Gegevensbeschermingsautoriteit

Gegevensbeschermingsautoriteit

De Oostenrijkse Gegevensbeschermingsautoriteit (DSB) is de centrale toezichthoudende instantie voor de bescherming van persoonsgegevens in Oostenrijk. Zij controleert de naleving van de Algemene Verordening Gegevensbescherming (AVG) en de Oostenrijkse Wet Gegevensbescherming (DSG), beslist over klachten, start onderzoeksprocedures, legt sancties op en vertegenwoordigt Oostenrijk in het Europees Comité voor gegevensbescherming. Haar taak is het waarborgen van grondrechten, het voorkomen van misbruik en het verplichten van bedrijven en autoriteiten tot naleving van de verplichtingen inzake gegevensbescherming.

De Gegevensbeschermingsautoriteit is de nationale toezichthoudende autoriteit voor de bescherming van persoonsgegevens in Oostenrijk.

Taken en bevoegdheden

De Gegevensbeschermingsautoriteit heeft een breed scala aan taken die allemaal dienen ter bescherming van persoonsgegevens:

• Behandeling van klachten van betrokkenen
• Uitvoering van ambtshalve onderzoeksprocedures
• Beslissing in bestuursrechtelijke procedures en het opleggen van boetes
• Ontvangst en controle van meldingen van gegevensinbreuken (Data Breaches)
• Goedkeuringsprocedures, bijvoorbeeld voor gedragscodes of certificeringsinstanties
• Standpunten bij wetgevingsvoorstellen

Daarmee is zij het centrale aanspreekpunt voor betrokkenen, bedrijven en functionarissen voor gegevensbescherming.

Definitie van gegevensbescherming

Gegevensbescherming is het grondrecht om zelf te bepalen wie welke informatie over een persoon verwerkt. Persoonsgegevens zijn alle gegevens die betrekking hebben op een bepaalde persoon of een persoon identificeerbaar maken, zoals naam, adres, telefoonnummer, e-mailadres, maar ook foto’s, IP-adressen of gezondheidsgegevens.

Gegevensbescherming betekent niet dat er geen gegevens mogen worden verwerkt. Het betekent dat verwerking alleen is toegestaan onder duidelijke wettelijke voorwaarden en dat betrokkenen uitgebreide rechten hebben. Deze rechten beschermen tegen misbruik en geven de mogelijkheid om controle uit te oefenen over de eigen gegevens.

Rechten van betrokkenen

Iedere persoon kan van de Gegevensbeschermingsautoriteit eisen dat zijn grondrechten worden gerespecteerd. De AVG voorziet hiervoor in een duidelijk pakket aan rechten:

• Recht op informatie: Voor elke gegevensverwerking moeten betrokkenen duidelijk en volledig worden geïnformeerd.
• Recht op inzage: Iedere betrokkene mag weten welke gegevens zijn opgeslagen en voor welk doel.
• Recht op rectificatie en wissing: Onjuiste gegevens moeten worden gecorrigeerd, onrechtmatige gegevens moeten worden gewist.
• Recht op beperking van de verwerking: Onder bepaalde voorwaarden mag de verwerking alleen beperkt worden voortgezet.
• Recht van bezwaar: Tegen bepaalde gegevensverwerkingen kan te allen tijde bezwaar worden gemaakt.
• Recht op gegevensoverdraagbaarheid: Betrokkenen kunnen eisen dat hun gegevens in een gangbaar formaat aan henzelf of aan een ander bedrijf worden overgedragen.
• Recht op bescherming tegen geautomatiseerde besluitvorming: Niemand mag uitsluitend op basis van geautomatiseerde procedures worden benadeeld.

Deze rechten zijn niet alleen theoretisch van aard, maar kunnen worden afgedwongen – indien nodig via een klachtenprocedure bij de Gegevensbeschermingsautoriteit.

Verplichtingen van bedrijven

Bedrijven en autoriteiten zijn verplicht om gegevensbescherming niet alleen op papier, maar ook in de praktijk te implementeren. Tot de belangrijkste verplichtingen behoren:

• Rechtsgrondslag voor verwerking: Elke gegevensverwerking moet een wettelijke basis hebben, zoals toestemming of een overeenkomst.
• Transparantieverplichtingen: Betrokkenen moeten duidelijk worden geïnformeerd over wat er met hun gegevens gebeurt.
• Technische en organisatorische maatregelen (TOMs): IT-beveiliging en organisatorische procedures moeten zodanig zijn opgezet dat gegevens worden beschermd tegen verlies, misbruik of ongeoorloofde toegang.
• Register van verwerkingsactiviteiten: Bedrijven moeten traceerbaar documenteren welke gegevens zij verwerken.
• Melding van gegevensinbreuken: Beveiligingsincidenten moeten binnen 72 uur worden gemeld aan de Gegevensbeschermingsautoriteit.
• Uitvoering van gegevensbeschermingseffectbeoordelingen: Bij risicovolle verwerkingen moet een gedetailleerde analyse worden uitgevoerd.

Procedures bij de Gegevensbeschermingsautoriteit

De procedure bij de Gegevensbeschermingsautoriteit is geformaliseerd en kan verschillende vormen aannemen:

Klachtenprocedure

Betrokkenen kunnen een klacht indienen bij de Gegevensbeschermingsautoriteit als zij van mening zijn dat iemand hun persoonsgegevens onrechtmatig verwerkt. Deze procedure is relatief laagdrempelig.

Het verloop:

1. De betrokkene dient schriftelijk een klacht in – via formulier, e-mail of post.
2. De Gegevensbeschermingsautoriteit controleert of de klacht formeel ontvankelijk is.
3. De verweerder – meestal een bedrijf of autoriteit – wordt om een reactie gevraagd.
4. Daarna volgt het onderzoek naar de feiten, eventueel met aanvullende vragen of hoorzittingen.
5. Uiteindelijk volgt een beschikking van de Gegevensbeschermingsautoriteit, waarbij zij de klacht afwijst of toewijst en corrigerende maatregelen oplegt.

Voor betrokkenen is deze procedure de belangrijkste mogelijkheid om hun rechten uit de AVG af te dwingen.

Ambtshalve onderzoeken

De Gegevensbeschermingsautoriteit is niet alleen afhankelijk van klachten, maar kan ook ambtshalve optreden. Dit gebeurt met name wanneer er aanwijzingen zijn voor systematische overtredingen of beveiligingslekken.

Bijzonderheden:

• De procedure begint zonder verzoek van een betrokkene.
• Melders hebben geen partijstatus en worden niet geïnformeerd over het resultaat.
• De Gegevensbeschermingsautoriteit onderzoekt zelfstandig of er overtredingen zijn en legt zo nodig maatregelen op.

Ambtshalve onderzoeken hebben een sterk preventieve werking, omdat ze de druk op bedrijven en autoriteiten verhogen om gegevensbescherming niet alleen reactief, maar continu te waarborgen.

Administratieve strafprocedure

Als de Gegevensbeschermingsautoriteit een overtreding vaststelt, kan zij een bestuursrechtelijke procedure starten. Het doel is om bedrijven en overheidsinstanties te verplichten overtredingen te beëindigen en merkbare sancties op te leggen.

Mogelijke sancties zijn:

• Geldboetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet,
• Bevelen tot stopzetting of aanpassing van gegevensverwerkingen,
• Waarschuwingen en voorwaarden.

De hoogte van een boete hangt af van de ernst, duur en opzettelijkheid van de overtreding. Ook eerdere overtredingen of coöperatief gedrag tijdens de procedure spelen een rol.

Peter Harlander
Harlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“

Rechtsmiddelen

Beslissingen van de Gegevensbeschermingsautoriteit worden genomen via een beschikking. Tegen deze beschikkingen staat beroep open bij het Federale Bestuursrechtbank (BVwG).

• Het BVwG toetst de beslissing zowel juridisch als feitelijk.
• Tegen diens beslissing is onder bepaalde omstandigheden een revisie bij het Administratief Hooggerechtshof (VwGH) of een klacht bij het Constitutioneel Hof (VfGH) mogelijk.

Hiermee is gewaarborgd dat beslissingen van de Gegevensbeschermingsautoriteit onderworpen zijn aan meervoudige rechterlijke controle.

Internationale dimensie

Gegevensbescherming is geen nationaal thema meer. De Gegevensbeschermingsautoriteit werkt samen met andere Europese toezichthoudende autoriteiten en maakt deel uit van het Europees Comité voor gegevensbescherming (EDPB). Zij is betrokken bij grensoverschrijdende zaken, stemt beslissingen af in het kader van de coherentieprocedure en neemt standpunten in over internationale gegevensoverdrachten, bijvoorbeeld naar de VS.

Informatievrijheid

Naast gegevensbescherming wordt ook informatievrijheid steeds belangrijker. Met de nieuwe Wet op de informatievrijheid (IFG) neemt de Gegevensbeschermingsautoriteit in de toekomst de rol op zich van aanspreekpunt voor vragen over transparantie en toegang tot officiële informatie.

Deze verplichtingen zijn niet optioneel. Het niet naleven ervan leidt regelmatig tot onderzoeken en in extreme gevallen tot aanzienlijke boetes.

Uw voordelen met juridische ondersteuning

Een procedure bij de Gegevensbeschermingsautoriteit brengt zowel voor betrokkenen als voor bedrijven aanzienlijke uitdagingen met zich mee. Betrokkenen lopen het risico hun rechten zonder professionele begeleiding niet volledig te kunnen afdwingen. Bedrijven worden niet alleen geconfronteerd met hoge boetes, maar ook met imagoschade en kostbare aanpassingen van hun processen. Daarnaast zijn de procedures sterk geformaliseerd en bevatten ze complexe juridische vereisten die zonder vakkundige ondersteuning moeilijk te beheersen zijn.

Juridische begeleiding door een gespecialiseerd kantoor biedt zekerheid en zorgt ervoor dat uw belangen vanaf het begin professioneel worden behartigd. U profiteert van gedegen ervaring in het gegevensbeschermingsrecht en een consequente vertegenwoordiging tegenover de autoriteit.

• controleert of het betreffende rechtsgebied in uw geval van toepassing is
• begeleidt u door de gehele procedure of afwikkeling
• zorgt voor een juridisch veilige opzet en uitvoering van alle noodzakelijke stappen
• ondersteunt bij de berekening, handhaving of verweer tegen claims
• waarborgt uw rechten en belangen ten opzichte van alle betrokkenen

Sebastian Riedlmair
Harlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“

Veelgestelde vragen – FAQ