Maand: februari 2023
RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 64/2020 VAN 29 SEPTEMBER 2020
PDF

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja

 

 

 


Beslissing

Beslissing 64/2020

Bent u in regel? Vanaf heden is de klokkenluidersregeling van kracht!
PDF

Bent u in regel?

Vanaf heden is de klokkenluidersregeling van kracht!

In organisaties, zowel bij overheden als bij ondernemingen, durven er al eens wantoestanden te ontstaan. Dit kan betrekking hebben op alle mogelijke aspecten binnen dergelijke organisaties. In het verleden durfden de meeste mensen uit deze organisaties geen melding te maken van dergelijke wantoestanden, aangezien ze vreesden voor represailles. Daarom heeft de Europese Unie op 26 november 2019 een richtlijn[1] uitgevaardigd die deze mensen bescherming moet bieden. Deze richtlijn diende omgezet te worden door de Belgische wetgever vóór 17 december 2021.[2]

De plenaire vergadering van de Kamer zette echter pas op 24 november 2022 het licht op groen voor de wet op de regelgeving voor klokkenluiders in de private en publieke sector. De Richtlijn is intussen geïmplementeerd door de wet van 28 november 2022 tot omzetting van de EU-Klokkenluidersrichtlijn voor de private sector.[3] De wet treedt in werking op 15 februari 2023. Via de omzettingswet van 8 december 2022 werd de Richtlijn ook geïmplementeerd voor de federale publieke sector.[4]

Wat?

De richtlijn, en dus ook de wet, voorziet in de mogelijkheid voor werknemers om, eventueel anoniem, melding te maken van wantoestanden binnen ondernemingen.  De EU nam de richtlijn in 2019 aan als reactie op enkele ophefmakende schandalen die aan het licht waren gekomen door klokkenluiders, zoals Luxleaks en de Panama Papers. Door deze schandalen werd ook duidelijk hoe precair de situatie is van personen die ‘de klok luiden’ en de gebrekkige bescherming die zij genieten.

De wet voorziet dat er een meldingskanaal moet worden voorzien voor inbreuken met betrekking tot volgende zaken:[5]

  • Overheidsopdrachten;
  • Financiële diensten, producten en markten en voorkoming van het witwassen van geld en de financiering van terrorisme;
  • Vervoersveiligheid;
  • productveiligheid en – conformiteit;
  • Milieubescherming;
  • Stralings- en nucleaire veiligheid;
  • Gezondheid en welzijn van dieren;
  • Volksgezondheid;
  • Voedsel- en diervoederveiligheid;
  • Consumentenbescherming;
  • Bescherming van de persoonlijke levenssfeer en persoonsgegevens;
  • Beveiliging van netwerken en informatiesystemen;
  • Bestrijding van belastingfraude en sociale fraude.

Voor wie?

In eerste instantie geldt de verplichting om een intern meldingskanaal op te zetten in de private sector slechts voor bedrijven vanaf 250 werknemers. De omzetting van de richtlijn voor bedrijven met 50 tot 249 werknemers moet pas op 17 december 2023 helemaal op punt staan. Vanaf dat moment zullen zij dus ook hun interne meldkanalen opgesteld, geïmplementeerd en operatief moeten hebben.

Door het invoeren van een intern meldingskanaal moet een klokkenluider de mogelijkheid worden geboden om bij een onpartijdige en onafhankelijke persoon of afdeling binnen zijn organisatie op vertrouwelijke wijze vermeende inbreuken te kunnen aankaarten. Zo’n meldingskanaal kan onder meer de vorm aannemen van een e-mailadres of een app.

Niet alleen werknemers kunnen gebruik maken van dergelijk meldingskanaal. Ook voormalige werknemers, vrijwilligers, stagiairs, aandeelhouders, bestuurders, leveranciers kunnen een melding doen via het intern meldingskanaal. Ook ambtenaren in de publieke sector kunnen hiervan gebruik maken. Het gaat erom dat ze de gemelde informatie vernamen in een werkgerelateerde context.[6]

Naast de interne melding is er ook een mogelijkheid om een vermeende inbreuk extern te melden of indien er een onmiddellijk gevaar voor het openbaar belang is of een risico dat er bewijsmaterieel wordt vernietigd, dan kan de melding ook publiek gebeuren via de pers.[7] De interne melding geniet evenwel de voorkeur.[8]

Bescherming klokkenluider?

  1. Bescherming persoonsgegevens melder

De lidstaten moeten ervoor zorgen dat de identiteit van de klokkenluider vertrouwelijk blijft. Uitzondering hierop is het recht op een eerlijk proces van de persoon waarover de melding wordt gedaan. Men zal in dat geval de klokkenluider vooraf verwittigen dat zijn identiteit zal worden onthuld.[9]

    2. Melder mag geen nadeel ondervinden van de melding d.m.v. represailles

De richtlijn wenst klokkenluiders te beschermen tegen elke vorm van represailles.[10] Indien de melder de procedures heeft gevolgd en op het moment van de melding er redelijkerwijze vanuit kon gaan dat de gemelde informatie juist was op het moment van de melding, wordt hij beschermd tegen mogelijke represailles vanuit het bedrijf.

De bescherming creëert een wettelijk, maar weerlegbaar vermoeden dat een represaillemaatregel (bijvoorbeeld het niet verlengen van een contract, ontslag, pesterijen, overplaatsing,…) gelinkt is aan de melding. Gevolg van deze bescherming is dat de melder in beginsel niet aansprakelijk gesteld kan worden voor de gevolgen zijn melding. Wordt een melder toch slachtoffer van een represaille dan kan hij een schadevergoeding vorderen overeenkomstig het contractuele of buitencontractuele aansprakelijkheidsrecht. Deze schadevergoeding wordt tussen 18 en 26 weken loon vastgelegd. Indien het slachtoffer van de represaille geen loontrekkende is wordt de schadevergoeding vastgesteld op de werkelijk geleden schade.[11]

GDPR van toepassing?

Het zal u niet verbazen dat de General Data Protection Regulation (hierna: GDPR[12])  ook van toepassing is op de klokkenluidersregeling.[13] De privacywetgeving werd in 2018 ingevoerd om de privacy van burgers van de EU te verzekeren. Het spreekt voor zich dat er zeer bewust moet worden omgesprongen met de gegevens die verzameld en verwerkt worden in het kader van een klokkenluidersregeling aangezien dit zeer gevoelige informatie kan bevatten, niet alleen over de klokkenluider zelf, maar ook over het bedrijf of overheid die een vermeende inbreuk zou hebben gepleegd.

Zo bepaalt de richtlijn onder meer dat er van elke ontvangen melding een register moet worden bijgehouden en dat de meldingen niet langer dan noodzakelijk mogen worden opgeslagen.[14]

Voorbeelden in België

  • Het incident in 2021 met burgemeester Veerle Heeren van Sint-Truiden in volle coronatijd. Door toedoen van een klokkenluider kwam het nieuws naar boven dat zij zichzelf, familieleden, buren en medewerkers voorrang had verleend bij de vaccinatiecampagne, terwijl in die periode de 85-plussers aan de beurt waren om ingeënt te worden.
  • De interne audit die bij Bpost werd doorgevoerd naar mogelijke onregelmatigheden bij de aanbesteding van de bedeling van kranten. Aanleiding hiervan was een tip van een klokkenluider.

Vlaamse regelgeving

Ook Vlaanderen heeft intussen werk gemaakt van een nieuw klokkenluidersbeleid. Met het Decreet van 18 november 2022[15] heeft Vlaanderen de Richtlijn eindelijk omgezet in Vlaamse regelgeving. Zij treedt in werking op 10 december 2023 en zal een bescherming moeten bieden aan alle klokkenluiders die bij Vlaamse overheidsdiensten werken, zowel interne als externe personeelsleden, alsook zelfstandigen, vrijwilligers of stagiairs.

Besluit

Bent u een bedrijf met meer dan 250 werknemers? Dan moet u sinds vandaag beschikken over een functioneel meldingskanaal waarbij men op vertrouwelijke wijze eventuele vermeende inbreuken op de werkvloer kan aankaarten. Bent u een bedrijf met 50 tot 249 werknemers, dan heeft u nog (even) respijt tot 17 december 2023. Indien u wenst kan u steeds een beroep doen op onze diensten om uw bedrijf in regel te stellen.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

Juridische bronnen:

  • Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden;
  • 28 NOVEMBER 2022. – Wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector;
  • 8 DECEMBER 2022. – Wet betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie;
  • Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
  • Decreet tot wijziging van het Provincie decreet van 9 december 2005, het decreet van 22 december 2017 over het lokaal bestuur en het Bestuurs decreet van 7 december 2018, wat betreft klokkenluiders;

Media bronnen:

  • PECINOVSKY, “België mist deadline voor omzetting klokkenluidersrichtlijn”, De Juristenkrant, 22 december 2021 ;

[1] Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[2] Zie artikel 26.1 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[3] 28 NOVEMBER 2022. – Wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector

[4] 8 DECEMBER 2022. – Wet betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie

[5] Zie artikel 2.1.a) Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[6] Zie artikel 4.1 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[7]https://www.tijd.be/ondernemen/algemeen/duizenden-bedrijven-moeten-klokkenluiders-stem-geven/10430920.html

[8] Zie artikel 7.1 en 15 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[9] Zie artikel 16 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[10] Zie artikel 19 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[11] Zie artikel 27, §2 van de Wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector

[12] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

[13] Zie artikel 17 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[14] Zie artikel 18 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[15] Decreet tot wijziging van het Provinciedecreet van 9 december 2005, het decreet van 22 december 2017 over het lokaal bestuur en het Bestuursdecreet van 7 december 2018, wat betreft klokkenluiders.

SNELHEIDSOVERTREDINGEN VASTGESTELD DOOR TRAJECTCONTROLE: NEWSFLASH
PDF

HLN publiceerde vandaag een artikel over een dame die op één dag maar liefst 8 boetes ontving voor snelheidsovertredingen begaan op dezelfde steenweg die werden vastgesteld door een trajectcontrole.[1]  Dit houdt in dat de gemiddelde snelheid van de dame op hetzelfde traject telkens te hoog was. Voor meer informatie kan u ons volledig artikel over de trajectcontrole hier lezen.

Het komt natuurlijk onrechtvaardig over dat er 8 afzonderlijke boetes worden opgelegd voor snelheidsinbreuken die op dezelfde plek en binnen een welbepaalde periode zijn begaan.

De dame in kwestie zou dan ook in eerste instantie de boetes kunnen aanvechten via de politie zelf. Het ‘bezwaar’ wordt dan overgemaakt aan de Procureur des Konings die een beslissing neemt en mogelijks het onredelijk karakter van de situatie in acht neemt.

Worden de afzonderlijke boetes gehandhaafd, maar niet betaald, dan kan er een dagvaarding voor de Politierechtbank volgen. In dat geval kan art. 65 van het Strafwetboek een rol spelen:

“Wanneer een zelfde feit verscheidene misdrijven oplevert of wanneer verschillende misdrijven die de opeenvolgende en voortgezette uitvoering zijn van een zelfde misdadig opzet, gelijktijdig worden voorgelegd aan een zelfde feitenrechter, wordt alleen de zwaarste straf uitgesproken.”

Wanneer verschillende feiten worden gepleegd, die voortkomen uit eenzelfde opzet dan kan de rechter dus gevraagd worden om de verschillende feiten als het ware ‘op te slorpen’ tot één geheel en er slechts 1 gezamenlijke straf voor uit te spreken.

Terugkoppelend naar het HLN artikel, zou praktisch gezien de Politierechter gevraagd kunnen worden om de verschillende dossiers samen te voegen, zodat alle snelheidsinbreuken op 1 zitting behandeld worden. Op die zitting moet dan de zogenaamde ‘eenheid van opzet’ aangetoond worden. De Politierechter oordeelt hier vrij over. De eenheid van opzet zou hier kunnen blijken uit het feit dat de snelheidsovertredingen telkens over hetzelfde traject en binnen een welbepaalde periode werden begaan.

Eens de eenheid van opzet wordt aangenomen, kan de Politierechter voor alle feiten samen nog maar één straf opleggen. Gaat het over verschillende soorten misdrijven, dan kan enkel de zwaarste straf worden opgelegd.

Naar onze mening moet de dame in kwestie zich dus niet zomaar neerleggen bij de 8 afzonderlijke geldboetes, maar kunnen deze worden aangevochten bij de politie zelf of voor de Politierechtbank.

Belangrijk om te weten is dat veel mensen binnen hun autoverzekering een waarborg rechtsbijstand hebben. In dat geval kan u met vrije keuze een advocaat inschakelen en uw rechten doen gelden. De erelonen van de door u gekozen advocaat worden dan door uw verzekeraar gedekt. U kan dus gratis beroep doen op gespecialiseerde bijstand!

Bevindt u zich in een gelijkaardige situatie als de dame in het HLN artikel? Aarzel dan zeker niet om de verkeersspecialisten van het Studio Legale team te contacteren en dan bekijken we samen wat de mogelijkheden zijn. U kan ons bereiken op het nummer 03 216 70 70 of via e-mail op [email protected]

 

 

 

[1] https://www.hln.be/binnenland/en-plots-lagen-er-8-snelheidsboetes-tegelijk-bij-charlotte-34-in-de-brievenbus-dit-voelt-onrechtvaardig~ac241b27/

 

VOORDELEN EN VALKUILEN VAN SCHENKEN
voordelen & valkuilen van schenken de do’s & don’ts
PDF

 

Het is algemeen geweten dat een erfenis gepaard gaat met hoge erfbelastingen. De schenking is een mogelijk instrument om al tijdens het leven een deel van het vermogen over te dragen naar anderen. In dit artikel lichten we even de do’s & don’ts toe.

De schenking kan verschillende gedaantes aannemen.

Enerzijds is er de notariële schenking. In de regel moet elke schenking gebeuren via een notariële akte. De notaris zal de notariële akte registreren en op basis daarvan belast de overheid de begunstigde voor het ontvangen goed. Het schenken van onroerende goederen gebeurt altijd via de notaris.

Anderzijds bestaan er voor roerende goederen alternatieve schenkingsvormen, waarbij men een bezoek aan de notaris achterwege kan laten en zo dus ook de schenkbelasting. Men spreekt dan van een onrechtstreekse schenking, bijvoorbeeld bij een handgift of een bankgift. Bij een handgift draagt men een goed letterlijk van hand tot hand over, denk aan een meubelstuk of juwelen. Bij een bankgift stort men de gelden eenvoudig op de rekening van de begunstigde.

De voordelen van deze schenkingsvormen zijn dat er geen vormvereisten moeten worden nageleefd, geen notariskosten en (in principe) geen schenkbelastingen moeten worden betaald. Gemakkelijker en goedkoper dus… Toch zijn er een aantal aandachtspunten:

  • Bewijsproblemen

Het gebrek aan een notariële akte kan later voor bewijsproblemen zorgen. Een schenking is een onherroepelijke overdracht: de schenker kan niet zomaar van gedachten veranderen en het goed plots terugvragen van de begunstigde. Dit gebeurt echter soms wel in de praktijk. De schenker beweert dan dat er geen sprake is van een schenking, maar wel van een lening. Bij gebreke aan enig bewijsdocument, bevindt de begunstigde zich in een zeer moeilijke situatie.

Het wordt daarom aangeraden om de alternatieve schenking altijd onderhands vast te leggen. Dit door de schenker eerst een aangetekende intentiebrief te laten versturen aan de begunstigde, waarin hij zijn wil om een goed/gelden te schenken, aangeeft. Na de eigendomsoverdacht (van hand tot hand of storting), wordt een zogenaamde ‘pacte adjoint’ opgesteld waarin de betrokken partijen bevestigen dat de schenking heeft plaatsgevonden.

Op die manier is ook voldaan aan de bewijsregel van art. 1341 Oud Burgerlijk Wetboek/art. 8.9 Nieuw Burgerlijk Wetboek. Het oud Burgerlijk Wetboek stelt dat voor alle zaken die de som of waarde van 375 Euro te boven gaan een akte voor de notaris of een onderhandse akte moet worden opgemaakt. Het nieuw Burgerlijk Wetboek stelt dat voor rechtshandelingen die betrekking hebben op een som of waarde vanaf 3.500,00 Euro een ondertekend geschrift nodig is.

Heeft men dergelijke akte of ondertekend geschrift niet, dan kan men eventueel beroep doen op de uitzonderingsregel van art. 1347 Oud Burgerlijk Wetboek/art. 8.13 Nieuw Burgerlijk Wetboek. Onder het oude bewijsstelsel kon men volstaan met een begin van schriftelijk bewijs dat uitging van de partij tegen wie men moest bewijzen. Onder het nieuw Burgerlijk Wetboek geldt dat het ondertekend geschrift kan worden vervangen door een bekentenis, een beslissende eed of een begin van schriftelijk bewijs voor zover dit laatste wordt aangevuld met een ander bewijsmiddel.

Het Hof van Cassatie heeft bij arrest van 21 oktober 2021 wel geoordeeld dat voormelde bewijsregels bij een onrechtstreekse schenking enkel gelden voor het bewijzen van de neutrale rechtshandeling als drager van de onrechtstreekse schenking (bv. de bankoverschrijving an sich) en niet voor het bewijs dat die rechtshandeling werd gesteld met het oogmerk om te schenken (de zogenaamde animus donandi). Dat laatste kan met alle middelen van recht, met inbegrip van getuigenissen en vermoedens, worden bewezen.

  • Verdachte periode

Een tweede aandachtspunt is de zogenaamde ‘verdachte periode’. Een alternatieve schenking zal maar belastingvrij kunnen gebeuren voor zover de schenker nog 3 jaar na de schenking in leven blijft. Overlijdt de schenker binnen de 3 jaar na de schenking, dan wordt de schenking toch belast en dit niet volgens de tarieven van de schenkbelasting, maar wel in de veel duurdere erfbelasting. Het verschil in tarieven is opvallend:

Vreest men tijdens de verdachte periode dat de schenker zou komen te overlijden, dan kan men de schenking alsnog registreren en toch de lagere schenkbelasting betalen. Uiteraard raden wij aan om op zeker te spelen en steeds de schenkbelasting van 3% te betalen.

De begunstigde zou het risico dat de schenker binnen de 3 jaar na de schenking overlijdt ook kunnen opvangen door een successieverzekering af te sluiten. De verzekering dekt dan de erfbelasting die alsnog op de schenking verschuldigd zou zijn.

Voor meer informatie of vragen omtrent een fiscaal voordelige vermogensplanning kan u het Studio Legale team bereiken via e-mail ([email protected]) of telefonisch (03 216 70 70).

 

HET INVORDERINGSWETBOEK VOOR DE INVORDERING VAN FISCALE EN BEPAALDE NIET-FISCALE SCHULDVORDERINGEN DOOR DE FOD FINANCIËN
PDF

De invordering van fiscale en bepaalde niet-fiscale schuldvorderingen door de FOD Financiën wordt geregeld door het Invorderingswetboek dat op 1 januari 2020 in werking trad.

  • Wat

Binnen de FOD Financiën staat de Algemene Administratie van de Inning en de Invordering (afgekort AAII) in voor de invordering van fiscale en bepaalde niet-fiscale schuldvorderingen. De wetgeving hieromtrent lag vroeger verspreid over verschillende (fiscale) wetten en wetboeken. Het Invorderingswetboek heeft deze wetgeving geharmoniseerd, maar ook gewijzigd zodat de administratie makkelijker tot invordering kan overgaan.

  • Toepassingsgebied

De bepalingen uit het Invorderingswetboek zijn van toepassing wanneer:

  1. Het gaat om één van de volgende fiscale schuldvorderingen:
  • Inkomstenbelastingen;
  • Voorheffingen bedoeld in art. 249 WIB;
  • Belastingen gelijkgesteld met inkomstenbelastingen;
  • Btw;
  • Taksen bedoeld in boek II van het Wetboek diverse rechten en taksen;

of

Het gaat om één van de volgende categorieën van niet-fiscale schuldvorderingen:

  • Elke som van niet-fiscale aard verschuldigd aan de fiscus waarvan de invordering wordt verzekerd door de FOD Financiën;
  • Elke som van niet-fiscale aard verschuldigd aan de deelstaten en waarbij aan de FOD Financiën werd gevraagd om ze te innen;
  • Elke som waarvan de invordering wordt verzekerd door de DAVO-wet (invordering alimentatie).

en

  1. De schuldvordering wordt geïnd door de specifieke administratie binnen de FOD Financiën, nl. de AAII.

Daarnaast is het ook mogelijk dat het Invorderingswetboek onrechtstreeks van toepassing wordt gemaakt doordat in bepaalde wetgeving over een type schuldvordering, die normaal gezien buiten het toepassingsgebied zou vallen, wordt verwezen naar het Invorderingswetboek. Dit is bijvoorbeeld het geval voor lokale belastingen, zoals gemeente- en provinciebelastingen.

  • Wijze van invordering
  1. De minnelijke invordering

De administratie moet de minnelijke invordering altijd van start laten gaan met een ingebrekestelling. Deze kan worden verstuurd vanaf 10 dagen na het verstrijken van de wettelijke betaaltermijn (afhankelijk van en verschillend per type schuld). De ingebrekestelling moet gratis verstuurd worden per gewone post en moet op duidelijke en ondubbelzinnige wijze de gegevens van de schuldvordering bevatten.

Art. 3 §4 van de domaniale wet van 22 december 1949 bepaalt echter dat: “In afwijking van het eerste lid kan de schuldenaar, middels een uitdrukkelijke verklaring in die zin, ervoor opteren innings- en invorderingsberichten uitsluitend op elektronische wijze te ontvangen. In dit geval geldt de aanbieding op elektronische wijze als rechtsgeldige verzending van het innings- en invorderingsbericht.”

De ingebrekestelling kan dus ook uitsluitend langs elektronische weg worden verzonden, maar dan moet de schuldenaar daar een uitdrukkelijke verklaring voor hebben afgelegd. In dat geval geldt de elektronische ingebrekestelling ook als verzending van het innings- en invorderingsbericht.

Na de ingebrekestelling heeft de schuldenaar één maand de tijd om te betalen. Zoniet, kan worden overgegaan tot tenuitvoerlegging.

Het voorafgaand versturen van een ingebrekestelling wordt in de wet niet voorgeschreven op straffe van nietigheid. Toch kan het niet verzenden ervan wel gevolgen hebben voor de fiscus, bv. de nalatigheidsintresten beginnen niet te lopen, de middelen van tenuitvoerlegging kunnen ongeldig worden verklaard, de kosten van tenuitvoerlegging kunnen ten laste van de fiscus worden gelegd etc.

  1. De gedwongen invordering

Wanneer vrijwillige betaling uitblijft, zal de fiscus moeten overgaan tot gedwongen invordering. Gedwongen invordering van een schuldvordering is maar mogelijk wanneer de schuldeiser over een uitvoerbare titel beschikt. Voor een gewone schuldeiser houdt dit in de regel in dat hij een vonnis bekomt via de rechtbank om het vervolgens met tussenkomst van een gerechtsdeurwaarder gedwongen te laten uitvoeren.

De fiscus is echter een bijzondere schuldeiser die een aantal voorrechten heeft. Zo moet de fiscus niet naar de rechtbank stappen, maar kan zij ook zichzelf een uitvoerbare titel geven. Het Invorderingswetboek bepaalt dat de fiscale en bepaalde niet-fiscale schuldvorderingen kunnen worden uitgevoerd op basis van 3 uitvoerbare titels:

  • Het uitvoerbaar verklaard kohier (vanuit de fiscus zelf);
  • Het uitvoerbaar verklaard innings-en invorderingsregister (vanuit de fiscus zelf);
  • Een vonnis (vanuit de rechtbank).

Eens de uitvoerbare titel voorhanden is, kan de fiscus beroep doen op de middelen van tenuitvoerlegging zoals deze omschreven staan in het Gerechtelijk Wetboek, bv. uitvoerend roerend of onroerend beslag.

Om zeker te zijn dat de fiscus haar schuldvordering betaalt ziet – wat niet altijd vanzelfsprekend is wanneer er vele schuldeisers zijn die proberen uit te voeren op het vermogen van een schuldenaar – beschikt zij opnieuw over een aantal voorrechten. Bijvoorbeeld:

  • De fiscus kan beroep doen op een sterk vereenvoudigde procedure van beslag bij een derde;
  • De fiscus beschikt over een algemeen voorrecht op de inkomsten en de roerende goederen van alle aard van de schuldenaar. Dit houdt in dat de fiscus bij samenloop met andere schuldeisers altijd als één van de eerste zal uitbetaald worden;
  • Als waarborg voor het invorderen van de schuldvordering kan de fiscus een wettelijke hypotheek laten vestigen op de goederen van de schuldenaar;
  • Opdat de fiscus zou worden geïnformeerd over handelingen van de schuldenaar die invloed zouden kunnen hebben op haar mogelijkheid om de schuldvordering te innen, zijn er een aantal wettelijke aansprakelijkheden ingevoerd van personen of instanties die de fiscus hiervan moeten inlichten. Zo moet bijvoorbeeld een notaris de fiscus verplicht inlichten wanneer de schuldenaar een onroerend goed wil verkopen;

Het weze duidelijk dat de fiscus over een sterke invorderingspositie beschikt, des te meer sinds de invoering van het Invorderingswetboek.

Nu het doorgaans om grote bedragen gaat en een gedwongen uitvoering veel bijkomende kosten met zich meebrengt, kan het voor een schuldenaar al snel zeer moeilijk worden om het hoofd boven water te houden. Des te meer nu de fiscus ook de mogelijkheid heeft om per overtreding van het Invorderingswetboek een administratieve geldboete gaande van 50,00 tot 1.250,00 Euro op te leggen. Weet dat er een aantal zaken zijn, waarop in dat geval beroep kan worden gedaan:

  • Er kan een afbetalingsplan worden voorgesteld aan de fiscus;
  • Er kan een onbeperkt uitstel van invordering worden aangevraagd. Dit houdt in dat een schuldenaar die zich in een blijvende moeilijke financiële situatie bevindt, een schriftelijk, gemotiveerd verzoek richt aan de administratie om een onbeperkt uitstel van invordering te krijgen in ruil voor betaling van één bepaald, redelijk bedrag;
  • Er kan een vrijstelling van nalatigheidsintresten worden aangevraagd;

Het gaat hier wel om gunstmaatregelen waarop niet elke schuldenaar automatisch recht zal hebben.

Hebt u vragen of wenst u meer informatie over dit onderwerp? Neem gerust contact op met het Studio Legale Team op 03 216 70 70 of via [email protected].

 

 

 

 

 

 

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 34/2020 VAN 23 JUNI 2020
PDF

 

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 33/2020 VAN 19 JUNI 2020
PDF

 

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!