Betreft
Na een klacht tegen het Bisdom Gent heeft de GBA bevolen dat het verzoek van de gedoopte moet ingewilligd worden om uit het doopregister van de parochie geschrapt te worden.
Context
Verzoek tot wissing gegevens uit het doopregister
Rechtsgrond
Artikel 12.1, 12.3 en 12.4 GDPR
Feiten
De gedoopte verzocht op 22 maart 2021 het bisdom Gent om elke verwijzing naar zijn persoon uit elk fysiek of digitaal archief te schrappen.
Door de toenmalige Kanselier van het Bisdom werd hem meegedeeld dat de uittreding uit de Rooms-Katholieke Kerk op 24 maart 2021 werd opgeschreven op de lijst van kerkverlaters van de parochie Gent en dat de mogelijkheid bestaat om de aantekening in het doopregister persoonlijk te komen controleren.
De gedoopte meent hiermee geen genoegen te kunnen nemen. Hij betwist namelijk in eerste instantie ooit zelf een intrede in de kerk gemaakt te hebben aangezien hij door zijn ouders werd ingeschreven in het doopregister. Een uittrede kan dan ook niet plaatsvinden indien er nooit een intrede is geweest. Hij drong verder aan op de verwijdering van elk gegeven verwijzend naar zijn persoon, met inbegrip van informatie i.v.m. zijn uittreding uit de Rooms-Katholieke Kerk, uit alle fysieke of digitale register of archieven.
Diezelfde dag diende de gedoopte zijn klacht in.
Informatieverplichting
De betrokkenen worden geïnformeerd over de verwerkingen die plaatsvinden met betrekking tot de doop aan de hand van een formulier dat een privacyverklaring bevat. In verband met de verwerkingen van persoonsgegeven vermeldt dit formulier:
“Mijn persoonsgegevens evenals de gegevens van mijn kind mogen verwerkt worden in een bestand met het doel de doop, de eerste communie of het vormsel van mijn kind mogelijk te maken.”
Aangezien bevestigd werd dat dit de enige informatie is die wordt verschaft, oordeelt de Geschillenkamer dat het Bisdom Gent in overtreding is met de verplichting tot transparantie vervat in artikel 5.1.a) GDPR en de daarmee samenhangende verplichte specifieke informatie die volgens artikel 13 GDPR bij de verzameling van persoonsgegevens verstrekt moet worden.
Er wordt nergens in het formulier bovendien verwezen naar een privacyverklaring die online wel raadpleegbaar is. Overigens is zelfs niet in deze online privacyverklaring alle vereist informatie opgenomen. Zo is er bijvoorbeeld geen periode van opslag van de periode gegevens vermeld.
Artikel 12.1, 12.3 en 12.4 GDPR bevat nog de specifieke verplichting tot het verschaffen van deze informatie indien een verzoek conform de artikelen 15 t.e.m. 22 GDPR wordt ingediend. De mededeling die de gedoopte ontving n.a.v. van zijn verzoek beantwoordt hier niet aan:
“Ik kan u meedelen dat uw uittreding uit de Katholieke Kerk werd genoteerd op de lijst van de kerkverlaters van de parochie Gent op 24 maart 2021. (1955 nr. 536) doopregister Toevlucht van Maria. Het staat u vrij deze aantekening persoonlijk in het doopregister te verifiëren.”
Het feit dat er wel een standaardantwoord bestaat, wat in deze kwestie niet aan betrokkene verzonden werd, en dat gedoopte niet verder aandrong bij het Bisdom Gent op de informatie, kan hier geen afbreuk aandoen. De verplichting bestaat eruit om dit reeds bij het eerste verzoek mee te delen en kan een betrokkene niet verplicht worden om nog bijkomende vragen hieromtrent te stellen alvorens de informatie te bekomen.
De geschillenkamer stelt dan ook een schending van artikel 12.4 GDPR vast.
Integriteit en vertrouwelijkheid
Het Bisdom Gent legt de nadruk op het feit dat de dooparchieven voorzien zijn van de nodige beveiligingsmaatregelen. De toegang tot deze archieven zou beperkt zijn tot de priester of een door hem gemachtigde en een afschrift zou alleen worden verstrekt op verzoek van de betrokkene zelf. De implementatie in de praktijk lig in handen van de priester van de betreffende parochie.
Aangezien de Geschillenkamer niet de mogelijkheid heeft om daadwerkelijk te controleren of deze maatregelen in de praktijk worden toegepast, oordeelt zij dat de technische en organisatorische maatregelen conform artikel 5.1.f) GDPR prima facie als adequaat worden beschouwd.
Rechtmatigheid van de verwerking
Aangezien het over de verwerking van bijzondere persoonsgegevens conform artikel 9.1 GDPR gaat, moet het Bisdom Gent een rechtsgrond conform artikel 6 GDPR én een uitzonderingsgrond uit artikel 9.2 GDPR kunnen aanwijzen vooraleer de verwerking rechtmatig zou kunnen zijn.
Het Bisdom Gent duidt het gerechtvaardigd belang conform artikel 6.1.f) GDPR aan als de rechtsgrond voor de verwerking.
Vaste rechtspraak van het Hof van Justitie van de Europese Unie heeft drie cumulatieve voorwaarden uitgewerkt alvorens een beroep op deze rechtsgrond gedaan kan worden, waarbij de verwerkingsverantwoordelijke moet aantonen dat:
- de belangen die hij met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (‘de doeltoets’);
- de beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (‘de noodzakelijkheidstoets’); en
- de afweging van deze belangen tegen de fundamentele belangen, vrijheden en grondrechten van de betrokkenen in het voordeel van de verwerkingsverantwoordelijke of van een derde is (‘de afwegingstoets’).
Het doeleinde is het vermijden van identiteitsfraude m.b.t. het uitvoeren van de sacramenten.
De geschillenkamer stelt hierbij vast dat wanneer er uiting wordt gegeven aan een fundamenteel recht of vrijheid, hier vrijheid van godsdienst en van vereniging, dit als een gerechtvaardigd belang moet worden gezien. Bovendien is identiteitsfraude in overweging 47 van de GDPR opgenomen als mogelijk gerechtvaardigd belang. De doeltoets is voldaan.
De noodzakelijkheidstoets kan niet los gezien worden van het beginsel van doelbinding en het data minimalisatie-beginsel vervat in artikel 5.1.b) en 5.1.c) GDPR.
Hier blijkt het schoentje te wringen.
De registers bestaan immers enkel op papier en niet digitaal. Het Bisdom Gent is afhankelijk van de vrijwillige verstrekking van de nodige persoonsgegevens om te controleren of de relevante sacramenten nog niet zijn ondergaan. Interparochiale opzoekingen zijn des te meer afhankelijk van medewerking van de betrokkenen aangezien de doopregisters slechts per parochie worden bijgehouden. De doopregisters vermijden op zich dus geenszins dat een betrokkene tweemaal eenzelfde sacrament kan ondergaan. Bovendien is een doop onder voorwaarde een mogelijkheid indien er onzekerheid zou bestaan over de geldigheid. De noodzakelijkheidstoets blijkt op dit vlak al niet doorstaan te kunnen worden.
De annotatie die wordt gemaakt in het doopregister bestaat eruit aan te geven dat de betrokkene “op datum van uittreding de Kerkgemeenschap heeft verlaten”. In de praktijk gaat dergelijk verzoek tot uittreding vaak gepaard met verzoek tot schrapping uit alle registers. Bijkomende gegevens worden dus verwerkt en dus kunnen mogelijk nog gevoeliger geacht worden.
Eerder werd reeds geoordeeld dat het nagestreefde doel wel gerechtvaardigd is, maar de wijze waarop dit wordt nagestreefd is niet in overeenstemming met de noodzakelijkheidsvereiste. Het is immers geen waterdichte methode om de correcte status van een betrokkene na te gaan en te voorkomen dat tweemaal eenzelfde sacrament wordt toegediend.
Bovendien wordt niet een minimum aan persoonsgegevens bewaard. Het bijhouden van persoonsgegevens van de peter en meter, datum van uittreding is bijvoorbeeld niet noodzakelijk voor dit doel.
De geschillenkamer stelt dan ook een schending van het beginsel van doelbinding en data minimalisatie-beginsel vast (artikel 5.1.b) en 5.1.c) GDPR).
Tot slot moet er nog een afweging gemaakt worden tussen het gerechtvaardigde belang van het vermijden van identiteitsfraude en een dubbele doop en het recht op bescherming van persoonsgegevens van de gedoopte.
Het levenslang bewaren van de persoonsgegevens van de gedoopte is disproportioneel, ongeacht het feit dat het oorspronkelijke doel van de verwerking gerechtvaardigd is.
De geschillenkamer stelt dan ook vast dat er geen rechtsgrond voor de verwerking heeft in strijd met artikelen 5.1.a) en 6.1.f) GDPR aangezien zowel de noodzakelijkheidstoets als de afwegingstoets niet wordt doorstaan.
De geschillenkamer zet wel uitdrukkelijk de deur op een kier voor de mogelijkheid dat dergelijke verwerking wel gerechtvaardigd kan zijn indien voldoende aandacht wordt besteed aan het beginsel van dataminimalisatie en proportionaliteit.
Recht op rectificatie
De gedoopte meent dat de gegevens onjuist zijn aangezien hij op verzoek van zijn ouders gedoopt is en dus nooit zelf dit verzocht heeft. Dit zou resulteren in onjuiste gegevens die ge rectificeert moeten worden conform artikel 16 GDPR.
De (on)juistheid moet beoordeeld worden in verband met de specifieke doeleinden van de verwerking. De ouders hebben in dit kader de beslissingsbevoegdheid om hun kind(eren) op te laten nemen in een religieuze vereniging en hierbij is dan ook de gedoopt lid geworden van de Rooms-Katholieke kerk zodat er van onjuiste gegevens geen sprake is.
Het recht op rectificatie kan dan ook niet ingewilligd worden.
Recht op gegevenswissing
Er worden door het Bisdom Gent geen dwingende gerechtvaardigde gronden aangetoond voor de verwerking van alle persoonsgegevens zoals deze in het doopregister vermeld staan.
Het Bisdom Gent moet dan ook de gegevens zonder onredelijke vertraging wissen.
Uitspraak
Bij deze uitspraak benadrukt de geschillenkamer dat de inbreuk een categorie van gevoelige persoonsgegevens betreft en dit om die van ernstige aard is. Evenwel houdt de geschillenkamer als “verzachtende omstandigheid” ook rekening met het feit dat de doopregisters niet vrij toegankelijk zijn voor het publiek en slechts sporadisch worden geraadpleegd op verzoek van de betrokkenen.
De Geschillenkamer stelt vast dat “de voortdurende verwerking van de persoonsgegevens van klager in de doopregisters ondanks zijn verzoek tot gegevenswissing een gedraging is die inbreuk uitmaakt op de artikelen 6.1 en 9 AVG, is het aan de orde corrigerende maatregelen te nemen lastens de verweerster. Voorts heeft de Geschillenkamer vastgesteld dat de informatieverplichtingen op grond van artikel 13 AVG niet zijn nageleefd. De verweerster handelt tevens in overtreding met artikel 17 AVG, tezamen gelezen met artikel 12 AVG.”
De Geschillenkamer berispt het Bisdom Gent voor het gebrek aan duidelijke informatie aan de betrokkenen en de weigering om het verzoek tot gegevenswissing uit te voeren. Hierbij werd rekening gehouden met het coöperatief samenwerken van het Bisdom Gent met de Geschillenkamer. Het opleggen van een geldboete zou onevenredig zijn.
Het Bisdom Gent krijgt bovendien 30 dagen om volgende maatregelen te nemen om de verwerking van persoonsgegevens in overeenstemming met de bepalingen van de GDPR te brengen:
- terdege en onverwijld gevolg te geven aan het verzoek tot gegevenswissing van de klager overeenkomstig artikel 17 GDPR (artikel 58.2.b) GDPR en artikel 100, §1, 6°, WOG);
- om de verwerkingen van de persoonsgegevens van kerkverlaters in hun huidige vorm te staken overeenkomstig artikel 21.1 AVG (artikel 59.2.b) GDPR en artikel 100, §1, 8°, WOG).
Het Bisdom Gent moet eveneens alle gezamenlijke verwerkingsverantwoordelijken van deze beslissing en bevel in kennis stellen en benadrukken dat de huidige rechtsgronden niet overeenstemmen met de GDPR.
Gelet op het bredere belang van de beslissing alsook voor het goed begrip worden de identificatiegegevens van het Bisdom Gent bekendgemaakt.
Onze mening
De geschillenkamer onderzoekt terecht grondig of de cumulatieve voorwaarden voor het toepassen van de rechtsgrond van het gerechtvaardigde belang werd voldaan.
Deze beslissing maakt nogmaals duidelijk dat het beoogde doel perfect legitiem kan zijn, maar dat vervolgens steeds de nodige aandacht besteed moet worden aan de noodzakelijkheid en proportionaliteit van de vervolgens toegepaste verwerkingen om dit doel te bereiken.
Uit de feitelijkheden van deze kwestie wordt duidelijk dat het Bisdom Gent hier niet de nodige aandacht aan heeft besteed en om die reden is de beslissing dan ook terecht.
Beslissing
Definitief?
Nee, procedure in hoger beroep voor het Marktenhof is nog hangende.
