Standpunt van de VTC
In de voornoemde beslissing van de VTC wordt gesteld dat de VTC over een eigen, afzonderlijke en onafhankelijke bevoegdheid beschikt ten aanzien van de Vlaamse overheidsinstanties. De uitspraak van de Geschillenkamer van de GBA over een bepaald aspect van de klacht vormt volgens de VTC geen beletting om over de zaak te oordelen dat binnen de reikwijdte van haar eigen bevoegdheid valt (met inbegrip van artikel 10/7 van het e-govdecreet).
Volgens de VTC is het duidelijk dat de bestreden beslissing inbreuken op de AVG vaststelt. In deze specifieke context kunnen het opleggen van een berisping en een verwerkingsverbod worden beschouwd als corrigerende maatregelen. De VTC stelt dat zij effectief over de vereiste bevoegdheid beschikte om tot de beslissing te komen, met inbegrip van het opleggen van de corrigerende maatregelen. De volgende twee rechtsgronden liggen ten grondslag aan dit besluit:
- Artikel 58, lid 2, van de AVG:
Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen: […].
- Artikel 10/7, §1, van het e-govdecreet:
De Vlaamse toezichtcommissie neemt de corrigerende maatregelen overeenkomstig artikel 58, lid 2, van de algemene verordening gegevensbescherming. […]
De VTC bepaalt dat, indien haar entiteit niet kan worden beschouwd als een toezichthoudende autoriteit in de zin van de AVG, haar onafhankelijke rechtsgrondslag krachtens het e-govdecreet van kracht blijft voor het nemen van corrigerende maatregelen in de zin van artikel 58, lid 2 van de AVG.
Daarnaast stelt de VTC dat haar bevoegdheid om corrigerende maatregelen op te leggen van toepassing is, ongeacht of zij (reeds) kan worden aangemerkt als een bevoegde toezichthoudende autoriteit in de zin van de AVG. De verwijzing in artikel 10/7, §1 e-govdecreet naar artikel 58, lid 2 van de AVG is in dit geval niet relevant. De VTC stelt dat het artikel louter dient ter verduidelijking van de mogelijke corrigerende maatregelen die kunnen worden genomen. Deze opmerking doet op geen enkele wijze afbreuk aan de normatieve kracht van artikel 10/7, §1 van het e-govdecreet.
Het Grondwettelijk Hof heeft daarnaast bevestigd dat de decreetgevers bevoegd zijn om een instantie op te richten die belast is met het toezicht op de naleving van de verwerking van persoonsgegevens in de zaken waarvoor de gewesten en gemeenschappen bevoegd zijn.
In dit verband verwijst de VTC naar de parlementaire voorbereidende werkzaamheden voor het e-govdecreet, waarin wordt bepaald dat zij deze bevoegdheid al had voordat in het e-govdecreet naar artikel 58, lid 2 van de AVG werd verwezen. De VTC stelt dat deze uitkomst aantoont dat zij in staat is corrigerende maatregelen op te leggen, niet alleen op grond van de AVG, maar ook op grond van het e-govdecreet.
Ten slotte stelt de VTC dat de bevoegdheid om een inbreuk op de AVG vast te stellen en de beëindiging van de verwerking te gelasten geenszins uitsluitend gekoppeld is aan de identiteit van de toezichthoudende autoriteit in de zin van artikel 58, lid 2 van de AVG. De VTC verwijst naar het voorrangsbeginsel, dat alle autoriteiten van de lidstaten van de EU verplicht het Unierecht ten volle ten uitvoer te leggen. Op vergelijkbare wijze verwijst het VTC ook naar het beginsel van loyale samenwerking dat nationale autoriteiten voorschrijft om onrechtmatige gevolgen van inbreuken op het Unierecht aan te pakken.
De hamvraag is of de VTC op het moment van haar beslissing daadwerkelijk bevoegd was om corrigerende maatregelen op te leggen.
Oordeel van de Raad van State
Allereerst verwijst de Raad van State naar twee eerdere arresten van het Grondwettelijk Hof: het eerste, nr. 26/2023, van 16 februari 2023 en het tweede, nr. 92/2023, van 15 juni 2023. Deze arresten hebben onder andere betrekking op de verplichting tot samenwerking met andere toezichthoudende autoriteiten (artikel 57, lid 1, onder c) en g) AVG). In de bovengenoemde arresten is geoordeeld dat de VTC niet kan worden beschouwd als een bevoegde toezichthoudende autoriteit in de zin van artikel 36, lid 4 van de AVG.
Het Grondwettelijk Hof oordeelde dat toezichthoudende autoriteiten aangemeld dienen te worden bij de bevoegde instellingen van de EU om te voldoen aan de AVG. Een van deze autoriteiten moet ook worden aangewezen als vertegenwoordiger van de verschillende autoriteiten binnen het Europees Comité voor gegevensbescherming. Bovendien moet een procedure worden vastgesteld om de naleving van het in artikel 63 beschreven coherentiemechanisme te waarborgen. In deze zaak zijn er geen aanwijzingen dat aan een van deze elementen is voldaan. Bijgevolg kan de VTC niet worden beschouwd als een toezichthoudende autoriteit die bevoegd was om de in artikel 58, lid 2 AVG vermelde corrigerende maatregelen op te leggen.
Dat er na de twee arresten van het Grondwettelijk Hof stappen zijn gezet om het VTC aan te melden en een coherentiemechanisme in te stellen, doet hier geen afbreuk aan.
Bovendien is het van belang na te gaan of artikel 10/7, §1 van het e-govdecreet een zelfstandige rechtsgrondslag vormt. Het artikel bepaalt dat de VTC als “toezichthoudende autoriteit voor de verwerking van persoonsgegevens verantwoordelijk [is] voor het toezicht op de toepassing van de AVG door de instanties”.
Op basis van de parlementaire voorbereiding wordt de VTC omschreven als de toezichthoudende autoriteit conform de AVG.
Zoals uiteengezet in artikel 10/7 e-govdecreet duidt de term “overeenkomstig artikel 58, lid 2 van de AVG”, volgens de Raad van State, op een toestand “in overeenkomst met” en bijgevolg “niet in strijd met” het eerder vermelde artikel 58 AVG. Volgens Van Dale Groot Woordenboek van de Nederlandse taal betekent “in overeenkomst met” ook wel “volgens” en dus “op grond van”. De corrigerende maatregelen die genomen worden door de VTC, op basis van artikel 10/7, §1 van het e-govdecreet steunen dus explicitiet zelf op de rechtsgrond van artikel 58, lid 2 van de AVG. De Raad van State stelt echter dat het daarbij belangrijk is op te merken dat zulke maatregelen alleen mogen worden opgelegd door een autoriteit die voldoet aan de voorwaarden die zijn vastgelegd in de AVG. Het is duidelijk dat dit ten tijde van het bestreden besluit niet het geval was voor de verwerende partij.
Daarnaast stelt de Raad van State dat de beginselen van voorrang en loyale samenwerking niet ertoe leiden dat de VTC hieruit bevoegdheden kan uitputten om schendingen van de AVG vast te stellen en de schendingen stop te zetten. Indien de verweerder geen bevoegde toezichthoudende autoriteit is in de zin van de AVG, is de Gegevensbeschermingsautoriteit verantwoordelijk voor het toezicht op de naleving van de AVG en het voorkomen van schendingen van de Europese verplichtingen.
Op grond van het voorgaande oordeelt de Raad van State met andere woorden dat het beroep, dat betrekking heeft op de (ontbrekende) bevoegdheid van VTC, gegrond is.