De afgelopen jaren beheerste een voortdurende machtsstrijd tussen enerzijds de Vlaamse Toezichtcommissie en anderzijds de Gegevensbeschermingsautoriteit de gemoederen in Privacyland: welk van beide instanties (of beide?) moest beschouwd worden als dé toezichthoudende autoriteit voor de lokale besturen in Vlaanderen? Het Grondwettelijk Hof leek met een aantal arresten in 2023 het pleit te beslechten in het voordeel van de Gegevensbeschermingsautoriteit. Dit was echter buiten de Vlaamse Toezichtcommissie gerekend, die recent haar aanmelding als toezichthoudende autoriteit bij de Europese Commissie zag goedgekeurd worden …

De Gegevensbeschermingsautoriteit en/of Vlaamse Toezichtcommissie als toezichthoudende autoriteit(en) voor de lokale besturen in Vlaanderen?

Volgens de Algemene Verordening Gegevensbescherming (hierna: AVG) is elke lidstaat verantwoordelijk voor het aanwijzen van één of meer onafhankelijke overheidsinstellingen die toezien op de naleving van deze Verordening. Dit teneinde de fundamentele rechten en vrijheden van individuen te beschermen bij de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie te bevorderen.

Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van de Verordening in de hele Unie, waartoe de verschillende toezichthoudende autoriteiten in Europa en de Europese Commissie onderling samenwerken overeenkomstig hoofdstuk VII van de AVG.

Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is gevestigd, wijst die lidstaat de toezichthoudende autoriteit aan die de interne autoriteiten op Europees niveau moet vertegenwoordigen en stelt hij de procedure vast om ervoor te zorgen dat de andere autoriteiten de regels in verband met het in artikel 63 AVG bedoelde coherentiemechanisme naleven.

In Vlaanderen werd -hoe kan het ook anders- door de federale en regionale regelgever voorzien in zowel een Gegevensbeschermingsautoriteit (= opgericht bij Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit) als een Vlaamse Toezichtcommissie (= opgericht bij Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer).

Dit met een schijnbare overlap aan controle- en sanctiebevoegdheden ten aanzien van de Vlaamse (bestuurs)instanties (waaronder ook de lokale besturen), hetgeen in de afgelopen jaren niet zelden aanleiding gaf tot onduidelijkheid en frustratie. Meer en meer rees dan ook de vraag naar welke autoriteit de Vlaamse lokale besturen zich dienden te schikken: welk van beide instanties (of beide?) moest beschouwd worden als dé toezichthoudende autoriteit voor de lokale besturen in Vlaanderen.

Een vraag die in 2023 beantwoord leek te worden door het Grondwettelijk Hof.

Het Grondwettelijk Hof en de Raad van State zorgen voor duidelijkheid …

Sinds 2023 heeft het Grondwettelijk Hof -meermaals- geoordeeld dat de Vlaams Toezichtcommissie niet kan noch mag beschouwd worden als een toezichthoudende autoriteit in de zin van de AVG.

Zowel het arrest nr. 26/2023 als het arrest nr. 92/2023 van het Grondwettelijk Hof zijn op dit punt glashelder, en voor weinig betwisting of interpretatie vatbaar:

“Om te voldoen aan de vereisten van de AVG dienen de in België op grond van de interne bevoegdheidsverdeling ingestelde toezichthoudende autoriteiten te worden aangemeld bij de bevoegde instellingen van de Europese Unie, moet één dezer toezichthoudende autoriteiten worden aangewezen die de verschillende toezichtautoriteiten in het Europees Comité voor gegevensbescherming moet vertegenwoordigen en dient de procedure te worden vastgesteld om ervoor te zorgen dat de andere autoriteiten de regels in verband met het in artikel 63 bedoelde coherentiemechanisme naleven.
B.30.8.Uit geen enkel gegeven blijkt dat de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens is aangemeld bij de bevoegde instellingen van de Europese Unie en dat er een procedure is vastgesteld om ervoor te zorgen dat zij de regels in verband met het in artikel 63 bedoelde coherentiemechanisme naleeft.
(…) De Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens kan bijgevolg niet worden geacht een bevoegde toezichthoudende autoriteit in de zin van artikel 36, lid 4, van de AVG te zijn en het door die commissie gegeven advies kan bijgevolg niet worden beschouwd als een raadpleging in de zin van die bepaling.” (eigen onderlijning)

In navolging van deze arresten heeft ook de Raad van State de voorbije jaren meermaals bevestigd dat de Vlaams Toezichtcommissie niet kan geacht worden een bevoegde toezichthoudende autoriteit te zijn in de zin van art. 36, vierde lid AVG:

“De Gegevensbeschermingsautoriteit werd niet geraadpleegd. De Vlaamse toezichtscommissie werd wel geraadpleegd maar die commissie kan niet geacht worden een bevoegde toezichthoudende autoriteit te zijn in de zin van art. 36, vierde lid, AVG.
Rekening houdende met wat werd beslist in arrest Grondwettelijk Hof nr. 26/2023, 16 februari 2023 (Jens Hermans e.a., Karin Verelst, Maarten Roels e.a., vzw Association de Promotion des Droits Humains et des Minorités), kan worden geconcludeerd dat, anders dan de verwerende partij en de tussenkomende partij aanvoeren, in casu geen advies van een toezichthoudende autoriteit in de zin van artikel 36, lid 4, van de AVG voorligt. 
Uit geen enkel gegeven blijkt dat de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens is aangemeld bij de bevoegde instellingen van de Europese Unie en dat er een procedure is vastgesteld om ervoor te zorgen dat zij de regels in verband met het in artikel 63 AVG bedoelde coherentiemechanisme naleeft. De Raad van State vernietigt het besluit (…)” (RvS 24 april 2023, nr. 256.326) (eigen onderlijning)

Of nog eerder:

“(…) 18.3 Zoals ook het Grondwettelijk Hof in zijn voormeld arrest nr. 26/2023 (B.30.8), moet ook thans worden vastgesteld dat uit geen enkel gegeven blijkt dat een procedure is vastgesteld om ervoor te zorgen dat de Vlaamse toezichtcommissie de regels in verband met het bedoelde coherentiemechanisme naleeft en oordeelt ook de Raad voor de huidige zaak dat de Vlaamse toezichtcommissie vooralsnog niet kan worden geacht een bevoegde toezichthoudende autoriteit te zijn in de zin van artikel 36, lid 4, AVG zodat het door die commissie gegeven advies niet kan worden beschouwd als een raadpleging in de zin van die bepaling.” (RvS 30 maart 2023, nr. 256.171) (eigen onderlijning)

Niettegenstaande deze rechtspraak van het Grondwettelijk Hof en de Raad van State enkel handelde over de hoedanigheid van de Vlaamse Toezichtcommissie in het licht van art. 36, 4de lid van de AVG (= bepaling waarin een adviesbevoegdheid wordt toegekend aan toezichthoudende autoriteiten voor voorstellen van wetgevingsmaatregelen, of een daarop gebaseerde regelgevingsmaatregel), lijken er in beginsel weinig redenen voorhanden waarom deze rechtspraak niet mutatis mutandis zou gelden voor wat betreft de overige taken die de Vlaamse Toezichtcommissie zou opnemen als een ‘toezichthoudende autoriteit’ onder de AVG.

Alle redenen die aan de rechtspraak van het Grondwettelijk Hof en de Raad van State ten grondslag liggen om de Vlaamse Toezichtcommissie niet te kwalificeren als een toezichthoudende autoriteit lijken immers los te staan van de concrete taakstellingen die aan een toezichthoudende autoriteit worden toegekend in de AVG, en lijken dus ruimer te gaan dan énkel de voorafgaande adviesbevoegdheid die is ingeschreven in art. 36, 4de lid AVG.

Voortgaand op de arresten van zowel het Grondwettelijk Hof als de Raad van State leek het aannemelijk dat enkel de Gegevensbeschermingsautoriteit beschouwd zou moeten worden als dé toezichthoudende autoriteit voor de lokale besturen in Vlaanderen. Dit was echter buiten de Vlaamse Toezichtcommissie zelf gerekend, die recent haar aanmelding als toezichthoudende autoriteit bij de Europese Commissie zag goedgekeurd worden.

… tot aan de aanmelding van de Vlaamse Toezichtcommissie bij de Europese Commissie

De hiervoor aangehaalde rechtspraak van zowel het Grondwettelijk Hof als de Raad van State maakte het voor de Vlaamse Toezichtcommissie duidelijk dat haar aanmelding bij de Europese Commissie als een formele vereiste moest worden beschouwd om een geldige toezichthoudende autoriteit op grond van de AVG te zijn.

De Vlaamse Toezichtcommissie verrichtte deze aanmelding dan ook in maart ’24, waarna deze de afgelopen zomerperiode ook werd goedgekeurd door de Europese Commissie.

Voor de Vlaamse Toezichtcommissie bleek dit het sein te zijn om zich opnieuw te manifesteren als volwaardige toezichthoudende autoriteit ten aanzien van (o.a.) de Vlaamse lokale besturen, waardoor het voor de lokale besturen (opnieuw) voldoende zou zijn om zich te richten tot (enkel) de Vlaamse Toezichtcommissie. Of met de letterlijke woorden van de Vlaamse Toezichtcommissie:

“De uitspraak van het Grondwettelijk Hof heeft ook expliciet gesteld dat een regionale toezichthoudende autoriteit zoals de VTC niet alleen bevoegd is voor het toezicht op de specifieke en aanvullende regels van het Gewest of de Gemeenschap, maar ook op het toezicht van de algemene regels van de AVG en de toepasselijke algemene federale wetgeving die als minimumregeling geldt.

Om te voldoen aan de vereisten van de AVG, is het voor de Vlaamse instanties dus voldoende om advies te vragen aan de VTC, de functionarissen en datalekken bij de VTC te melden en de VTC te vermelden op hun website als toezichthoudende autoriteit.”

Uitgaande van de letterlijke bewoording van de rechtspraak van zowel het Grondwettelijk Hof als de Raad van State lijkt de vraag echter gesteld te moeten worden of de loutere aanmelding (en aanvaarding) van de Vlaamse Toezichtcommissie bij de Europese Commissie wel voldoende was om thans beschouwd te kunnen worden als dé toezichthoudende autoriteit voor lokale besturen in Vlaanderen.

Opgemerkt dient immers dat zowel het Grondwettelijk Hof als de Raad van State verwezen naar art. 51AVG (nl. de vereiste aanmelding) én art. 63 AVG (nl. het vereiste coherentiemechanisme tussen toezichthoudende autoriteiten, of beter de afwezigheid daarvan) als redenen voor de niet-kwalificatie van de Vlaamse Toezichtcommissie als een toezichthoudende autoriteit.

In gelijkaardige zin leek ook de bevoegde Staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der Gebouwen eerder al te bevestigen dat énkel de aanmelding (en aanvaarding) van de Vlaamse Toezichtcommissie bij de Europese Commissie onvoldoende zou zijn om de Vlaamse Toezichtcommissie (opnieuw) te kunnen beschouwen als volwaardige toezichthoudende autoriteit.

In antwoord op meerdere parlementaire vraagstellingen bevestigde deze immers dat de Vlaamse Toezichtcommissie niet kan worden beschouwd als een toezichthoudende autoriteit in de zin van de AVG, zonder meer:

“Er bestaat inderdaad discussie over de bevoegdheden van de Vlaamse Toezichtcommissie (VTC) en dde verhouding tussen de VTC en de Gegevensbeschermingsautoriteit en ik heb daar al over gesproken met de minister-president van Vlaanderen. Nochtans is de situatie heel duidelijk. De Gegevensbeschermingsautoriteit (GBA) is de enige toezichthoudende autoriteit overeenkomstig de Algemene Verordening Gegevensbescherming. (…) In zijn arrest 26/2023 van 16 februari 2023 heeft het Grondwettelijk Hof uitdrukkelijk gesteld dat de Vlaamse Toezichtcommissie niet kan worden geacht een toezichthoudende autoriteit in de zin van de AVG te zijn. Dit kan inderdaad slechts voor zover de Vlaamse Toezichtcommissie voldoet aan de voorwaarden zoals bepaald in hoofdstuk 4 van de Algemene Verordening Gegevensbescherming en als toezichthoudende autoriteit wordt aangemeld bij de bevoegde instellingen van de Europese Unie. Het is dan ook op dit moment niet aan de orde om een samenwerkingsakkoord af te sluiten met de deelstaten.” (De Kamer van Volksvertegenwoordigers - Schriftelijke vraag en antwoord nr. 55-473 (Erik Gilissen)) (eigen onderlijning)

En nog explicieter verwoordde de Gegevensbeschermingsautoriteit zelf deze kwestie in zijn advies van 27 april 2023 (nr. 79/2023, pagina 6), als volgt:  

“C. Problematiek inzake de erkenning en bevoegdheden van de VTC

(…) 15. In het licht van het bovenstaande concludeerde het Grondwettelijk Hof terecht dat “uit geen enkel gegeven blijkt dat de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens is aangemeld bij de bevoegde instellingen van de Europese Unie en dat er een procedure is vastgesteld om ervoor te zorgen dat zij de regels in verband met het in artikel 63 bedoelde coherentiemechanisme naleeft.”

16. Bijgevolg kan de VTC (tot nader order) niet worden beschouwd als een bevoegde toezichthoudende autoriteit in de zin van artikel 51 AVG en kan zij in die hoedanigheid aldus geen enkele bevoegdheid of taak zoals bedoeld in de artikelen 55, 57 en 58 AVG waarnemen.” (eigen onderlijning)

Terug naar af (?): welke instantie(s) moet(en) nu beschouwd worden als dé toezichthoudende autoriteit voor de lokale besturen in Vlaanderen?

Ondanks de (heldere) rechtspraak van zowel het Grondwettelijk Hof als de Raad van State lijkt de recente aanmelding (en goedkeuring daarvan) van de Vlaamse Toezichtcommissie bij de Europese Commissie als toezichthoudende autoriteit, de machtsstrijd tussen enerzijds de Vlaamse Toezichtcommissie en anderzijds de Gegevensbeschermingsautoriteit dus opnieuw te hebben aangewakkerd.

Minstens voor wat betreft de lokale besturen in Vlaanderen blijkt de vraag dus opnieuw luider en luider te klinken: welk van beide instanties (of beide?) moet beschouwd worden als dé toezichthoudende autoriteit voor de lokale besturen in Vlaanderen?

GD&A Advocaten volgt de ontwikkelingen in het Vlaamse privacylandschap -met een gezonde focus op de lokale besturen- in ieder geval nauw op. De toekomst zal raad (moeten) brengen….