Advies 124/2018 van 7 november 2018 Betreft:

Advies 124/2018 van 7 november 2018

Betreft: Advies over het ontwerp van decreet houdende de controle op de wetgevingen en reglementeringen betreffende de reconversie en beroepsheroriëntering alsook de invoering van administratieve boeten die van toepassing zijn bij inbreuken op deze wetgevingen en reglementeringen en over het voorontwerp van decreet houdende de controle op de wetgevingen en reglementeringen betreffende het economisch beleid, het werkgelegenheidsbeleid en het wetenschappelijk alsook de invoering van administratieve boeten die van toepassing zijn bij inbreuken op deze wetgevingen en reglementeringen (CO-A-2018-103)

De Gegevensbeschermingsautoriteit (hierna "de Autoriteit");

Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (hierna AVG)

Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid op artikel 23 en 26;

Gelet op de wet van 31 juli 2018 betreffende de bescherming van de natuurlijke personen met betrekking tot de verwerking van persoonsgegevens;;

Gelet op de adviesaanvraag van de heer Pierre-Yves Jeholet, De Minister van Economie, Industrie, Onderzoek, Innovatie, Digitale Technologieën, Tewerkstelling en Vorming van de Waalse Regering ontvangen op 13 september 2018;

Gelet op het verslag van de heer Willem Debeuckelaere;

Brengt op 7 november 2018 het volgend advies uit:

I. Onderwerp

1. De Minister van Economie, Industrie, Onderzoek, Innovatie, Digitale Technologieën, Tewerkstelling en Vorming van de Waalse Regering (hierna "de aanvrager") legt twee teksten ter advies voor aan de Autoriteit:

 een ontwerp van decreet houdende de controle op de wetgevingen en reglementeringen betreffende de reconversie en beroepsheroriëntering alsook de invoering van administratieve boeten die van toepassing zijn bij inbreuken op deze wetgevingen en reglementeringen ;

 een voorontwerp van decreet houdende de controle op de wetgevingen en reglementeringen betreffende het economisch beleid, het werkgelegenheidsbeleid en het wetenschappelijk onderzoek alsook de invoering van administratieve boeten die van toepassing zijn bij inbreuken op deze wetgevingen en reglementeringen.

2. Deze twee teksten hebben gemeenschappelijk dat zij handelen over onderzoeks- en enquêtebevoegdheden van regionale ambtenaren om de naleving van de voormelde wetgevingen te controleren en, in voorkomend geval, administratieve boeten op te leggen.

3. Dit ontwerp en voorontwerp strekken er respectievelijk toe om:

 een coherent en ontzuild controlebeleid te voeren in het Waalse gewest;

 aangepaste instrumenten ter beschikking te stellen van de inspectiediensten, gekoppeld aan de maatschappelijke en juridische evoluties;

 geharmoniseerde regels in te voeren inzake administratieve boeten.

4. Deze teksten omkaderen eveneens de verwerkingen van persoonsgegevens die in het raam van deze procedures worden uitgevoerd.

. . . . . .

II. Onderzoek

5. De Autoriteit beperkt haar onderzoek tot de bepalingen die een impact hebben op de bescherming van persoonsgegevens; vermits deze laatste identiek geformuleerd werden zullen zij gezamenlijk worden onderzocht.

6. Elke overheidsinmenging in het recht op eerbiediging van de persoonlijke levenssfeer moet worden voorgeschreven in een 'voldoende precieze wettelijke bepaling' die beantwoordt aan een dwingende maatschappelijke behoefte en evenredig is met de nagestreefde doelstelling. Een dergelijke wettelijke bepaling moet de essentiële elementen definiëren van de met de overheidsinmenging gepaard gaande verwerkingen van persoonsgegevens . Deze rechtsgrond moet de volgende essentiële elementen bevatten:

- de verwerkingsdoeleinden;

-de types of categorieën van verwerkte gegevens;

- de betrokkenen;

- de entiteiten waaraan en doeleinden waarvoor de persoonsgegevens mogen worden verstrekt;

- de doelbinding;

- de bewaartermijnen ;

- de verwerkingsactiviteiten en –procedures , waaronder maatregelen om te zorgen voor een rechtmatige en loyale verwerking;

- de vaststelling van de verwerkingsverantwoordelijke

a) Doeleinden en doelbinding

7. De ontwerpteksten strekken ertoe met aangepaste instrumenten en geharmoniseerde regels, op basis van het Sociaal Strafwetboek en het Wetboek van Strafvordering, de verschillende bevoegdheden en opdrachten inzake controle en inspectie te omkaderen waarover sommige gewestelijke ambtenaren beschikken in zake enerzijds de beroepsheroriëntering en anderzijds het werkgelegenheidsbeleid en het wetenschappelijk onderzoek, alsook de regels inzake administratieve boeten die kunnen voortvloeien uit deze controles.

8. Artikel 8, §1, van deze ontwerpen stelt (vrije vertaling) « de inspecteurs gaan over tot elk onderzoek, opsporing, controle en hoorzitting en verzamelen alle informatie die zij nodig achten om zich ervan te verzekeren dat de in artikel 3 beoogde wetten en reglementeringen worden nageleefd». Voornoemd artikel 3 van de ontwerpteksten somt op exhaustieve wijze de wetgevingen en reglementeringen op waarvan de inspecteurs de naleving moeten verzekeren en waarvoor zij gemachtigd zijn om inbreuken op te sporen.

9. De ontwerpteksten bepalen de uitdrukkelijk omschreven en gerechtvaardigde doeleinden, bakenen deze duidelijk af en voorzien niet in een later doeleinde dat onverenigbaar zou zijn met de oorspronkelijke doeleinden, conform artikel 5.1.b) van de AVG.

b) Categorieën verwerkte persoonsgegevens en betrokkenen

10. De ontwerpteksten bepalen niet duidelijk de door de verwerkingen beoogde categorieën gegevens. Artikel 19 van deze ontwerpen voorziet dat (vrije vertaling) «elk proces-verbaal (…) bevat ten minste een van de volgende gegevens (…) ». Dit laat niet toe met zekerheid de persoonsgegevens te bepalen die de inspecteurs kunnen verwerken. De Autoriteit verzoekt de aanvrager om deze gegevens nader te omschrijven.

11. De ontwerpteksten beogen zeer ruim de personen van wie de persoonsgegevens kunnen worden verwerkt in het raam van een onderzoek of een controle. Artikel 8 § 2 bepaalt immers dat (vrije vertaling) « zonder afbreuk te doen aan artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en de reglementering inzake bescherming van persoonsgegevens, noteren de inspecteurs de identiteit van de personen die zich bevinden op de werkvloer of andere plaatsen die onderworpen zijn aan hun controle en waarvan zij redelijkerwijs kunnen verwachten dat het gaat om werkgevers, aangestelden of mandatarissen, arbeiders, begunstigden, alsook iedere persoon waarvan zij de ondervraging noodzakelijk achten voor de uitoefening van de controle. (…) ». De Autoriteit oordeelt dat de personen die betrokken zijn bij de verwerkingen duidelijk zijn geïdentificeerd.

c) De bewaartermijn van de gegevens

12. De ontwerpteksten voorzien niet in een bewaartermijn voor de verwerkte persoonsgegevens. De enige precisering inzake bewaartermijn slaat op beelden die gemaakt worden door de inspecteurs of door derden en die gebruikt worden in het raam van een administratieve geldboete. Artikel 10

§ 3, 2^de lid van de ontwerpteksten verduidelijkt hiertoe dat hun drager wordt bewaard door de administratie tot een vonnis of een in kracht van gewijsde gegane beslissing werd uitgesproken of tot wanneer de beslissing tot het opleggen van een administratieve geldboete uitvoerbaar is geworden of de inbreuk zonder gevolg werd geklasseerd.

13. Naast het feit dat een dergelijke verduidelijking niet volstaat voor het bepalen van een maximale bewaartermijn voor de gegevens, slaat zij enkel op afbeeldingen en niet op andere persoonsgegevens, zoals onder meer deze die voorkomen in de processen-verbaal die opgesteld worden door de inspecteurs.

14. De Autoriteit verzoekt de aanvrager zich te schikken naar de voorschriften van artikel 5.1 e) van de AVG en de bewaartermijn(en) te verduidelijken van de gegevens die zouden kunnen worden verwerkt in het raam van de opdrachten verleend van de inspecteurs op basis van de doeleinden bepaald in de ontwerpteksten.

d) Bepalen van de verwerkingsverantwoordelijke

15. Artikel 38 van de ontwerpteksten bepaalt onder meer (vrije vertaling) « De Regering duidt een verantwoordelijke aan voor de verwerking van persoonsgegevens in de zin van de regelgeving inzake de bescherming van persoonsgegevens. »

16. Teneinde in overeenstemming te zijn met artikel 6.3 van de AVG meent de Autoriteit dat wanneer de rechtmatigheid van een verwerking van persoonsgegevens gebaseerd is op een rechtsgrond (of wettelijke basis), deze laatste onder meer de algemene voorwaarden moet bevatten voor de rechtmatigheid van de verwerking door de verwerkingsverantwoordelijke. Teneinde deze rechtmatigheid ten volle te kunnen bepalen kan de aanwijzing van de verwerkingsverantwoordelijke niet worden overgelaten aan de Regering.

17. De Autoriteit verzoekt dan ook de aanvrager om de tekst van artikel 38 op dit punt te herzien en de verwerkingsverantwoordelijke(n) in de ontwerpteksten te preciseren.

18. Zij vestigt eveneens de aandacht van de aanvrager op de Memorie van Toelichting betreffende voormeld artikel 38, waarin enkel wordt gepreciseerd (vrije vertaling) « dit artikel strekt ertoe een persoon aan te wijzen die er wordt mee belast, in het raam van onderhavig decreet, toe te zien op de regelgeving inzake bescherming persoonsgegevens ». Deze uitleg lijkt verwarring te stichten tussen de begrippen verwerkingsverantwoordelijke en functionaris voor gegevensbescherming. Hoewel het klopt dat openbare overheden in toepassing van artikel 37.1 van de AVG verplicht zijn een functionaris voor gegevensbescherming aan te wijzen, mag deze verplichting echter niet worden verward met deze tot aanduiding van de verwerkingsverantwoordelijke(n).

19. Bijgevolg verzoekt de Autoriteit de aanvrager om zijn Memorie van Toelichting aan te passen en te preciseren, in de tekst zelf van zijn ontwerpteksten, dat een functionaris voor gegevensbescherming wordt aangewezen om, onder meer, de verwerkingsverantwoordelijke te helpen teneinde, met verwijzing naar de artikelen 38 en 39 van de AVG, de regels inzake bescherming van persoonsgegevens na te leven.

e) Mededeling van de gegevens aan derden

20. Artikel 23 van de ontwerpen bepaalt (vrije vertaling) « de inspecteurs delen de inlichtingen die zij tijdens hun inspectie hebben verzameld mee aan de openbare instellingen en meewerkende instellingen van de sociale zekerheid, aan de inspecteurs van andere inspectiediensten, alsook aan alle andere ambtenaren die belast zijn met de controle op andere wetgevingen of in toepassing van een andere wetgeving, indien deze inlichtingen hen kunnen interesseren bij de controle waarmee zij zijn belast of in toepassing van een andere wetgeving.» In die zin merkt de Autoriteit op dat de mededeling van persoonsgegevens beperkt zal zijn tot personen die gemachtigd zijn hiervan kennis te nemen ingevolge welbepaalde en legitieme doeleinden.

21. Op dezelfde wijze voorziet artikel 25 in de mogelijkheid voor de eventuele bestemmelingen van deze gegevens, om er gebruik van te maken (vrije vertaling) « voor de uitoefening van de controleopdrachten waarmee zij zijn belast », net zoals artikel 26 bepaalt dat de Regering op basis van samenwerkingsakkoorden, afgesloten met de regeringen van andere gemeenschappen en gewesten, andere ambtenaren belast met de arbeidsinspectie kan machtigen om op haar grondgebied alle nuttige inlichtingen voor hun controleopdracht in te zamelen. Deze bepalingen geven geen aanleiding tot opmerkingen.

f) Beperkingen van de rechten en verplichtingen van de betrokkenen

22. Hoofdstuk 6 van de ontwerpteksten, getiteld « Bescherming van de persoonlijke levenssfeer », omvat een uniek artikel, artikel 38, dat er voornamelijk toe strekt artikel 23, e) en h) van de AVG toe te passen door de rechten en verplichtingen bedoeld in de artikelen 12 tot 22 van de AVG zonder onderscheid te beperken.

23. Vooreerst herhaalt de Autoriteit dat ongeacht de door de aanvrager geplande beperkingen, de Waalse regering alsook elke andere verwerkingsverantwoordelijke die de ontwerpteksten zal moeten toepassen, onderworpen blijven aan de regels inzake bescherming van de persoonlijke levenssfeer conform artikelen 8 EVRM, 22 van de Belgische Grondwet en 7 en 8 van het Handvest van de grondrechten van de Europese Unie. De Autoriteit merkt in dit verband de verwijzing op naar artikel 8 EVRM die aldus wordt gemaakt in artikel 29 van de ontwerpteksten.

24. Teneinde conform de AVG te zijn dienen deze beperkingen ten minste te beantwoorden aan de criteria opgesomd in artikel 23.2 van de AVG:

« 2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste:

a) de doeleinden van de verwerking of van de categorieën van verwerking;

b) de categorieën van persoonsgegevens;

c) het toepassingsgebied van de ingevoerde beperkingen;

d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;

e) de vaststelling van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;

f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking,

g) de risico's voor de rechten en vrijheden van de betrokkenen; en

h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking. »

25. Wat betreft de doeleinden, de categorieën persoonsgegevens, de bepaling van de verwerkingsverantwoordelijke, de bewaartermijn, verwijst de Autoriteit naar de voorgaande overwegingen van dit advies.

26. Betreffende het toepassingsgebied van de ingevoerde beperkingen, bepaalt artikel 38 dat de rechten en verplichtingen vermeld in artikelen 12 tot en met 22 in bepaalde omstandigheden niet zullen worden toegepast, zonder onderscheid tussen deze rechten en verplichtingen. De Memorie van Toelichting verantwoordt evenmin de afwijkingen op de rechten en verplichtingen bedoeld in de artikelen 12 tot 22. Dergelijke afwijkingen op de rechten kunnen nochtans niet op algemene wijze worden voorzien. Het Hof van Justitie van de Europese Unie preciseerde dat de Lidstaten deze uitzonderingen slechts kunnen aannemen voor zover deze “noodzakelijk zijn”¹. Gelet op het streven van de Europese wetgever naar een hoog beschermingsniveau², betekent dit dat de uitzonderingen op de rechten van de betrokkenen binnen de grenzen van het strikt noodzakelijke³ moeten blijven. De noodzaak en de evenredigheid van de betrokken maatregelen moeten dus beperkend geïnterpreteerd worden.

27. In de huidige stand ziet de Autoriteit onder meer niet in waarom deze beperkingen eveneens slaan op de informatieverplichting zoals bedoeld in de artikelen 13 en 14 van de AVG⁴. Dergelijke informatie zou onder meer kunnen worden opgenomen in de lijst met de aan de aan de betrokkenen te verstrekken informatie tijdens hun verhoor, vastgesteld in artikel 33 van de ontwerpteksten. Zo ook, wanneer een persoon die betrokken is bij een onderzoek zijn recht op

1 Hof van Justitie 7 november 2013 (C-473/12), BIV v. Englebert, §32.

2 Overweging 10 van de AVG, Overweging 10 Richtlijn 95/46/EG.

3 Hof van Justitie 7 november 2013 (C-473/12), BIV v. Englebert, §39.

4 De Autoriteit verwijst in dit verband naar punt 146.5 van het Advies over het Voorontwerp van wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/advies_33_2018.pdf .

rectificatie wenst uit te oefenen zoals voorzien in artikel 16 AVG, ziet de Autoriteit a priori niet waarom dit zou worden belet, indien deze persoon bijvoorbeeld een fout met betrekking tot zijn gegevens zou hebben vastgesteld.

28. Zonder vooruit te lopen op de ontoereikendheid van deze beperkingen in het licht van de AVG, verzoekt de Autoriteit de aanvrager, voor elk van de rechten en verplichtingen, de verantwoording van de ingevoerde beperkingen nader te omschrijven.

29. Artikel 38 beantwoordt evenwel aan de aanbevelingen geformuleerd door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer in haar advies 33/2018 van 11 april 2018 over het wetsontwerp betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, waar zij in punt 146 stelt dat een afbakening in de tijd van deze uitzondering op de rechten en verplichtingen zou kunnen worden verklaard door volgende verduidelijkingen: "Deze afwijkingen gelden gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of onderzoek of de daarmee verband houdende voorbereidende werkzaamheden, uitgevoerd door de voormelde inspectiediensten in het kader van de uitvoering van hun wettelijke opdrachten. Wanneer een dossier wordt overgemaakt aan de administratie waarvan de inspectiedienst afhangt, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten pas hersteld nadat de bevoegde administratie of instelling heeft beslist over het resultaat van het onderzoek." De Autoriteit beschouwt deze verduidelijkingen in artikel 38 van de ontwerpteksten dus als positief.

30. Betreffende de maatregelen ter voorkoming van misbruiken of ongeoorloofde toegang of doorgiften, bepaalt artikel 38 dat de inspecteurs (vrije vertaling) « kunnen » beslissen om de rechten en verplichtingen, bepaald in de artikelen 12 tot 22 niet toe te passen « gedurende de periode waarin de betrokkene het onderwerp vormt van een controle, een onderzoek of de daarmee gepaard gaande voorafgaande werkzaamheden, in het raam van de decretale en reglementaire opdrachten van de inspecteurs, en op voorwaarde dat dit voor het goede verloop van het onderzoek noodzakelijk is ». De Autoriteit begrijpt dat de beperking van de rechten en verplichtingen niet automatisch wordt toegepast en het onderwerp zal vormen van een voorafgaand en continu onderzoek door de inspecteurs, geval per geval, wat een belangrijke maar onvoldoende garantie vormt om te beantwoorden aan de vereisten van artikel 23.2.d).

31. De Autoriteit herhaalt onder meer haar standpunt, vervat in punt 19 van onderhavig advies en verzoekt de aanvrager om in de ontwerpteksten te voorzien in de aanwijzing van een functionaris voor gegevensbescherming, wat een bijkomende garantie zou betekenen tegen misbruiken en ongeoorloofde toegang of doorgiften.

32. Betreffende de maatregelen en waarborgen waarin moet worden voorzien om de rechten en vrijheden van de betrokkenen in het algemeen krachtens de AVG te beschermen, besliste de Commissie voor de Bescherming van de Persoonlijke Levenssfeer dat « in het kader van een administratieve sanctieprocedure de raadpleging van het onderzoeksdossier en het hierop volgende contradictoir verweer voldoende waarborgen bieden». De Autoriteit sluit zich aan bij dit standpunt en merkt op dat dit het geval is in het raam van de ter advies voorgelegde ontwerpen.

Zij noteert eveneens dat ontwerpartikel 14 voorziet dat de genomen maatregelen en de beroepsmogelijkheden tegen deze maatregelen alsook het bevoegde gerechtelijke arrondissement, vervat zijn in een schriftelijke vaststelling die tegen ontvangstbevestiging wordt overhandigd aan de bij het onderzoek betrokken persoon. Zodoende bevat de ontwerptekst de minimale waarborgen om de risico's voor de rechten en vrijheden van de betrokkenen te vermijden.

33. Ten slotte bepaalt artikel 38 van het ontwerp dat (vrije vertaling) « wanneer de belanghebbende in de zaak, vermeld in het eerste lid, gedurende de periode vermeld in het tweede lid, een aanvraag indient op basis van de artikelen 12 tot en met 22 van de voormelde Verordening (EU) 2016/679 van de Raad van 27 april 2016, verwijzen de inspecteurs hem naar de bevoegde gegevensbeschermingsautoriteit. De bevoegde toezichthoudende autoriteit inzake gegevensbescherming deelt uitsluitend aan de betrokkene mee dat de nodige verificaties werden verricht.» De Autoriteit begrijpt hieruit dat de wetgever bij haar een recht op onrechtstreekse toegang wenst in te stellen. De Autoriteit is geen voorstander van een systeem van onrechtstreekse toegang waarbij de betrokkene enkel een bericht krijgt dat "de nodige verificaties werden verricht". Het gaat immers om een log en administratief zwaar systeem, dat een werkelijke beroepsmogelijkheid ter zake bij de Autoriteit uitsluit. Bovendien wordt geen enkele verantwoording verstrekt waarom een dergelijk systeem van onrechtstreekse toegang onontbeerlijk zou zijn voor de in artikel 9 bedoelde inspectiediensten, terwijl andere inspectiediensten klaarblijkelijk perfect kunnen functioneren zonder een dergelijk systeem.

34. De Autoriteit verzoekt de aanvrager in dit verband zijn ontwerp aan te passen en hierbij te steunen op in andere wetgevingen bestaande oplossingen, zoals de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, die een belangrijkere rol toebedeelt aan de functionaris voor gegevensbescherming die

de betrokkenen erover zal informeren dat zij desgevallend een beroep kunnen indienen bij de Gegevensbeschermingsautoriteit⁵.

35. Gelet op wat voorafgaat, moet de Autoriteit vaststellen dat ontwerpartikel 38 in beide teksten niet voldoet aan de voorschriften van artikel 23 van de AVG.

g) Beveiligingsmaatregelen

36. Alle verwerkingen van persoonsgegevens zullen, overeenkomstig artikel 32 van de AVG en ongeacht hun doeleinden, moeten gepaard gaan met op de risico's afgestemde passende technische en organisatorische veiligheidsmaatregelen.

OM DIE REDENEN,

de Autoriteit,

brengt een gunstig advies uit over het ontwerp van decreet houdende de controle op de wetgevingen en reglementeringen betreffende de reconversie en beroepsheroriëntering alsook de invoering van administratieve boeten die van toepassing zijn bij inbreuken op deze wetgevingen en reglementeringen en over het voorontwerp van decreet houdende de controle op de wetgevingen en reglementeringen betreffende het economisch beleid, het werkgelegenheidsbeleid en het wetenschappelijk alsook de invoering van administratieve boeten die van toepassing zijn bij inbreuken op deze wetgevingen en reglementeringen, met betrekking tot de volgende aspecten van deze ontwerpteksten:

5 Zo voorziet artikel 61§3 van de wet van 5 september 2018 bijvoorbeeld dat Bij ontvangst van een verzoek betreffende het meedelen van de te verstrekken informatie bedoeld in § 2, derde lid, bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke stelt de betrokkene zo snel mogelijk en in elk geval binnen de maand na ontvangst van het verzoek schriftelijk in kennis van elke weigering of beperking van informatie en van de redenen voor de weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in § 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene over de mogelijkheden om een klacht in te dienen bij de Gegevensbeschermingsautoriteit en een beroep in te stellen bij een rechterlijke instantie.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke tekent de feitelijke of juridische gronden op waarop de beslissing is gebaseerd. Deze informatie wordt ter beschikking gesteld van de Gegevensbeschermingsautoriteit.. »

 Punten 7-8-9. De doeleinden van de verwerking zijn uitdrukkelijk omschreven en gerechtvaardigd, zonder dat wordt voorzien in een later onverenigbaar doeleinde;

 Punt 11. De betrokkenen worden duidelijk geïdentificeerd;

 Punten 20-21 De mededeling van persoonsgegevens wordt correct beperkt tot uitsluitend de personen die gemachtigd zijn hiervan kennis te nemen ingevolge welbepaalde en legitieme doeleinden;

 Punt 29. De afwijkingen op de op de rechten en verplichtingen bedoeld in de artikelen 12 tot 22 van de AVG zijn wel degelijk beperkt in de tijd.

Andere aspecten van het ontwerp en het voorontwerp nopen echter tot een ongunstig advies vanwege de Autoriteit die de aanvrager verzoekt deze aan te passen, rekening houdend met de volgende opmerkingen:

 Punt 10. De door de verwerkingen beoogde categorieën gegevens nauwkeurig bepalen;

 Punten 13-14. De bewaartermijnen bepalen;

 Punten 16-17-35. De verantwoordelijke(n) voor de verwerking aanduiden;

 Punten 18-19-31-35. De Memorie van toelichting verduidelijken met betrekking tot artikel 38 en voorzien in de aanstelling van een functionaris voor gegevensbescherming;

 Punten 26-27-28-35. De afwijkingen op de op de rechten en verplichtingen bedoeld in de artikelen 12 tot 22 van de AVG verantwoorden;

 Punten 33-34.. Het mechanisme voor onrechtstreekse toegang waarvan sprake in artikel 38 herzien;

 Punt 36. Technische en organisatorische veiligheidsmaatregelen nemen die afgestemd zijn op de risico's ;

De Wnd. Administrateur, De Voorzitter,

(get.) An Machtens (get.) Willem Debeuckelaere