oprichting van de Gegevensbeschermingsautoriteit, Advies nr. 92/2018 van 26 september 2018

Vergelijkbare documenten
NOTA AAN DE VLAAMSE REGERING

DE VLAAMSE REGERING, Gelet op het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, artikel 9;

oprichting van de Gegevensbeschermingsautoriteit, Advies nr. 126/2018 van 7 november 2018

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 147/2018 van 19 december 2018

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29;

Betreft: Voorontwerp van decreet betreffende de individuele opleiding (CO-A )

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 146/2018 van 19 december 2018

oprichting van de Gegevensbeschermingsautoriteit, Advies nr. 66/2018 van 25 juli 2018

Gelet op de adviesaanvraag van de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, ontvangen op 21 juni 2018;

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 08/2019 van 16 januari 2019

Betreft: voorontwerp van decreet betreffende de plaatselijke werkgelegenheidsagentschappen (CO- A )

kunstenaars (CO-A )

Betreft: Koninklijk besluit tot uitvoering van de artikelen 9 en 23 van de wet betreffende de invoering van een mobiliteitsbudget (CO-A )

RAAD VAN STATE afdeling Wetgeving

RAAD VAN STATE afdeling Wetgeving

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 22/2019 van 6 februari 2019

Betreft: Advies over het Voorontwerp van decreet betreffende het onderwijs XXIX (CO-A )

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 37/2019 van 6 februari 2019

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 124/2019 van 19 juni 2019

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 54/2019 van 27 februari 2019

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 15/2019 van 16 januari 2019

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 120/2019 van 19 juni 2019

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

NOTA AAN DE VLAAMSE REGERING

Betreft: adviesaanvraag m.b.t. artikel 58 van de Code wallon du bien-être animal (vrije vertaling: Waals wetboek voor dierenwelzijn) (CO-A )

Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016

Het is niet vereist dat elke instantie een individuele VC aanstelt. Er kan één VC worden aangewezen voor verschillende overheidsinstanties.

RAAD VAN STATE afdeling Wetgeving

Betreft: advies over een voorontwerp van wet tot oprichting van een Centraal Register Collectieve Schuldenregelingen (CO-A )

ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid art. 29 ;

Gelet op de adviesaanvraag van de heer André Antoine, voorzitter van het Waals Parlement, ontvangen op 4 april 2019;

Betreft: Voorontwerp van wet houdende fiscale, fraudebestrijdende, financiële alsook diverse bepalingen (CO-A )

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29;

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 156/2018 van 19 december 2018

Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016

1/6. persoonlijke. Federatie. Wallonië-Brussel. Toerisme. Landelijkheid,

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 45/2019 van 6 februari 2019

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 12/2019 van 16 januari 2019

oprichting van de Gegevensbeschermingsautoriteit,

Informatieveiligheidsconsulent. 23 sept 2014 Gent

jeugdbescherming (CO-A )

Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad 1

Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016

Betreft: Advies over het voorontwerp van decreet betreffende het individueel bezoldigd personenvervoer (CO-A )

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Betreft: advies betreffende een ontwerp van koninklijk besluit tot beperking van de kansspelen in de kansspelinrichtingen klasse III (CO-A )

De Commissie voor de bescherming van de persoonlijke levenssfeer

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 161/2018 van 19 december 2018

De Commissie voor de bescherming van de persoonlijke levenssfeer (hierna "de Commissie");

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

Informatieveiligheidscomité Kamer sociale zekerheid en gezondheid

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de adviesaanvraag van de heer René Collin ontvangen op 12 juli 2018;

oprichting van de Gegevensbeschermingsautoriteit,

Betreft: Ontwerp van besluit van de Vlaamse Regering tot instelling van een huurwaarborglening (CO-A )

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29; Advies nr 28/2013 van 17 juli 2013

Gelet op het verzoek om advies van mevrouw Maggie De Block, Minister van Sociale Zaken en Volksgezondheid, ontvangen op 16 november 2018;

Advies 82/2018 van 5 september 2018

Betreft: Advies op eigen initiatief inzake het decreet betreffende de Vlaamse sociale bescherming

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 137/2018 van 28 november 2018

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 97/2019 van 3 april 2019

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Gelet op de aanvraag van de Direction générale Opérationnelle de la fiscalité du Service Public de Wallonie ontvangen op 22 februari 2017;

oprichting van de Gegevensbeschermingsautoriteit,

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Briefadvies. Decreet Algemene Verordening Gegevensbescherming (AVG) Brussel, 23 februari 2018

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 89/2019 van 3 april 2019

Gelet op de aanvraag van het Vlaams Energieagentschap ontvangen op 18/08/2017;

Gelet op de aanvraag van VMSW en de e-ib ontvangen op 19/04/2012;

Advies. Aanpassing decreten aan Algemene Verordening Gegevensbescherming. Brussel, 12 februari 2018

De Commissie voor de bescherming van de persoonlijke levenssfeer;

tot de verwerking van persoonsgegevens (hierna WVG"); Advies nr. 41/2019 van 6 fébruari 2019

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29; Advies 48/2017 van 20 september 2017

oprichting van de Gegevensbeschermingsautoriteit, Advies nr. 157/2018 van 19 december 2018

Gelet op de aanvraag van het Vlaams Agentschap Kind en Gezin ontvangen op 16 mei 2017;

NOTA AAN DE VLAAMSE REGERING

De Commissie voor de bescherming van de persoonlijke levenssfeer,

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 127/2019 van 19 juni 2019

Betreft: Voorontwerp van decreet tot invoering van het Wetboek inzake beheer van ondergrondse rijkdommen (CO-A )

Privacy in de (MAGDA)kijker

Betreft: Adviesaanvraag betreffende de oprichting van een Centraal Register voor de invordering van onbetwiste geldschulden (CO-A )

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Advies VTC nr. 02/2012 van 10 juli 2012

VR DOC.1619/2

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

Het Algemeen secretariaat van de Gegevensbeschermingsautoriteit (hierna «secretariaat»);

Advies 96/2018 van 26 september 2018

Betreft: voorontwerp van decreet betreffende de administratieve boetes inzake verkeersveiligheid (CO-A )

Gelet op de aanvraag van de VMM en AIV ontvangen op 29 maart 2017;

beleidsdomein Welzijn, Volksgezondheid en Gezin (CO-A )

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

BIJLAGE 11: Bepalingen inzake de verwerkingen van persoonsgegevens door de opdrachtnemer in het kader van dit bestek

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

tot de verwerking van persoonsgegevens (hierna WVG ); Advies nr. 93/2019 van 3 april 2019

De Commissie voor de bescherming van de persoonlijke levenssfeer ;

ADVIES Nr 10 / 2001 van 25 APRIL 2001

Transcriptie:

1/7 Advies nr. 92/2018 van 26 september 2018 Betreft: adviesaanvraag over het ontwerp van besluit van de Vlaamse Regering betreffende de functionarissen voor gegevensbescherming, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische gegevensverkeer (CO-A-2018-067) De Gegevensbeschermingsautoriteit (hierna de Autoriteit); Gelet op de wet van 3 december 2017 tot inzonderheid de artikelen 23 en 26; oprichting van de Gegevensbeschermingsautoriteit, Gelet op het verzoek om advies van mevrouw Liesbeth Homans ontvangen op 18 juli 2018; Gelet op het verslag van de heer Frank De Smet; Brengt op 26 september 2018 het volgend advies uit:

Advies 92/2018-2/7 I. ONDERWERP VAN DE ADVIESAANVRAAG 1. De Vlaams minister van Binnenlands Bestuur, Inburgering, Wonen, Gelijke Kansen en Armoedebestrijding vraagt de Autoriteit om een advies uit te brengen over een ontwerp van besluit van de Vlaamse Regering betreffende de functionarissen voor gegevensbescherming, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische gegevensverkeer (hierna het ontwerp ). 2. Artikel 9 van het decreet van 18 juli 2008 betreffende het elektronisch gegevensverkeer 1 bepaalt als volgt: Conform artikel 37 van de algemene verordening gegevensbescherming wijst iedere instantie die persoonsgegevens verwerkt, een functionaris voor gegevensbescherming aan. De Vlaamse Regering bepaalt nader de opdrachten en de manier van aanwijzing van die functionarissen voor gegevensbescherming. Als de instantie een beroep doet op een verwerker als vermeld in artikel 4, 8), van de algemene verordening gegevensbescherming, wijst de verwerker eveneens een functionaris voor gegevensbescherming aan. De veiligheidsconsulenten die door de instanties werden aangewezen conform artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer zoals dit gold ten laatste op 24 mei 2018, kunnen de functie van functionaris voor gegevensbescherming opnemen als ze voldoen aan de vereisten, vermeld in artikel 37, lid 5, van de algemene verordening gegevensbescherming. 3. Tot 25 mei 2018 was iedere Vlaamse instantie verplicht om over een veiligheidsconsulent te beschikken. In plaats daarvan is er nu de verplichting om een functionaris van de gegevensbescherming aan te duiden. Het ontwerp komt dan ook in de plaats van het eerdere besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten. 4. In het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten werden de opdrachten en de aanwijzingsvoorwaarden van de veiligheidsconsulenten omschreven naar analogie met de KSZ-wet van 15 Januari 1990 en het KB van 12 augustus 1993 houdende 1 Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, zoals gewijzigd door het decreet van 8 juni 2018 houdende de aanpassing van de decreten aan de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), B.S. 26 juni 2018.

Advies 92/2018-3/7 de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid. Het voorliggende ontwerp van besluit behoudt volgens de aanvrager bijna alle bepalingen van dat besluit van 15 mei 2009 maar verklaart die bepalingen vanaf 25 mei 2018 van toepassing op de functionarissen voor gegevensbescherming. II. ONDERZOEK TEN GRONDE A. Aanwijzing van de functionaris van de gegevensbescherming 5. Overeenkomstig artikel 37(1)a AVG is de aanwijzing van een functionaris voor gegevensbescherming verplicht wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken. 6. Artikel 1 van het ontwerp voorziet dat iedere instantie (zoals vermeld in artikel 4, 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur) die persoonsgegevens verwerkt een functionaris voor gegevensbescherming aanduidt. 7. De Autoriteit stelt vast dat het ontwerp hiermee in beginsel aan artikel 37(1)a voldoet, op voorwaarde dat deze aanduiding alle overheidsinstanties of overheidsorganen afdekt die onder de bevoegdheid van de Vlaamse gemeenschap en het Vlaamse gewest ressorteren. De Autoriteit verwijst in dit verband ook naar artikel 5 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, dat het begrip overheid met het oog op de toepassing van die wet definieert. Aangezien deze definitie onder meer ook verwijst naar deelstaten en lokale overheden en de rechtspersonen die hiervan afhangen, dient de aanvrager zich er ook van te vergewissen dat het ontwerp geen afbreuk doet aan het wettelijk federaal kader op het vlak van gegevensbescherming. 2 B. De opdrachten van de functionaris van de gegevensbescherming 8. Artikel 3 van het ontwerp bepaalt dat de functionaris voor gegevensbescherming de taken vervult die vermeld worden in de AVG. Daarenboven preciseert zij nog een aantal aanvullende verantwoordelijkheden, specifiek met het oog op de veiligheid van de persoonsgegevens die de 2 Zie GwH. 20 oktober 2004, nr. 162/2004, B.5.1. en B.5.2.; 19 januari 2005, nr. 16/2005, B.5.1 en B.5.2. In dezelfde zin, GwH 14 februari 2008, nr. 15/2008, B.21. Ingevolge artikel 37(4) AVG mogen de lidstaten bepalen dat in andere dan de in 34(1) bedoelde gevallen een verwerkingsverantwoordelijke of een verwerker een functionaris voor gegevensbescherming moeten aanwijzen. Met andere woorden: de Gemeenschappen en Gewesten kunnen regelingen inzage gegevensbescherming opstellen voor zover deze kaderen binnen een aangelegenheid die tot hun bevoegdheid behoort en voor zover daarbij de federale basisnormen en de internationaalrechtelijke bepalingen niet worden aangetast. Dit komt erop neer dat de decreetgever specifieke regelgeving mag uitvaardigen, maar het federale basisniveau daarbij niet mag verlagen. Zie ook Vlaams Parlement, Stuk 1712 (2007-2008) - nr. 1, p. 11 (Ontwerp van decreet betreffende het elektronische bestuurlijke gegevensverkeer).

Advies 92/2018-4/7 instantie verwerkt. De omschrijving van deze aanvullende verantwoordelijkheden werd overgenomen uit artikel 3, 10 en 11 van het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten. 9. Vooreerst vestigt de Autoriteit de aandacht op artikel 3, tweede lid, 2, van het Ontwerp, dat aangeeft dat de functionaris van de gegevensbescherming een veiligheidsplan dient op te stellen met vermelding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. De Autoriteit neemt er akte van dat het veiligheidsplan enkel dient beschouwd te worden als een advies maar raadt toch aan om deze formulering beter uit te werken, omdat deze de indruk zou kunnen wekken dat een functionaris van de gegevensbescherming beslissingen zou kunnen/moeten nemen met betrekking tot de in te zetten middelen, terwijl een dergelijke beslissingsbevoegdheid enkel aan de verwerkingsverantwoordelijke toekomt. Voor meer informatie over de rol van de functionaris voor gegevensbescherming en diens verhouding tot de verwerkingsverantwoordelijke, verwijst de Autoriteit naar de aanbeveling nr. 04/2017 van haar rechtsvoorganger 3. 10. De Autoriteit merkt ten tweede op dat het ontwerp artikel 12 van het voornoemde besluit evenwel niet herneemt, dat als volgt luidt: Art. 12. De opdrachten van de veiligheidsconsulent hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van persoonsgegevens die voor rekening van de instantie of de entiteit in kwestie door derden worden uitgevoerd. Ofschoon de opdrachten van de functionaris van de gegevensbescherming principieel ook betrekking hebben op de verwerking van persoonsgegevens die voor rekening van de verwerkingsverantwoordelijke door een derde (verwerker) worden uitgevoerd, raadt de Autoriteit aan om in het ontwerp in een soortgelijke bepaling te voorzien. Louter vertrouwen op de functionaris van de gegevensbescherming van de verwerker is onvoldoende. 11. Ten derde vestigt de Autoriteit de aandacht op artikel 6, lid 1 van het ontwerp, dat als volgt luidt: In het kader van zijn taken bevordert en ziet de functionaris voor de gegevensbescherming toe op de naleving van de voorschriften voor de gegevensbescherming, opgelegd door de algemene verordening gegevensbescherming, de regelgeving over de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en het beleid van de verwerkingsverantwoordelijke over de bescherming van persoonsgegevens. 3 Aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer nr. 04/2017 (https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_04_2017_0.pdf)

Advies 92/2018-5/7 Deze bepaling vormt grotendeels een herhaling van artikel 39(1)b AVG en dient dan ook geschrapt te worden (overschrijfverbod). 4 Artikel 7 bestaat eveneens uit een herhaling van artikel 38(3) AVG en dient om diezelfde reden geschrapt te worden. 5 C. Bekendmaking en melding van de contactgegevens van de functionaris van de gegevensbescherming aan de toezichthoudende autoriteit 12. Artikel 37(7) AVG bepaalt dat de verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit. 13. Artikel 2 van het ontwerp bepaalt dat de verantwoordelijke voor het dagelijks bestuur binnen de instantie de contactgegevens meedeelt aan de Vlaamse toezichtcommissie voor de verwerking van persoonsgegevens, vermeld in artikel 10/1 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer. Van openbaarmaking van de contactgegevens is evenwel geen sprake. De Autoriteit raadt daarom aan om toe te voegen dat de contactgegevens van de functionaris voor gegevensbescherming openbaar gemaakt zullen worden. Het is daarbij niet strikt vereist dat de bekendgemaakte contactgegevens ook de naam van de functionaris voor gegevensbescherming moeten vermelden (bv. door alleen gebruik te maken van een telefoonnummer of niet aan een naam gelinkt mailadres (zoals dpo@...) die rechtstreeks uitkomen bij de actuele functionaris). Hoewel het misschien een goede praktijk kan zijn om dat wel te doen, ligt de uiteindelijke keuze hiertoe bij de verwerkingsverantwoordelijke of de verwerker, alsook de functionaris voor gegevensbescherming zelf. 6 D. Vertrouwelijkheid en verhouding tot de toezichthoudende autoriteit 14. Artikel 38(5) AVG bepaalt dat de functionaris voor gegevensbescherming met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden is. De verplichting tot geheimhouding/vertrouwelijkheid verhindert 4 Artikel 39(1)b AVG omschrijft deze taak van de functionaris als volgt: toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits. Door deze bepaling gedeeltelijk te hernemen dreigt er verwarring te ontstaan over de werkelijke draagwijdte van de taken van de functionaris van de gegevensbescherming. 5 Artikel 7 van het ontwerp bepaalt als volgt: De functionaris voor de gegevensbescherming kan niet uit zijn functie worden ontheven wegens meningen die hij uit of daden die hij stelt om zijn functie goed uit te oefenen Artikel 38(3) AVG bepaalt als volgt: ( ) Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken ( ) 6 Groep Gegevensbescherming Artikel 29, Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), WP 243 rev.01, 5 april 2017, p. 16.

Advies 92/2018-6/7 echter niet dat de functionaris voor gegevensbescherming met de toezichthoudende autoriteit contact opneemt en haar om advies te vraagt of met de toezichthoudende autoriteit samenwerkt. 7 15. Krachtens artikel 39, lid 1, onder d) en e) AVG moet de functionaris voor gegevensbescherming immers "met de toezichthoudende autoriteit samenwerken" en "optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid". 8 16. Artikel 5 van het ontwerp bepaalt als volgt: De functionaris voor gegevensbescherming houdt alle informatie die aan hem wordt toevertrouwd of die hij kan inzien, horen of lezen in het kader van zijn taken of beroepsactiviteiten, strikt vertrouwelijk. Dat betreft zowel de informatie die op zijn opdracht betrekking heeft, als de informatie over of van zijn vakgenoten De functionaris voor gegevensbescherming mag van de algemene regel van vertrouwelijkheid van informatie alleen in de volgende twee gevallen afwijken: 1 in de gevallen die door of krachtens een wets-, decretale of reglementsbepaling zijn vastgelegd; 2 nadat hij schriftelijk een akkoord heeft gekregen van de derde die door de onthulling wordt getroffen. De functionaris voor gegevensbescherming waakt erover dat zijn medewerkers en iedere persoon die voor een opdracht onder zijn verantwoordelijkheid optreedt, de vertrouwelijkheidsplicht, vermeld in het eerste lid, naleven. 17. Het ontwerp voorziet bijgevolg wel degelijk in een vertrouwelijkheidsverplichting, maar iedere verwijzing naar de verplichting tot samenwerking met de toezichthoudende autoriteit ontbreekt. Ofschoon deze samenwerking uitdrukkelijk door de AVG wordt voorzien en bijgevolg krachtens een wetsbepaling is vastgelegd, raadt de Autoriteit desalniettemin aan om in het ontwerp te bepalen, naar analogie met artikel 49 van de KSZ-wet, dat elke functionaris voor gegevensbescherming zonder daartoe vooraf toestemming te moeten verkrijgen, zich kan wenden tot de Vlaamse Toezichtcommissie om het de feiten of toestanden mee te delen welke naar zijn oordeel diens optreden noodzakelijk maken of om het alle nuttige suggesties te doen of vragen te stellen. De Toezichtcommissie mag in dat geval de naam van de persoon die zich tot haar wendt niet bekendmaken en evenmin aan wie dan ook laten weten dat het op die wijze werd gevat, tenzij met diens uitdrukkelijke toestemming 7 Ibid, p. 22. 8 Zie verder ook Groep Gegevensbescherming Artikel 29, Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), WP 243 rev.01, 5 april 2017, p. 22 e.v..

Advies 92/2018-7/7 OM DEZE REDENEN De Gegevensbeschermingsautoriteit brengt een gunstig advies uit met betrekking tot het ontwerp van besluit van de Vlaamse Regering betreffende de functionarissen voor gegevensbescherming, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische gegevensverkeer, rekening houdend met de opmerkingen die werden geformuleerd in de punten 7, 9, 10, 11, 13 en 17: - punt 7: de aanvrager zich er van vergewist dat het ontwerp geen afbreuk doet aan het wettelijk federaal kader op het vlak van gegevensbescherming, meer bepaald wat betreft de vraag wanneer een functionaris voor de gegevensbescherming aangesteld moet worden; - punt 9: het ontwerp dient te verduidelijken dat de functionaris voor de gegevensbescherming geen beslissingsbevoegdheid heeft wat betreft de in te zetten middelen; - punt 10: het ontwerp verduidelijkt dat de opdrachten van de functionaris van de gegevensbescherming principieel ook betrekking hebben op de verwerking van persoonsgegevens die voor rekening van de verwerkingsverantwoordelijke door een derde (verwerker) worden uitgevoerd; - punt 11: de herhaling van de voorschriften van de AVG uit het ontwerp worden verwijderd; - punt 13: de contactgegevens van de functionaris van de gegevensbescherming openbaar maken; - punt 17: in het ontwerp te bepalen, naar analogie met artikel 49 van de KSZ-wet, dat elke functionaris zonder daartoe vooraf toestemming te moeten verkrijgen, zich kan wenden tot de Vlaamse Toezichtcommissie om het de feiten of toestanden mee te delen welke naar zijn oordeel diens optreden noodzakelijk maken of om het alle nuttige suggesties te doen of vragen te stellen. De Wnd. Administrateur, De Voorzitter, (get.) An Machtens (get.) Willem Debeuckelaere

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback