door Dirk De Bot
Algemeen wordt aangegeven dat de AVG zonder onderscheid van toepassing is op zowel de private als de publieke sector. Bij nader inzien is dat toch niet helemaal het geval, en zijn er voor de publieke sector zelfs specifieke aandachtspunten die maken dat men zelfs kan spreken van een eigen stelsel.
Een aantal bepalingen van de AVG kent een bijzondere toepassing binnen de publieke sector.
Allereerst is elke overheid verplícht om een DPO aan te stellen. Bij de beginselen van gegevensverwerking zijn er specifieke aandachtspunten voor de publieke sector, zoals het bijwerken van gegevens, dat van groot belang is in het kader van e-government en de bewaringstermijn, waarbij rekening moet worden gehouden met de archiefregelingen. Omwille van haar rol moet de overheid bijzondere aandacht schenken aan de transparantie van de verwerkingen, en in het bijzonder de begrijpelijkheid en toegankelijkheid van de informatie. Ook bij de rechten van de betrokkenen heeft de overheid een specifieke rol, al is niet elk recht daarbij van toepassing op overheden. Voor de doorgifte van gegevens aan overheden in derde landen gelden bovendien specifieke instrumenten die niet van toepassing zijn op private organisaties.
Een aantal andere bepalingen van de AVG zijn dan weer niet van toepassing op overheden. Dat is het geval voor de administratieve geldboetes die, in België althans, niet aan overheden kunnen worden opgelegd, tenzij ze goederen en diensten aanbieden op de markt. In dezelfde mate moet ook gewezen worden op de vervanging van de strafrechtelijke immuniteit van de meeste overheden door de schuldigverklaring, wat er uiteindelijk toe leidt dat er geen strafsancties kunnen worden opgelegd aan de meeste overheden. Verder geldt ook de one stop shop (OSS of éénloketsysteem) niet voor de publieke sector, zodat dit complexe hoofdstuk uit de AVG vervalt.
Wat de situatie van de publieke sector bijzonder en ook complex maakt, is het specifieke kader waarin overheden optreden en waarmee zij ook rekening moeten houden bij de verwerking van persoonsgegevens. Zo zijn er het administratief legaliteits- en specialiteitsbeginsel, die beide een impact hebben op de grondslag die overheden kunnen inroepen. Zij moeten bovendien samen worden gelezen met de vereisten die worden opgelegd met betrekking tot het formuleren van regelgeving. Als overheden beroep doen op een verwerker, moet dit op één of andere manier worden geïntegreerd in de overheidsopdracht die zij daartoe normaal moeten uitschrijven.
Verder worden er binnen de publieke sector op regelmatige basis persoonsgegevens uitgewisseld. Hiervoor is er een specifiek stelsel uitgewerkt, zowel op federaal als Vlaams niveau, waarbij er een machtiging, in diverse vormen, moet worden bekomen. Vermits overheden ook nog onderworpen zijn aan andere regelingen zoals openbaarheid van bestuur en motivering van bestuurshandelingen, moet nagegaan worden hoe deze regelingen zich tot elkaar verhouden.
Bijkomende complexiteit is de vaststelling dat er over advies bij regelgeving én het toezicht op gegevensverwerking discussie is wie hiervoor instaat: de federale toezichthouder, GBA, of de Vlaamse toezichthouder, VTC.
Dit kort overzicht maakt duidelijk dat, voor gegevensverwerkingen, overheden met een specifiek kader worden geconfronteerd dat op meerdere punten afwijkt van het “gemeenrechtelijke” stelsel dat geldt voor private organisaties. Dit houdt zelfs het risico in dat bepaalde organisaties zullen afwegen of het de moeite loont om als een overheid te worden gekwalificeerd, zeker als de kost die verbonden is aan de aanstelling van een DPO, opweegt tegen de kost die verbonden is aan een verzekering tegen administratieve geldboetes.
Om dit kader onder de knie te krijgen biedt DPI een specifieke opleiding aan, op maat van de publieke sector: de DPO Overheid. Werk jij als DPO bij de overheid en wil jij je grondig informeren over de specifieke aandachtspunten voor de overheid? Schrijf je dan nu in voor de DPO Overheid en vermijd de valkuilen van de AVG in de publieke sector!