Wijziging wet private veiligheid: beperking GDPR-rechten mogelijk

Geschreven door Mr Bernd FITEN, Advocatenkantoor Timelex, https://www.timelex.eu/

In november 2017 trad de nieuwe 'Wet van 2 oktober 2017 tot regeling van de private en bijzondere veiligheid' in werking. Deze nieuwe wet had tot doel om de private bewakingssector te professionaliseren door middel van betere screenings en uitgebreidere opleidingen. In ruil kreeg de bewakingssector meer taken en bevoegdheden toegewezen.

Vergunning en screening voor bewakingsactiviteiten

In België wordt het uitoefenen van bepaalde bewakingsactiviteiten geregeld door de Wet van 2 oktober 2017 en tal van bijhorende ministeriële en koninklijke besluiten. Deze wet bepaalt dat ondernemingen en interne bewakingsdiensten over een vergunning moeten beschikken om bewakingsactiviteiten te mogen uitoefenen. Het gaat bijvoorbeeld om taken zoals:

  • het statisch of mobiel bewaken van roerende of onroerende goederen,

  • beveiligd vervoer,

  • bescherming van personen,

  • winkelinspectie,

  • evenementenbewaking,

  • bewaking in het uitgaansmilieu,

  • enz.

Volg op 23 september 2019 van 12 uur tot 14 uur het online seminar Cybersecurity - Hoe de NIS-wet implementeren in uw bedrijf? met Ruben ROEX en Edwin JACOBS

Naast het beschikken over een vergunning, moet ook het personeel van deze ondernemingen of interne bewakingsdiensten aan bepaalde voorwaarden voldoen. Daarom bepaalt de wet dat het personeel moet worden gescreend door de Algemene Directie Veiligheid en Preventie van de FOD Binnenlandse Zaken.

Wijziging van de Wet private veiligheid

De rechten die betrokkenen, de gescreende personen, hebben op basis van de GDPR zouden hen echter het recht geven om bijvoorbeeld inzage in deze screening te vragen. Daarom is nu de Wet private veiligheid gewijzigd.

Hierdoor kan de Algemene Directie Veiligheid en Preventie van de FOD Binnenlandse Zaken in bepaalde gevallen de uitoefening van bepaalde rechten beperken.

GDPR laat lidstaten toe rechten te beperken

Opdat de beperking van rechten zoals het recht informatie, inzage, rectificatie, gegevenswissing of beperking van de verwerking niet strijdig zou zijn met de GDPR, maakt België gebruik van een mogelijkheid die de GDPR in artikel 23 voor lidstaten voorziet. De GDPR bepaalt wel dat lidstaten een goede reden moeten hebben om deze rechten te beperken, zoals de openbare veiligheid en om strafbare feiten te voorkomen, te onderzoeken of op te sporen.

Wat houdt deze beperking in?

Enkel beperking in wettelijk bepaalde gevallen

De gewijzigde wet bepaalt dat de functionaris voor gegevensbescherming (ook Data Protection Officer of DPO genoemd) van de Algemene Directie Veiligheid en Preventie van de FOD Binnenlandse Zaken de opgesomde rechten kan beperken in het kader van:

  • een screening,

  • een procedure voor de toekenning, weigering of intrekking van een vergunning voor het uitoefenen van bewakingsactiviteiten,

  • een controle op de naleving van de wet,

  • het opleggen van een sanctie voor een inbreuk op de wet.

Bijkomende beschermende maatregelen

Lidstaten moeten een goede reden hebben voor de beperking, maar zij moeten er ook voor zorgen dat de beperking noodzakelijk en evenredig is.

Onderstaande maatregelen zouden de impact op de rechten en vrijheden van de betrokkenen moeten beperken:

  • De beperking geldt enkel voor zover de uitoefening van het recht nadelig zou zijn voor de noden van de administratieve procedure, de controle, het onderzoek of de voorbereidende werkzaamheden, of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

  • In het kader van de vergunningsprocedure geldt de beperking slechts tijdens de periode voorafgaand aan een definitieve beslissing over de vergunning. Dus als een vergunning definitief wordt geweigerd, dan geldt er geen beperking meer. Bij een screening daarentegen geldt de beperking onbeperkt in de tijd.

  • De maximale bewaartermijn is beperkt tot 10 jaar, tenzij de Kaderwet (Wet van 30 juli 2018) uitdrukkelijk anders bepaalt. Dus de Algemene Directie Veiligheid en Preventie van de FOD Binnenlandse Zaken moet de persoonsgegevens van de betrokkene ten laatste 10 jaar na de datum van de laatste verwerking van nieuwe informatie over de betrokkene verwijderen.

  • Van zodra de beperking niet meer geldt moet de functionaris voor gegevensbescherming de betrokkene hiervan onverwijld op de hoogte brengen.

  • De verantwoordelijke voor de verwerking moet passende technische en organisatorische maatregelen nemen, waaronder minstens een passend gegevensbeschermingsbeleid.

  • De wet lijst ook enkele verplichte technische en organisatorische maatregelen op die de verantwoordelijke moet nemen, zoals het aanstellen van een functionaris voor gegevensbescherming, het bijhouden van een lijst van categorieën van personen met toegang tot de persoonsgegevens, het opleggen van een vertrouwelijkheidsplicht aan die personen, het opleiden en sensibiliseren van die personen, en het aanstellen van een verantwoordelijke voor het machtigingen van toegangen en voor de differentiatie van de rollen.