzameldoel bepalen Grondslagen gegevensverwerking Doelbinding Onverenigbare verwerking vanwege geheimhouding Bewaartermijnen Gegevenskwaliteit Gezag en geheimhouding

17 Normen waarop boete staat (II) Artikel Artikel 13 Artikel 16 Artikel 24 Artikel 33 Artikel 34 lid 1 3 Artikel 34a Artikel 35 lid 1 4 Artikel 36 lid 2 4 Omschrijving Passende beveiliging Verbod verwerking bijzondere persoonsgegevens Verbod verwerking persoonsnummers Transparantie richting betrokkene bij verkrijging bij betrokkene Transparantie richting betrokkene bij verkrijging anderszins Meldplicht datalekken Inzagerecht Correctierecht

18 Normen waarop boete staat (III) Artikel Artikel 38 Artikel 39 Artikel 40 lid 2 3 Artikel 41 lid 2-3 Artikel 42 lid 1 en 4 Artikel 76 Artikel 77 Artikel 78 lid 3 en 4 Artikel 5:20 Awb Omschrijving Kennisgeving derden Kostenvergoeding rechten betrokkene Recht van verzet Opt-out commercieel gebruik Geautomatiseerde individuele besluiten Verbod op doorgifte buiten EU Voorwaardelijke uitzonderingen verbod op doorgifte Verbod doorgifte na opschorting minister Medewerkingsplicht onderzoek

19 Normen waarop geen boete staat Artikel 14 WBP: verplichte bewerkersovereenkomst Artikel 32 WBP: verplicht melden verwerking waarop voorafgaand onderzoek van toepassing is Artikel 37 WBP: (o.m.) deugdelijk vaststellen identiteit verzoeker bij uitoefening rechten en communiceren met wettelijk vertegenwoordigers indien betrokkene minderjarig is

20 Cumulatie bestuurs-/strafrecht (I) Artikel 5:44 Awb Geen bestuurlijke boete indien strafvervolging is ingesteld Bovendien voorafgaand overleg met OM vereist Primaat vervolging ligt bij OM, CBP slechts bevoegd indien OM besluit van vervolging af te zien Artikel 243 lid 2 Sv Bestuurlijke boete en/of mededeling niet opleggen daarvan geldt als kennisgeving niet verdere vervolging Una via -beginsel lijkt niet in de weg te staan aan vervolging na 12 Sv klacht

21 Cumulatie bestuurs-/strafrecht (II) Relevant voor (o.m.) schending geheimhouding (artikel 272 Sr) MvT WBP: De geheimhoudingsbepaling [van art. 12 Wbp, MJ] is een verplichting uit hoofde van een wettelijk voorschrift als bedoeld in artikel 272 van het Wetboek van Strafrecht. Denk echter ook aan heimelijk opnemen/aftappen gesprekken c.q. maken (video)opnames (139a e.v. Sr), laster/smaad in digitale context, div. computerdelicten, etc.

22 Adressant boete Verschillende adressanten: Pleger (verantwoordelijke) Medepleger (bijv. de bewerker) Feitelijk leidinggever / feitelijk opdrachtgever Bewijslast ligt steeds hoger In de praktijk zal boete primair aan verantwoordelijke worden opgelegd

23 Handhavingsbeleid Huidige handhavingsbeleid ziet op ernstige, structurele overtredingen die veel mensen treffen, waarbij handhaving verschil kan maken en die vallen binnen actuele aandachtspunten CBP Vraag is of dat beleid niet aan herziening toe is, door bijv. ook op te nemen dat rode kaart situaties prioriteit krijgen Artikel 4:84 Awb: in beginsel handelen overeenkomstig beleid, behoudens zwaarwegende omstandigheden

24 Rechtsmiddelen (I) Boete is Awb-besluit, dus div. beginselen Awb van toepassing alsmede de procedurevoorschriften (5.1 / 5.4 Awb) Boete is bovendien criminal charge idzv 6 EVRM, dus fair trial van belang Procedure: bezwaar, beroep, hoger beroep Boete opgeschort gedurende bezwaar en beroep (71 Wbp)

25 Rechtsmiddelen (II) Zwijgrecht voor onderneming? Artikel 5:10a Awb staat gewoon in afdeling Awb die zowel op natuurlijke als rechtspersonen van toepassing is In literatuur echter discussie over. Zie ook prof. mr. D.R. Doorenbos: Het zwijgrecht van de rechtspersoon. Tijdschrift voor sanctierecht en compliance Zwijgrecht voor FG binnen onderneming? In hoeverre kan FG zijn taak in volledige onafhankelijkheid [ ] uitoefenen zonder zwijgrecht?

26 Openbaarmaking Openbaarmaking boetebesluiten ligt voor de hand gelet op de artikel 8 Wob en richtsnoeren actieve openbaarmaking Vraag is wel of introductie boete ( criminal charge ) tot meer terughoudendheid omtrent publicatie leidt

27 Praktijkgevolgen Nog lastig inschatten Hoogte van de boete zal onderwerp privacy vermoedelijk nu wel meer op agenda bestuurders zetten Meer aandacht voor onderwerp ook relevant gelet op bestuurdersaansprakelijkheid ( behoren te weten neemt toe) Anderzijds blijft pakkans klein en blijft CBP/AP relatief kleine toezichthouder De vraag is of reputatiegevolgen voor menig onderneming / instelling niet zeker zo grote drijfveer is om onderwerp privacy op te pakken

28 Contactgegevens Weblog: iphone app: kennisboek / Nieuwsbrief mr. drs. M. (Mark) Jansen m.jansen@dirkzwager.nl (026)

29 Verantwoording In deze presentatie wordt algemene en beknopte informatie verstrekt over een aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee juridisch advies te geven voor concrete situaties. Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de inhoud ervan.

30 Actuele kennis van wet- en regelgeving Jurispruden tie Dirkzwager zorgt dat u Advocatuur het Arnhem weet. Postbus DA Arnhem Postbus AC Arnhem Kantoor Velperpoort Kantoor Velperpoort Velperweg 1 Verlperweg BZ Arnhem 6824 BZ Arnhem T +31 (0) T +31 (0) F +31 (0) F +31 (0) E info@dirkzwager.nl E info@dirkzwager.nl I I Postbus AB Nijmegen Kantoor Stella Maris Van Schaeck Mathonsingel AN Nijmegen T +31 (0) F +31 (0) E info@dirkzwager.nl I Postbus BC Nijmegen Kantoor Stella Maris Van Schaeck Mathonsingel AN Nijmegen T +31 (0) F +31 (0) E info@dirkzwager.nl I