Auteur: Ruben Brosens

Het Grondwettelijk Hof heeft in haar arrest dd. 11 oktober 2018 geoordeeld dat de exceptie van borgstelling van de eisende vreemdeling (art. 851 Ger.W.) het gelijkheids- en non-discriminatiebeginsel schendt, en gaf de wetgever tijd tot 31 augustus 2019 om de ongrondwettigheid te bestrijden. Dat is niet gebeurd.

Hoe moet het nu verder? Een grondwetsconforme interpretatie lijkt het antwoord van de rechtspraak.

Artikel 851 van het Gerechtelijk Wetboek voorziet de mogelijkheid voor een Belg die in een gerechtelijke procedure de verwerende partij is, wanneer de hoofdeiser of tussenkomende partij geen Belg is, om te vorderen dat de eisende partij borg stelt voor de betaling van de gerechtskosten en schadevergoedingen, voor het geval de eiser daartoe veroordeeld zou worden.[1]

De exceptie van borgstelling van de eisende vreemdeling, in het Latijn genaamd de “cautio iudicatum solvi”, beoogt een waarborg te bieden aan de Belgische verweerder dat de buitenlandse eiser wel degelijk zal betalen wat hij verschuldigd is indien hij veroordeeld zou worden.[2]

Een uitspraak over de exceptie van borgstelling, wat een procedure-incident is, en losstaat van de gegrondheid van de zaak, is een vonnis alvorens recht te doen.[3] De uitspraak is dus geen eindbeslissing over de gegrondheid van de eis.[4] De exceptie mag evenmin bij de hoofdzaak worden gevoegd, zij moet apart beoordeeld worden.[5] Tegen een beslissing alvorens recht te doen kan enkel hoger beroep worden ingesteld samen met het hoger beroep tegen het eindvonnis.[6]

De verweerder kan de exceptie van borgstelling zelfs voor het eerst in hoger beroep opwerpen.[7] Ze moet wel steeds voor alle andere verweermiddelen en excepties ingesteld worden.[8]

In drie gevallen is de eisende partij vrijgesteld van het stellen van dergelijke zekerheid:

  • indien hij de som die de rechter bepaalt in consignatie geeft, of
  • indien hij aantoont dat zijn onroerende goederen in België die som te dekken, of
  • indien hij voldoende pand geeft indien hij geen borg kan stellen.[9]

Wanneer België en de Staat waar de eiser gevestigd is van deze bepaling afwijken in een onderling verdrag, dan kan men deze exceptie evenwel niet opwerpen (zie: bijlage).[10]

Wat nu als de eisende partij een Belg is die in het buitenland woont of verblijft, en evenmin over een vermogen beschikt in België? In dat geval is de Belgische verweerder niet beschermd, terwijl hij zich in een feitelijk identieke situatie bevindt. Hij wordt namelijk opgeroepen voor een Belgisch rechtscollege door een persoon die in België geen beslagbaar vermogen heeft. Louter op basis van de nationaliteit van de eiser, gelet op de bewoording ‘vreemdeling’ in artikel 851 Ger.W., is hij niet beschermd in de situatie waarin de eiser geen vreemdeling is doch evengoed geen enkel vermogen en dus onderpand in België bezit.

In 2018 heeft de rechtbank van koophandel te Luik een prejudiciële vraag gesteld aan het Grondwettelijk Hof. Dat wil zeggen dat de rechtbank, alvorens een vonnis te vellen, aan het Hof vraagt om te onderzoeken of het wetsartikel in kwestie geen schending inhoudt van de beginselen van gelijkheid en non-discriminatie, die verankerd zijn in artikelen 10 en 11 van de Grondwet.[11]

Onder het beginsel van gelijkheid en niet-discriminatie is een verschil in behandeling tussen categorieën van personen toegelaten, op voorwaarde dat dat verschil op een objectief criterium berust en redelijk verantwoord is. Het Grondwettelijk Hof houdt in haar beoordeling rekening met het doel en de gevolgen van de betwiste wetsbepaling. Er is enkel sprake van een schending als er geen redelijk verband bestaat tussen het beoogde doel en de daartoe aangewende middelen.[12]

Het criterium dat in dezen ter discussie staat, is dat van de nationaliteit van de eiser. Het Hof acht dit criterium objectief, maar gaat daarbij onderzoeken of het onderscheid in behandeling gebaseerd is op een relevant criterium, en of het geen onevenredige gevolgen teweegbrengt.[13]

Hiervoor verwijst het naar artikel 6 van het EVRM dat het recht op toegang tot de rechter waarborgt. De exceptie van borgstelling beperkt dit recht enigszins omdat wie niet over voldoende vermogen beschikt om de eventuele kosten als verliezende partij te dragen, het geschil niet aanhangig kan maken voor een rechter. Dit recht is echter niet absoluut[14], wat wil zeggen dat de ondertekenende Staten hiervan kunnen afwijken, op voorwaarde dat zij geen afbreuk doen aan de essentie van dit recht.[15]

In de zaak Tolstoy Miloslavsky / United Kingdom heeft het Europees Hof voor de Rechten van de Mens geoordeeld dat de rechtsfiguur van de exceptie van borgstelling duidelijk een legitiem doel nastreeft. Het biedt zekerheid aan de in het gelijk gestelde partij dat zijn wederpartij de gerechtskosten en schadevergoeding zal (kunnen) voldoen indien deze hiertoe wordt veroordeeld. Het vooruitzicht op een vrij kansloos hoger beroep verantwoordt de borgstelling des te meer ter bevordering van de eerlijke rechtspleging.[16] De security for costs tast het recht op toegang tot een rechter niet aan, aldus het Europees Hof voor de Rechten van de Mens.[17]

Het Grondwettelijk Hof past dit principe toe op haar beoordeling in het arrest van 11 oktober 2018. Het doel is hier om de betaling van de gerechtskosten en schadevergoeding, waartoe de eiser kan worden veroordeeld, te waarborgen aan de verweerder. Het aangewende middel is het onderscheid tussen de Belgische onderdaan en de vreemdeling. Echter is het niet de nationaliteit die hierbij relevant is, wel de omstandigheid dat de eisende partij in het buitenland woont of verblijft, en in België over onvoldoende vermogen beschikt om in te staan voor de financiële gevolgen van een eventuele veroordeling.[18]

Het Grondwettelijk Hof heeft aldus, na vast te stellen dat deze bepaling wel een legitiem doel nastreeft naar analogie met de rechtspraak van het Europees Hof voor de Rechten van de Mens, geoordeeld dat artikel 851 van het Gerechtelijk Wetboek een schending van artikelen 10 en 11 van de Grondwet inhoudt, aangezien het nationaliteitscriterium niet verantwoord is.[19]

Hierbij bepaalt het Hof verder dat de gevolgen van deze wetsbepaling worden gehandhaafd tot de wetgever de wet in overeenstemming brengt met de Grondwet, en uiterlijk tot 31 augustus 2019.[20] De wetgever heeft de bestreden bepaling niet tijdig aangepast of afgeschaft, noch is dit tot op heden gebeurd. In de rechtspraak heerste tot recent verdeeldheid over hoe deze regel nu moet worden toegepast.

De Antwerpse rechtspraak neigde naar een grondwetsconforme toepassing.[21] In Brussel waren ze eerder van mening dat het niet aan de rechter maar aan de wetgever toekomt om de wetgeving grondwetsconform te maken, en dat na 31 augustus 2019 geen borgstelling meer kan worden uitgesproken. De rechter kan immers niet voorspellen hoe de wetgever zal handelen.[22] Het Hof van Cassatie is dit laatste standpunt niet gevolgd. Ze heeft het bestreden arrest van het hof van beroep te Brussel dd. 28 juni 2021 vernietigd, en verwijst de zaak door naar het hof van beroep te Antwerpen.[23]

Het Hof van Cassatie bevestigt daarmee dat de rechter de exceptie van borgstelling van de eisende vreemdeling grondwetsconform moet toepassen na het verstrijken van de handhavingstermijn van de bepaling (hier 31 augustus 2019) indien mogelijk, en ruimer dat het de rechter toekomt elke leemte te verhelpen teneinde de wet in overeenstemming te brengen met de Grondwet.[24] Het Hof van Cassatie is van oordeel dat het wel redelijk is om de toepassing uit te breiden tot elke eiser, ongeacht zijn nationaliteit, die in het buitenland woont, gevestigd is of verblijft en in België geen vermogen heeft.

Besluit

Tot nader order mag de Belgische verweerder, gelet op de recente rechtspraak van het Hof van Cassatie, de exceptie van borgstelling van de eisende vreemdeling voor ieder ander verweermiddel blijven opwerpen. De voorwaarden hiervoor zijn dat de eiser of tussenkomende partij in België niet over voldoende vermogen beschikt om in te staan voor de financiële gevolgen van een eventuele veroordeling, en een internationale overeenkomst niet tot vrijstelling van borgstelling geldt.[25]

[1] Art. 851 Gerechtelijk Wetboek, BS 31 oktober 1967. (hierna: Ger.W.)

[2] GwH 11 oktober 2018, nr. 135/2018, 3.

[3] Cass. 6 oktober 1998, AR P.98.1228.F.

[4] Antwerpen 7 juni 2021, RW 2021-22, afl. 37, 1482.

[5] Art. 869, lid 1 Ger.W.

[6] Art. 1050, lid 2 Ger.W.

[7] Art. 851 Ger.W.

[8] Art. 868, lid 1 Ger.W.

[9] Art. 852 Ger.W.

[10] Art. 851 Ger.W.

[11] Art. 26, §1, 3° bijzondere wet 6 januari 1989 op het Grondwettelijk Hof, BS 7 januari 1989.

[12] GwH 11 oktober 2018, nr. 135/2018, 8.

[13] Ibid.

[14] EHRM 19 juni 2001, nr. 28249/95, Kreuz/Polen, §53; EHRM 8 juni 2006, nr. 45723/99, V.M./Bulgarije, §41.

[15] GwH 11 oktober 2018, nr. 135/2018, 9.

[16] EHRM 13 juli 1995, nr. 18139/91, Tolstoy Miloslavsky/Verenigd Koninkrijk, §61.

[17] Ibid., § 62.

[18] GwH 11 oktober 2018, nr. 135/2018, 10.

[19] Ibid., 11.

[20] Ibid.

[21] Antwerpen 19 januari 2022, RW 2021-22, afl. 37, 1480; Antwerpen 23 maart 2022, RW 2021-22, afl. 37, 1476; Ondrb. Antwerpen (afd. Hasselt) 12 november 2019, RW 2020-21, afl. 11, 435; Ondrb. Antwerpen (afd. Antwerpen) 26 februari 2021, RW 2021-22, afl. 37, 1483.

[22] Brussel 28 juni 2021, RW 2021-22, afl. 31, 1245; Ondrb. Brussel (Nl.) 17 mei 2021, P&B 2021, afl. 3, 135.

[23] Cass. 10 maart 2023, AR. C.22.0126.N, 7.

[24] Ibid., 6.

[25] Ibid.

Bijlage: Vrijstelling van de cautio iudicatum solvi

  1. Verdrag betreffende de burgerlijke rechtsvordering (HCCH):

Een onderdaan van een lidstaat van dit verdrag geniet in België vrijstelling van de cautio iudicatum solvi.[1]

De bijgewerkte lijst met de status per Staat, kan u hier raadplegen.[2]

  1. Verdrag betreffende de status van vluchtelingen (VN):

Een vluchteling in een lidstaat van dit verdrag, waar hij zijn gewone verblijfplaats heeft, geniet in België vrijstelling van de cautio iudicatum solvi.[3]

De bijgewerkte lijst met de status per Staat, kan u hier raadplegen.[4]

  1. Verdrag betreffende de status van staatlozen (VN):

Een staatloze in een lidstaat van dit verdrag, waar hij zijn gewone verblijfplaats heeft, geniet in België vrijstelling van de cautio iudicatum solvi.[5]

De bijgewerkte lijst met de status per Staat, kan u hier raadplegen.[6]

  1. Europese Unie

Onderdanen van lidstaten van de Europese Unie kunnen de cautio iudicatum solvi niet opwerpen tegen onderdanen van andere lidstaten van de Europese Unie.[7]

De lijst met huidige lidstaten van de Europese Unie, kan u hier raadplegen.[8]

  1. Verdrag tussen België en Tunesië betreffende rechtshulp in burgerlijke- en handelszaken:

België heeft een verdrag met Tunesië dat o.m. de cautio iudicatum solvi t.a.v. hun onderdanen uitsluit.[9]

Bronnen

Verdrag 4 november 1950 tot bescherming van de rechten van de mens en de fundamentele vrijheden, BS 19 augustus 1955, err. BS 29 juni 1961.

Verdrag 28 juli 1951 betreffende de status van vluchtelingen, BS 4 oktober 1953.

Verdrag 1 maart 1954 betreffende de burgerlijke rechtsvordering, BS 11 mei 1958.

Verdrag 28 september 1954 betreffende de status van staatlozen, BS 10 augustus 1960.

Verdrag 27 april 1989 tussen het Koninkrijk België en de Tunesische Republiek betreffende rechtshulp in burgerlijke zaken en handelszaken, BS 20 oktober 1999.

Gerechtelijk Wetboek, BS 31 oktober 1967.

Bijzondere wet 6 januari 1989 op het Grondwettelijk Hof, BS 7 januari 1989.

EHRM 13 juli 1995, nr. 18139/91, Tolstoy Miloslavsky/Verenigd Koninkrijk.

EHRM 19 juni 2001, nr. 28249/95, Kreuz/Polen.

EHRM 8 juni 2006, nr. 45723/99, V.M./Bulgarije.

HvJ 20 maart 1997, nr. C-323/95.

GwH 11 oktober 2018, nr. 135/2018.

Cass. 6 oktober 1998, AR P.98.1228.F.

Cass. 10 maart 2023, AR. C.22.0126.N.

Antwerpen 7 juni 2021, RW 2021-22, afl. 37, 1481-1482.

Antwerpen 19 januari 2022, RW 2021-22, afl. 37, 1478-1481.

Antwerpen 23 maart 2022, RW 2021-22, afl. 37, 1475-1477.

Brussel 28 juni 2021, RW 2021-22, afl. 31, 1239-1245.

Ondrb. Antwerpen (afd. Hasselt) 12 november 2019, RW 2020-21, afl. 11, 435-437.

Ondrb. Antwerpen (afd. Antwerpen) 26 februari 2021, RW 2021-22, afl. 37, 1482-1483.

Ondrb. Brussel (Nl.) 17 mei 2021, P&B 2021, afl. 3, 135.

VERHOEVEN, M., “Cassatie interpreteert borgstelling eisende vreemdeling grondwetsconform”, Juristenkrant 2023, afl. 468, 9.

[1] Art. 17 Verdrag 1 maart 1954 betreffende de burgerlijke rechtsvordering, BS 11 mei 1958.

[2] www.hcch.net/en/instruments/conventions/status-table/?cid=33

[3] Art. 16, §2 Verdrag 28 juli 1951 betreffende de status van vluchtelingen, BS 4 oktober 1953.

[4] https://treaties.un.org/Pages/showDetails.aspx?objid=080000028003002e&clang=_en

[5] Art. 16, §2 Verdrag 28 september 1954 betreffende de status van staatlozen, BS 10 augustus 1960.

[6] https://treaties.un.org/Pages/showDetails.aspx?objid=0800000280032b94&clang=_en

[7] HvJ 20 maart 1997, nr. C-323/95.

[8] https://european-union.europa.eu/principles-countries-history/country-profiles_nl

[9] Art. 2 Verdrag 27 april 1989 tussen het Koninkrijk België en de Tunesische Republiek betreffende rechtshulp in burgerlijke zaken en handelszaken, BS 20 oktober 1999.

Betreft        

Na een klacht tegen het Bisdom Gent heeft de GBA bevolen dat het verzoek van de gedoopte moet ingewilligd worden om uit het doopregister van de parochie geschrapt te worden.

Context       

Verzoek tot wissing gegevens uit het doopregister

Rechtsgrond

Artikel 5.1.a) GDPR

Artikel 5.1.f) GDPR

Artikel 6 GDPR

Artikel 9.1 en 9.2 GDPR

Artikel 12.1, 12.3 en 12.4 GDPR

Artikel 13 GDPR

Artikel 15 GDPR

Artikel 17 GDPR

Feiten

De gedoopte verzocht op 22 maart 2021 het bisdom Gent om elke verwijzing naar zijn persoon uit elk fysiek of digitaal archief te schrappen.

Door de toenmalige Kanselier van het Bisdom werd hem meegedeeld dat de uittreding uit de Rooms-Katholieke Kerk op 24 maart 2021 werd opgeschreven op de lijst van kerkverlaters van de parochie Gent en dat de mogelijkheid bestaat om de aantekening in het doopregister persoonlijk te komen controleren.

De gedoopte meent hiermee geen genoegen te kunnen nemen. Hij betwist namelijk in eerste instantie ooit zelf een intrede in de kerk gemaakt te hebben aangezien hij door zijn ouders werd ingeschreven in het doopregister. Een uittrede kan dan ook niet plaatsvinden indien er nooit een intrede is geweest. Hij drong verder aan op de verwijdering van elk gegeven verwijzend naar zijn persoon, met inbegrip van informatie i.v.m. zijn uittreding uit de Rooms-Katholieke Kerk, uit alle fysieke of digitale register of archieven.

Diezelfde dag diende de gedoopte zijn klacht in.

Informatieverplichting

De betrokkenen worden geïnformeerd over de verwerkingen die plaatsvinden met betrekking tot de doop aan de hand van een formulier dat een privacyverklaring bevat. In verband met de verwerkingen van persoonsgegeven vermeldt dit formulier:

“Mijn persoonsgegevens evenals de gegevens van mijn kind mogen verwerkt worden in een bestand met het doel de doop, de eerste communie of het vormsel van mijn kind mogelijk te maken.”

Aangezien bevestigd werd dat dit de enige informatie is die wordt verschaft, oordeelt de Geschillenkamer dat het Bisdom Gent in overtreding is met de verplichting tot transparantie vervat in artikel 5.1.a) GDPR en de daarmee samenhangende verplichte specifieke informatie die volgens artikel 13 GDPR bij de verzameling van persoonsgegevens verstrekt moet worden.

Er wordt nergens in het formulier bovendien verwezen naar een privacyverklaring die online wel raadpleegbaar is. Overigens is zelfs niet in deze online privacyverklaring alle vereist informatie opgenomen. Zo is er bijvoorbeeld geen periode van opslag van de periode gegevens vermeld.

Artikel 12.1, 12.3 en 12.4 GDPR bevat nog de specifieke verplichting tot het verschaffen van deze informatie indien een verzoek conform de artikelen 15 t.e.m. 22 GDPR wordt ingediend. De mededeling die de gedoopte ontving n.a.v. van zijn verzoek beantwoordt hier niet aan:

Ik kan u meedelen dat uw uittreding uit de Katholieke Kerk werd genoteerd op de lijst van de kerkverlaters van de parochie Gent op 24 maart 2021. (1955 nr. 536) doopregister Toevlucht van Maria. Het staat u vrij deze aantekening persoonlijk in het doopregister te verifiëren.”

Het feit dat er wel een standaardantwoord bestaat, wat in deze kwestie niet aan betrokkene verzonden werd, en dat gedoopte niet verder aandrong bij het Bisdom Gent op de informatie, kan hier geen afbreuk aandoen. De verplichting bestaat eruit om dit reeds bij het eerste verzoek mee te delen en kan een betrokkene niet verplicht worden om nog bijkomende vragen hieromtrent te stellen alvorens de informatie te bekomen.

De geschillenkamer stelt dan ook een schending van artikel 12.4 GDPR vast.

Integriteit en vertrouwelijkheid

Het Bisdom Gent legt de nadruk op het feit dat de dooparchieven voorzien zijn van de nodige beveiligingsmaatregelen. De toegang tot deze archieven zou beperkt zijn tot de priester of een door hem gemachtigde en een afschrift zou alleen worden verstrekt op verzoek van de betrokkene zelf. De implementatie in de praktijk lig in handen van de priester van de betreffende parochie.

Aangezien de Geschillenkamer niet de mogelijkheid heeft om daadwerkelijk te controleren of deze maatregelen in de praktijk worden toegepast, oordeelt zij dat de technische en organisatorische maatregelen conform artikel 5.1.f) GDPR prima facie als adequaat worden beschouwd.

Rechtmatigheid van de verwerking

Aangezien het over de verwerking van bijzondere persoonsgegevens conform artikel 9.1 GDPR gaat, moet het Bisdom Gent een rechtsgrond conform artikel 6 GDPR én een uitzonderingsgrond uit artikel 9.2 GDPR kunnen aanwijzen vooraleer de verwerking rechtmatig zou kunnen zijn.

Het Bisdom Gent duidt het gerechtvaardigd belang conform artikel 6.1.f) GDPR aan als de rechtsgrond voor de verwerking.

Vaste rechtspraak van het Hof van Justitie van de Europese Unie heeft drie cumulatieve voorwaarden uitgewerkt alvorens een beroep op deze rechtsgrond gedaan kan worden, waarbij de verwerkingsverantwoordelijke moet aantonen dat:

  • de belangen die hij met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (‘de doeltoets’);
  • de beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (‘de noodzakelijkheidstoets’); en
  • de afweging van deze belangen tegen de fundamentele belangen, vrijheden en grondrechten van de betrokkenen in het voordeel van de verwerkingsverantwoordelijke of van een derde is (‘de afwegingstoets’).

Het doeleinde is het vermijden van identiteitsfraude m.b.t. het uitvoeren van de sacramenten.

De geschillenkamer stelt hierbij vast dat wanneer er uiting wordt gegeven aan een fundamenteel recht of vrijheid, hier vrijheid van godsdienst en van vereniging, dit als een gerechtvaardigd belang moet worden gezien. Bovendien is identiteitsfraude in overweging 47 van de GDPR opgenomen als mogelijk gerechtvaardigd belang. De doeltoets is voldaan.

De noodzakelijkheidstoets kan niet los gezien worden van het beginsel van doelbinding en het data minimalisatie-beginsel vervat in artikel 5.1.b) en 5.1.c) GDPR.

Hier blijkt het schoentje te wringen.

De registers bestaan immers enkel op papier en niet digitaal. Het Bisdom Gent is afhankelijk van de vrijwillige verstrekking van de nodige persoonsgegevens om te controleren of de relevante sacramenten nog niet zijn ondergaan. Interparochiale opzoekingen zijn des te meer afhankelijk van medewerking van de betrokkenen aangezien de doopregisters slechts per parochie worden bijgehouden. De doopregisters vermijden op zich dus geenszins dat een betrokkene tweemaal eenzelfde sacrament kan ondergaan. Bovendien is een doop onder voorwaarde een mogelijkheid indien er onzekerheid zou bestaan over de geldigheid. De noodzakelijkheidstoets blijkt op dit vlak al niet doorstaan te kunnen worden.

De annotatie die wordt gemaakt in het doopregister bestaat eruit aan te geven dat de betrokkene “op datum van uittreding de Kerkgemeenschap heeft verlaten”. In de praktijk gaat dergelijk verzoek tot uittreding vaak gepaard met verzoek tot schrapping uit alle registers. Bijkomende gegevens worden dus verwerkt en dus kunnen mogelijk nog gevoeliger geacht worden.

Eerder werd reeds geoordeeld dat het nagestreefde doel wel gerechtvaardigd is, maar de wijze waarop dit wordt nagestreefd is niet in overeenstemming met de noodzakelijkheidsvereiste. Het is immers geen waterdichte methode om de correcte status van een betrokkene na te gaan en te voorkomen dat tweemaal eenzelfde sacrament wordt toegediend.

Bovendien wordt niet een minimum aan persoonsgegevens bewaard. Het bijhouden van persoonsgegevens van de peter en meter, datum van uittreding is bijvoorbeeld niet noodzakelijk voor dit doel.

De geschillenkamer stelt dan ook een schending van het beginsel van doelbinding en data minimalisatie-beginsel vast (artikel 5.1.b) en 5.1.c) GDPR).

Tot slot moet er nog een afweging gemaakt worden tussen het gerechtvaardigde belang van het vermijden van identiteitsfraude en een dubbele doop en het recht op bescherming van persoonsgegevens van de gedoopte.

Het levenslang bewaren van de persoonsgegevens van de gedoopte is disproportioneel, ongeacht het feit dat het oorspronkelijke doel van de verwerking gerechtvaardigd is.

De geschillenkamer stelt dan ook vast dat er geen rechtsgrond voor de verwerking heeft in strijd met artikelen 5.1.a) en 6.1.f) GDPR aangezien zowel de noodzakelijkheidstoets als de afwegingstoets niet wordt doorstaan.

De geschillenkamer zet wel uitdrukkelijk de deur op een kier voor de mogelijkheid dat dergelijke verwerking wel gerechtvaardigd kan zijn indien voldoende aandacht wordt besteed aan het beginsel van dataminimalisatie en proportionaliteit.

Recht op rectificatie

De gedoopte meent dat de gegevens onjuist zijn aangezien hij op verzoek van zijn ouders gedoopt is en dus nooit zelf dit verzocht heeft. Dit zou resulteren in onjuiste gegevens die ge rectificeert moeten worden conform artikel 16 GDPR.

De (on)juistheid moet beoordeeld worden in verband met de specifieke doeleinden van de verwerking. De ouders hebben in dit kader de beslissingsbevoegdheid om hun kind(eren) op te laten nemen in een religieuze vereniging en hierbij is dan ook de gedoopt lid geworden van de Rooms-Katholieke kerk zodat er van onjuiste gegevens geen sprake is.

Het recht op rectificatie kan dan ook niet ingewilligd worden.

Recht op gegevenswissing

Er worden door het Bisdom Gent geen dwingende gerechtvaardigde gronden aangetoond voor de verwerking van alle persoonsgegevens zoals deze in het doopregister vermeld staan.

Het Bisdom Gent moet dan ook de gegevens zonder onredelijke vertraging wissen.

Uitspraak    

Bij deze uitspraak benadrukt de geschillenkamer dat de inbreuk een categorie van gevoelige persoonsgegevens betreft en dit om die van ernstige aard is. Evenwel houdt de geschillenkamer als “verzachtende omstandigheid” ook rekening met het feit dat de doopregisters niet vrij toegankelijk zijn voor het publiek en slechts sporadisch worden geraadpleegd op verzoek van de betrokkenen.

De Geschillenkamer stelt vast dat “de voortdurende verwerking van de persoonsgegevens van klager in de doopregisters ondanks zijn verzoek tot gegevenswissing een gedraging is die inbreuk uitmaakt op de artikelen 6.1 en 9 AVG, is het aan de orde corrigerende maatregelen te nemen lastens de verweerster. Voorts heeft de Geschillenkamer vastgesteld dat de informatieverplichtingen op grond van artikel 13 AVG niet zijn nageleefd. De verweerster handelt tevens in overtreding met artikel 17 AVG, tezamen gelezen met artikel 12 AVG.”

De Geschillenkamer berispt het Bisdom Gent voor het gebrek aan duidelijke informatie aan de betrokkenen en de weigering om het verzoek tot gegevenswissing uit te voeren. Hierbij werd rekening gehouden met het coöperatief samenwerken van het Bisdom Gent met de Geschillenkamer. Het opleggen van een geldboete zou onevenredig zijn.

Het Bisdom Gent krijgt bovendien 30 dagen om volgende maatregelen te nemen om de verwerking van persoonsgegevens in overeenstemming met de bepalingen van de GDPR te brengen:

  • terdege en onverwijld gevolg te geven aan het verzoek tot gegevenswissing van de klager overeenkomstig artikel 17 GDPR (artikel 58.2.b) GDPR en artikel 100, §1, 6°, WOG);
  • om de verwerkingen van de persoonsgegevens van kerkverlaters in hun huidige vorm te staken overeenkomstig artikel 21.1 AVG (artikel 59.2.b) GDPR en artikel 100, §1, 8°, WOG).

Het Bisdom Gent moet eveneens alle gezamenlijke verwerkingsverantwoordelijken van deze beslissing en bevel in kennis stellen en benadrukken dat de huidige rechtsgronden niet overeenstemmen met de GDPR.

Gelet op het bredere belang van de beslissing alsook voor het goed begrip worden de identificatiegegevens van het Bisdom Gent bekendgemaakt.

Onze mening         

De geschillenkamer onderzoekt terecht grondig of de cumulatieve voorwaarden voor het toepassen van de rechtsgrond van het gerechtvaardigde belang werd voldaan.

Deze beslissing maakt nogmaals duidelijk dat het beoogde doel perfect legitiem kan zijn, maar dat vervolgens steeds de nodige aandacht besteed moet worden aan de noodzakelijkheid en proportionaliteit van de vervolgens toegepaste verwerkingen om dit doel te bereiken.

Uit de feitelijkheden van deze kwestie wordt duidelijk dat het Bisdom Gent hier niet de nodige aandacht aan heeft besteed en om die reden is de beslissing dan ook terecht.

Beslissing

Beslissing 169/2023

Definitief?  

Nee, procedure in hoger beroep voor het Marktenhof is nog hangende.

Betreft        

Een consultant legt een klacht neer tegen het IT-adviesbureau waarbij hij werkte omdat hem de volledige inzage tot zijn persoonsgegevens werd geweigerd.

Context       

Verzoek tot inzage van werknemer bij werkgever in de IT-adviessector

Rechtsgrond

Artikel 15 GDPR

Feiten

De klager trad in juni 2008 als werknemer in dienst bij de verweerder die actief is in de IT-adviessector. Hij vervulde later de functie van senior consultant. Vanaf 2015 was de consultant regelmatig afwezig. In 2016 wordt hij verkozen tot vertegenwoordiger van de werknemers. Een jaar later start zijn werkgever, het IT-adviesbureau een procedure voor de arbeidsrechtbank omdat de consultant informatie op een privéblog zou bekendmaken die door het IT-adviesbureau nog niet officieel was gemaakt. Hiermee weigerde hij te stoppen, ondanks het verzoek hiertoe.

Het arbeidshof oordeelde in haar arrest van 21 juni 2018 dat het IT-adviesbureau de consultant niet op ernstige gronden kan ontslaan.  De consultant zette zijn functie vanaf 27 juni 2018 weer verder. Hij richtte vervolgens op 12 juli 2018 een verzoek tot uitoefening van zijn recht van  inzage  en/of  kopie  van  alle  over  hem  geregistreerde  persoonsgegevens.

De consultant was van oordeel dat hier ontoereikend op werd geantwoord en stelde op 2 oktober 2018 een klacht in. Hierbij wees hij er nog op dat door het IT-adviesbureau foto’s van haar werknemers nam op bedrijfsevenementen en deze zomaar op het intranet van het bedrijf publiceerde, zonder hiervoor toestemming te vragen.

Op  18  januari  2019  zou de arbeidsrelatie tussen de partijen beëindigd zijn via een transactieovereenkomst.

Beoordeling

De Geschillenkamer benadrukt dat het niet haar rol is om andere rechtbanken te vervangen bij de uitoefening van hun bevoegdheden, hier doelend op het arbeidsrecht. Zij spreekt zich dan ook enkel uit over de naleving van de regelgeving die van toepassing is op de gegevensverwerking en niet over bijvoorbeeld de naleving van de transactieovereenkomst tussen de partijen.

Volgens artikel 15.1 van de GDPR heeft de betrokkene recht op inzage. Wat betekent dat deze van de verwerkingsverantwoordelijke  verduidelijking mag krijgen of er persoonsgegevens van hem verwerkt worden. Indien dat het geval is, heeft de betrokkene het recht om hiervan inzage te verkrijgen en om bepaalde bijkomende informatie over die verwerking te bekomen (artikel 15.1 a) – h) GDPR) zoals bijvoorbeeld het  doeleinde  van  de  verwerking  van  de  gegevens  en  de  eventuele  ontvangers  van  de gegevens,  evenals  informatie  over  het  bestaan  van  zijn  rechten,  waaronder  het  recht  om rectificatie of wissing van zijn gegevens te vragen, of om een klacht bij de GBA in te dienen.  Zie meer in detail ons eerder artikel over het recht op inzage hier.

Concreet vroeg de consultant aan het IT-adviesbureau om alle geregistreerde persoonsgegevens over hem mee te delen, en in het bijzonder wenste hij informatie over de redenen, doeleinden, bewaartermijnen, … voor ieder bewaard persoonsgegeven. Hij maakte ook duidelijk dat zijn verzoek betrekking had op inzage en kopie van zijn persoonsgegevens, namelijk:

  • alle evaluaties die op hem betrekking hebben;
  • alle foto’s waarop hij zou kunnen worden geïdentificeerd;
  • een kopie van de e-mails in zijn mailbox;
  • elke notitie, aantekening, opmerking die deel uitmaakt van zijn personeelsdossier;
  • de hem betreffende IT-logs;
  • een overzicht van zijn persoonsgegevens, met inbegrip van de doeleinden van de verwerking en de ontvangers van de gegevens;
  • de inhoud van de persoonsgegevens over hem die door de verweerder worden verwerkt;
  • cv’s die hem betreffen;
  • zijn door de verweerder geregistreerde pasfoto’s.

Meerdere malen stuurde de consultant dat hij het antwoord onvolledig vond.

Uiteindelijk volgt het volgende antwoord van het IT-adviesbureau: “Een  kopie  van  alle  persoonsgegevens waartoe jij geen toegang hebt en waarvan we je een kopie moeten geven, is naar jou verstuurd. Dit punt is dus wat ons betreft afgesloten”.

Het IT-adviesbureau betwist niet dat geweigerd werd om gevolg te geven aan het verzoek om inzage zoals door de klager in zijn e-mail van 24 september 2018 is gepreciseerd.

Wat betreft de weigering van het recht op inzage van de aantekeningen en opmerkingen in het personeelsdossier van de consultant baseer het IT-adviesbureau zich op artikel 15.4 GDPR. De inzage van die gegevens zou een inbreuk vormen op de bescherming van de persoonsgegevens van de voormalige leidinggevenden en de personeelsverantwoordelijke die auteur zijn van die aantekeningen en opmerkingen.

De Geschillenkamer spreekt niet tegen dat dergelijke aantekeningen persoonsgegevens van de leidinggevenden en personeelsverantwoordelijke betreffen.

Er moet een afweging gemaakt worden tussen het recht op inzage van de consultant en de rechten en vrijheden van deze leidinggevenden en personeelsverantwoordelijke.

Die afweging mag er wel niet toe leden dat geen enkele informatie wordt meegedeeld.

Het IT-adviesbureau had de persoonsgegevens van anderen kunnen anonimiseren om zo correct gevolg te geven aan het verzoek tot inzage.

Door te weigeren gevolg te geven aan het verzoek  van de consultant om inzage van de aantekeningen in zijn personeelsdossier, werden de artikelen 15.1 en 15.3 GDPR geschonden.

Wat betreft de weigering om inzage te leveren van de IT-logs m.b.t. de consultant wordt dan weer géén schending vastgesteld door de Geschillenkamer aangezien dit onevenredige verplichtingen en buitensporige lasten aan het IT-adviesbureau zou opleggen aangezien hiervoor een periode van 2008 tot 2019 helemaal zou moeten doorzocht worden.

Met betrekking tot de beweerde onrechtmatige weigering tot inzage  van de evaluaties wordt dit ook door de Geschillenkamer verworpen aangezien er sinds 2013 geen evaluatie meer was geweest omwille van de regelmatige afwezigheid van de consultant.

Vervolgens kan het IT-adviesbureau zich op het zakengeheim beroepen om geen inzage toe te staan in de e-mailcorrespondentie. Hiervoor wordt wel benadrukt dat het zakengeheim restrictief geïnterpreteerd moet worden steeds concreet per geval.

Tot slot wordt het argument omtrent de recht om kopie te krijgen van foto’s waarop de consultant identificeerbaar zou zijn, afgewezen aangezien hij geen bewijs leverde van het bestaan of de verspreiding van dergelijke foto’s van hem.

Uitspraak    

Aangezien de aantekeningen in personeelsdossier reeds verwijderd werden kan een verplichting tot uitvoering van het recht op inzage niet meer opgelegd worden en wordt volstaan met het IT-adviesbureau op te leggen de Geschillenkamer een verklaring op eer toe te zenden van het feit dat de aantekeningen in het personeelsdossier over consultant zijn verwijderd na zijn verzoek om inzage.

Daarnaast wordt opgelegd om de verwerking in verband met de aantekeningen in de personeelsdossiers van het personeel in overeenstemming te brengen met artikel 15 van de GDPR.

Onze mening         

Wederom is duidelijk dat een correct gevolg geven aan de uitoefening van de rechten door betrokkenen een zeer cruciaal aspect is van de GDPR.

Uit deze beslissing wordt duidelijk dat niet zomaar aan de naleving van het recht op inzage kan worden ontsnapt, ook al is dit omwille van de juiste intenties (beschermen rechten en vrijheden van anderen). Het anonimiseren had in dit verband kunnen volstaan als bescherming van deze rechten en vrijheden van anderen en zo zou een evenwichtige balans gevonden zijn met het recht op inzage.

De Geschillenkamer overweegt terecht dat dit de eerst sanctie van het IT-adviesbureau was en legt geen boete op.

Beslissing

Beslissing 15/2021

STUDIO | LEGALE werd door het Vlaams Agentschap Innoveren en Ondernemen opgenomen als geregistreerde dienstverlener voor de dienst Advies én Opleiding.

Dit heeft als gevolg dat indien u als beoefenaar van een vrij beroep of KMO in aanmerking komt om gebruik te maken van de KMO-portefeuille, u dit vanaf heden ook kan doen in het kader van onze adviesverlening alsook opleidingen.

Hoewel vanaf 1 januari 2023 de werking en mogelijkheid om gebruik te maken van de KMO-aanzienlijk werd ingeperkt, heeft u in veel situaties nog de mogelijkheid om hiervan gebruik te maken.

Om van deze mogelijkheid gebruik te maken gelden enkele regels.

Wie kan van de subsidie via de KMO-portefeuille gebruik maken?

U dient als KMO of vrije beroeper in Vlaanderen gevestigd te zijn. De voorwaarden om als KMO aangemerkt te worden kan u hier vinden.

U dient actief te zijn binnen de privésector met een aanvaardbare hoofdactiviteit.

Daarnaast dient u zich te registreren voor de KMO-portefeuille. Meer informatie omtrent de wijze waarop u zich dient te registreren kan u via deze link vinden.

Hoeveel bedraagt de subsidie?

Een kleine onderneming geniet van een subsidie van 30% van het totaalbedrag. Het bedrag dat u maximaal per jaar kan ontvangen als steun bedraagt 7.500,00 euro.

Een middelgrote onderneming geniet van een subsidie van 20% van het totaalbedrag. Het bedrag dat u maximaal per jaar kan ontvangen als steun bedraagt 7.500,00 euro.

Indien het advies of de opleiding betrekking heeft op cybersecurity of energietransitie hebt u recht op een verhoogd steunpercentage. Kleine ondernemingen krijgen een tussenkomst van 45% en middelgrote ondernemingen krijgen een tussenkomst van 35%.

Waarvoor kan een subsidie aangevraagd worden?

Vanaf 1 januari 2023 is de werking en mogelijkheid om gebruik te maken van de KMO-portefeuille aanzienlijk ingeperkt.

Enkel nog volgende toekomstgerichte thema’s komen in aanmerking, zowel voor advies als voor opleiding:

  • Bedrijfsstrategie: het bepalen van de koers en structuur van een onderneming om haar strategische bedrijfsdoelstellingen te bereiken;
  • Beroepsspecifieke competenties: de theoretische of praktische kennis en vaardigheden die in een bepaald vaktechnisch gebied nodig zijn om de kerntaken van een functie of beroep uit te oefenen;
  • Digitalisering: het gebruik van digitale technologieën, innovaties en data die leiden tot nieuwe activiteiten of wijzigingen in bestaande activiteiten op het vlak van hardware, software, onlinetoepassingen en cybersecurity;
  • Duurzaamheid: een economisch systeem dat leidt tot een efficiënter gebruik van grondstoffen, onderdelen en producten met respect voor milieu en maatschappij;
  • Financiële geletterdheid: financiële en boekhoudkundige kennis die nodig is om een onderneming succesvol te beheren;
  • Innovatie: het invoeren van nieuwe technieken of inzichten als antwoord op een specifieke technologische kennisvraag over een product, proces of dienst;
  • Internationalisering: het beleid om het internationaal ondernemen van Vlaamse ondernemingen te stimuleren, te ondersteunen en te bevorderen;
  • Personeelsmanagement: het personeelsbeleid van een onderneming om een doelmatige en functionerende arbeidsorganisatie te verwezenlijken, gericht op de algemene werking van een kmo, en met betrekking tot minstens één van deze topics:
    • arbeidsorganisatie en bedrijfsprocessen;
    • competentiebeleid;
    • diversiteit- en non-discriminatiebeleid;
    • evaluatie- en functioneringsbeleid;
    • personeelsplanning;
    • sociale wetgeving.

Voor het thema beroepsspecifieke competenties wordt een lijst bijgehouden van diensten die hieronder aangeboden kunnen worden.

Advies

Het advies moet erop gericht zijn vanuit een concrete probleemstelling bedrijfsbeslissingen te nemen op basis van analyse, advies en een implementatieplan.

Indien u voldoet aan de voorwaarden kan u een subsidie-aanvraag doen via de KMO-portefeuille voor schriftelijk advies dat u bij ons, als geregistreerde dienstverlener, verkrijgt dat onder één van de volgende types valt:

  • Schriftelijke raadgevingen en aanbevelingen die bestaan uit een analyse van de probleemstelling, een eigenlijk advies, een implementatieplan en de begeleiding bij de implementatie;
  • Schriftelijke raadgevingen en aanbevelingen die bestaan uit het identificeren, in kaart brengen en onderzoeken van opportuniteiten en oplossingen met betrekking tot het bedrijfsfunctioneren van de onderneming.

Het advies dat wij u kunnen verlenen en dat hieronder valt is onder andere advies omtrent overnames, arbeidsrecht, opstart van nieuwe activiteiten, de rechtsvorm van de onderneming, het adviseren omtrent een reorganisatieplan, …

In ieder geval is het de bedoeling dat het advies uw onderneming extra stimuleert. Daarom zal advies over de gewone bedrijfsuitgaven, wettelijk verplichte diensten of subsidies niet in aanmerking komen.

Om de subsidiëring aan te vragen dient de adviesverlening minstens €500,00 (excl. BTW) te kosten. De aanvraag dient u binnen de veertien dagen na de start van de samenwerking in te dienen.

Opleiding

Volgens de KMO-portefeuille houdt opleiding in: Het onderricht, gevolgd door de werkenden in de onderneming dat uitsluitend of hoofdzakelijk gericht is op het verbeteren van het huidige of het toekomstige bedrijfsfunctioneren van de onderneming én gericht is op de kernprocessen van de onderneming. De opleiding draagt bij tot de versterking, groei of transformatie van de onderneming in Vlaanderen. Verdere vormelijke voorwaarden vindt u op https://www.vlaio.be/nl/subsidies-financiering/kmo-portefeuille/voorwaarden-voor-subsidie-de-kmo-portefeuille

Diensten of opleidingen die verricht worden die buiten het kader van deze adviesverlening vallen, kunnen niet in aanmerking komen voor een subsidiëring via de kmo-portefeuille. Dit wil echter niet zeggen dat u hiervoor niet meer bij ons terecht kan. Wij kunnen u hierbij blijven bijstaan onder de gebruikelijke facturatievoorwaarden.

Aarzel niet om ons te contacteren via [email protected] of 03/216.70.70.

Het Wetboek van Vennootschappen en Verenigingen voorziet drie vormen van bestuur in de naamloze vennootschap: het monistisch bestuur, het duaal bestuur en de enige bestuurder.

Voor de inwerkingtreding van het huidig WVV werd de NV bestuurd door de raad van bestuur. Het monistisch bestuur met een collegiaal bestuursorgaan bestond dus al. De raad van bestuur kon eventueel een directiecomité oprichten. Die duale structuur is nu ook expliciet in de wet opgenomen en aangepast.

Wat nieuw is, is dat de NV net zoals de BV en CV door één enkele bestuurder kan worden geleid.

1. Monistisch bestuur

De eerste bestuursvorm is het monistisch bestuur. Deze vorm geldt als de standaard als men in de statuten niet voor één van de twee andere vormen kiest. Hierbij wordt de NV bestuurd door de raad van bestuur. Dat is een collegiaal bestuursorgaan met minstens drie leden, die natuurlijke of rechtspersonen kunnen zijn. Heeft de NV minder dan drie aandeelhouders, dan mag de raad van bestuur ook uit twee personen bestaan. Bestuurders kunnen in hun hoedanigheid van bestuurder niet door een arbeidsovereenkomst met de vennootschap verbonden zijn.

De algemene vergadering kan het mandaat van elke bestuurder eender wanneer en zonder motivering met onmiddellijke ingang beëindigen. Ze kan hier ook een einddatum of vertrekvergoeding aan koppelen, behalve als de statuten dit verbieden. De statuten kunnen evenwel een opzegtermijn of vertrekvergoeding bepalen. Als de beëindiging van het mandaat om wettige redenen gebeurt, dan mag de algemene vergadering die termijn en vergoeding negeren.

De bestuurder kan ook zelf ontslag nemen door hiervan kennis te geven aan de vennootschap. Op verzoek van de vennootschap moet de ontslagnemende bestuurder in functie blijven tot ze redelijkerwijs een vervanger kan voorzien.

In de statuten kan u de vertegenwoordigingsbevoegdheid beperken. De kwantitatieve of kwalitatieve beperkingen hebben uitsluitend interne uitwerking. Alleen eenhandtekenings- of meerhandtekeningsclausules zijn tegenstelbaar aan derden indien deze behoorlijk openbaar zijn gemaakt. In dit geval worden zij dus geacht het bestaan en de gevolgen van deze beperkingen te kennen.

 

2. Duaal bestuur

Een tweede mogelijke bestuursvorm is het duaal bestuur, wat interessant is wanneer een deel van de bestuurders zich niet voltijds inlaten met het dagelijks reilen en zeilen van de vennootschap. Onder deze vorm voeren de raad van toezicht en de directieraad samen het bestuur. Beiden zijn collegiale organen die uit minstens drie leden moeten bestaan. Hun leden mogen niet overlappen.

Het WVV kent aan beide organen specifieke bevoegdheden toe.

3.1 Raad van toezicht

De raad van toezicht is bevoegd voor het algemeen beleid en de strategie van de vennootschap, de redactie van alle bestuursverslagen, en voor alle handelingen die de wet specifiek aan de raad van bestuur opdraagt in een monistisch bestuur. Bijvoorbeeld, de bijeenroeping van de algemene vergadering en bepaling van haar agenda, de vaststelling van de jaarrekening, de opstelling van het jaarverslag, het gebruik van het toegestane kapitaal, en de in- en verkoop van eigen aandelen en financiële steunverlening.

De raad van toezicht houdt ook toezicht op de directieraad. Ze is bevoegd om leden van de directieraad te benoemen en ontslaan. Leden van de raad van toezicht worden zelf benoemd door de algemene vergadering van aandeelhouders.

3.2 Directieraad

De directieraad oefent alle bestuursbevoegdheden uit inzake het operationeel bestuur die niet specifiek aan de raad van toezicht zijn voorbehouden. Ze heeft dus de zogenaamde ‘residuaire bevoegdheid’. De statuten kunnen de bevoegdheden van de directieraad desgewenst beperken. Deze beperkingen en de onderlinge taakverdeling zijn niet tegenwerpelijk aan derden.

Voor de uitoefening van hun bevoegdheden zijn de raad van toezicht en de directieraad vertegenwoordigingsbevoegd. Ook deze bevoegdheden kunnen statutair worden beperkt, al zijn deze beperkingen ook niet tegenwerpelijk aan derden.

Vroeger mochten bestuurders lid zijn van beide organen en waren de bevoegdheden eerder concurrerend dan exclusief. In het WVV is overlap van leden noch bevoegdheden mogelijk, en werd dan ook voorzien in duidelijkheid omtrent de exclusiviteit van de bevoegdheden.

3. Enige bestuurder

Een volledig nieuw bestuursmodel in de NV is dat van de enige bestuurder. Deze kan een natuurlijke- of rechtspersoon zijn. De enige bestuurder kan zelf ook een NV met een collegiaal bestuursorgaan zijn, monistisch of duaal. Als de NV beursgenoteerd is, of wanneer een wettelijke bepaling dat vereist, moet de enige bestuurder sowieso een NV zijn met een collegiaal bestuur.

De statuten kunnen bepalen dat de enige bestuurder hoofdelijk en onbeperkt aansprakelijk is voor de verbintenissen van de vennootschap. De voorafgaandelijke veroordeling van de vennootschap is evenwel vereist alvorens de enige bestuurder kan veroordeeld worden.

De statuten kunnen behoorlijk veel macht en bescherming aan de enige bestuurder toekennen. Zo kan bepaald worden dat zijn instemming vereist is voor elke wijziging van de statuten, uitkering aan de aandeelhouders, of zijn eigen ontslag. De algemene vergadering kan echter wel steeds zijn mandaat beëindigen zonder zijn instemming omwille van wettige redenen, indien zij hiertoe besluit conform de aanwezigheids- en meerderheidsvereisten voor een statutenwijziging.

4. Dagelijks bestuur

In de drie bestuursvormen kan men bijkomend voorzien in een orgaan van dagelijks bestuur.

Het bestuursorgaan draagt het dagelijks bestuur, en de vertegenwoordiging ervan, op aan een of meer personen, die alleen, gezamenlijk of als college optreden. Het bestuursorgaan dat het orgaan van dagelijks bestuur aanstelt, houdt ook toezicht op dit orgaan.

Het dagelijks bestuur omvat alle handelingen en beslissingen omtrent de behoeften van het dagelijks leven van de vennootschap, of die de tussenkomst van de raad van bestuur, enige bestuurder of directieraad niet rechtvaardigen. Deze formulering is in het WVV niet cumulatief, in tegenstelling tot de definitie die het Hof van Cassatie levert in haar rechtspraak.

Voor handelingen die het dagelijks bestuur overstijgen, kan het orgaan van dagelijks bestuur niet bevoegd zijn. Wettelijke of statutaire bevoegdheden die aan de raad van toezicht en de directieraad toekomen, zijn immers exclusief.

De bevoegdheid van het dagelijks bestuur is een gedelegeerde bevoegdheid. Dat betekent dat het bestuursorgaan mee bevoegd blijft voor de materies van het dagelijks bestuur, maar de werking van de vennootschap niet mag verstoren.

5. Besluit

Het WVV voorziet dus in drie verscheiden vormen van bestuursorgaan in de NV.

De keuze voor een monistisch of duaal bestuur, of één enkele bestuurder, hangt af van de noden van uw vennootschap.

Als u daar verdere begeleiding in zou wensen, aarzel dan niet om contact met ons op te nemen via e-mail naar [email protected] of telefonisch op het nummer 03/216.70.70

Juridische Bronnen

Wetboek van Vennootschappen en Verenigingen, BS 4 april 2019.

Parl.St. Kamer 2017-18, nr. 3119/001, 238.

BRAECKMANS, H. en HOUBEN, R., Handboek vennootschapsrecht, Antwerpen, Intersentia, 2020, 975 p.

DE GEYTER, S., DE POORTER, I. en LEROUX, E., Bestuur in de NV, Antwerpen, Intersentia, 2022, 268 p.

Betreft       

Een parkeerwachter en een gerechtsdeurwaarder worden geconfronteerd met een klacht bij de GBA door een foutparkeerder naar aanleiding van de invordering van de onbetaald gebleven parkeerboete. Uiteindelijk zal de gerechtsdeurwaarder hoger beroep instellen bij het marktenhof.

Context      

Parkeerwachter & Gerechtsdeurwaarder

Rechtsgrond

Artikel 5.1.c) GDPR

Artikel 5.2 GDPR

Artikel 6 GDPR

Artikel 12 GDPR

Artikel 14 GDPR

Artikel 15 GDPR

Artikel 24 GDPR

Feiten

De  eerste  verweerder  is  een  bedrijf  dat  gespecialiseerd  is  in het innen van vergoedingen en boetes i.v.m. “straatparkeren”.  Zij is dus “parkeerwachter” en voert controle uit op de straten in de betreffende gemeente.

De tweede verweerder is een kantoor van Gerechtsdeurwaarders waarbij de parkeerwachter cliënt is o.a. met betrekking tot onbetaalde parkeergelden.

Op 2 januari 2019 parkeerde de foutparkeerder zijn voertuig onrechtmatig in een van de straten onder controle door de parkeerwachter

De foutparkeerder zou geen blauwe schijf in de parkeerzone van 30 minuten achter zijn voorruit hebben geplaatste en een uitnodiging tot betaling werd op zijn vooruit geplaatste door de parkeerwachter.

De foutparkeerder betwist dit ontvangen te hebben, net zoals de herinnering die op 24 januari 2019 volgens de parkeerwachter verzonden zou zijn geweest.

Omwille van de niet-betaling werd het dossier overgemaakt aan de gerechtsdeurwaarder. Deze verzond een aanmaning op 25 februari 2019 met alle gebruikelijke bijkomende kosten toegepast.

Op  3  maart  2019  heeft  foutparkeerder  de gerechtsdeurwaarder verzocht om uitleg en stelde hij nooit de uitnodiging tot betaling of aanmaning te hebben ontvangen. Tegelijk maakt hij bezwaar tegen betaling van de boete.

Voorts stelt hij de rechtsgrond voor toegang tot het DIV en het rijksregister in vraag. Tot slot oefent hij zijn recht van inzage uit (artikel 15 GDPR). Dezelfde verzoeken stelde hij t.a.v. de parkeerwachter.

De parkeerwachter volstond met het antwoord “Regel het met de gerechtsdeurwaarder”.

Op 2 april verschafte de gerechtsdeurwaarder de foutparkeerder van antwoord. Hierbij maakte de gerechtsdeurwaarder bepaald informatie over met betrekking tot het verzoek tot inzage en de gegevens die hij verwerkt alsook over de door de parkeerwachter uitgevoerde verwerkingshandelingen.

Na verdere briefwisseling stelde de foutparkeerder een klacht in op 15 mei 2019 tegen zowel de parkeerwachter als de gerechtsdeurwaarder.

Deze klacht omvat:

t.a.v. de parkeerwachter:

  • een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
  • een schending van zijn recht op toegang (artikel 15 van de GDPR);
  • een schending van artikel 28 van de GDPR gelet op de hoedanigheid van verwerker van de tweede verweerder;
  • een schending van artikel 5 van de GDPR (naleving van het noodzakelijkheidsbeginsel gelet op de raadpleging van de DIV);
  • een schending van het proportionaliteitsbeginsel en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) gelet op de mededeling van zijn gegevens aan de tweede verweerder;
  • een schending van het beginsel van de minimale gegevensverwerking (artikel 5 van de GDPR) gelet op het feit dat een foto werd genomen van zijn voertuig tijdens de vaststelling van de parkeerovertreding.

 

t.a.v. de gerechtsdeurwaarder:

  • een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
  • een schending van zijn recht op toegang (artikel 15 van de GDPR);
  • een schending van artikel 28 van de GDPR gelet op zijn hoedanigheid van verwerker;
  • een schending van het beginsel inzake proportionaliteit en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) die hij ontving van de eerste verweerder ook al zou daar geen rechtsgeldige basis voor zijn;
  • een schending van het beginsel van minimale gegevensverwerking en het inwinnen van de verplichte toestemming (artikelen 5 en 6 van de GDPR) gelet op het formulier gevoegd bij de aanmaning tot betaling.

De foutparkeerder vraagt in zijn klacht bovendien dat de parkeerwachter en de gerechtsdeurwaarder veroordeeld worden tot een straf die in verhouding is met de ernst van de feiten, waarbij rekening moet gehouden worden met het doel en de omvang van hun beroepsactiviteit, welke een groot aantal burgers treft.

Daarnaast vordert de foutparkeerder dat de beslissing op niet-anonieme wijze bekendgemaakt wordt om zo de illegale praktijken i.v.m. het beheer van de parkeergelden aan het publiek duidelijk te maken.

Soevereine beoordeling geschillenkamer

Voorafgaandelijk benadrukt en herinnert de Geschillenkamer eraan dat zij niet gebonden is door de vaststelling van de inspectiedienst. Zij heeft de mogelijkheid om op basis van alle documenten en argumenten die zijn voorgelegd in het tegensprekelijk debat. Zo kan de geschillenkamer oordelen over inbreuken die niet per se in het inspectieverslag aan bod kwamen.

Voorts benadrukt de geschillenkamer dat zij in de loop van de procedure de juridische kwalificatie uit de klacht kan wijzigen of nieuwe feiten kan onderzoeken, mits partijen de kans hebben gehad om over deze juridische kwalificatie of feiten standpunt hebben kunnen innemen.

Hoedanigheid van parkeerwachter en gerechtsdeurwaarder

De Geschillenkamer bepaalt zeer duidelijk dat zowel de parkeerwachter als de gerechtsdeurwaarder te kwalificeren zijn als verwerkingsverantwoordelijken. Zij komen elks op een onderscheiden moment in de minnelijke invordering tussen. Zij kunnen niet als gezamenlijke verwerkingsverantwoordelijke gezien worden aangezien dit een gezamenlijke bepaling van zowel het doel als de middelen van de verwerking noodzaakt, wat hier niet zo is. Zij voeren opeenvolgende verwerkingen uit waarbij een deel van de gegevens overlappen, maar nooit het doel en de middelen gezamenlijk worden vastgesteld. De Geschillenkamer snapt wel de verwarring bij de foutparkeerder gelet op de werkwijze en communicatie vanwege de parkeerwachter en de gerechtsdeurwaarder waaruit dit niet duidelijk blijkt.

Beoordeling t.a.v. de parkeerwachter

  • Informatieplicht

In  zijn  hoedanigheid  van  verwerkingsverantwoordelijke  moet  de  parkeerwachter  de artikelen 12, 13 en  14  van de GDPR ten uitvoer leggen en deze effectieve tenuitvoerlegging  kunnen aantonen (artikel 5.2 en 24 van de GDPR). Overeenkomstig artikel 12.1 van de GDPR is de eerste verweerder immers verantwoordelijk voor het nemen van passende maatregelen om de in de artikelen 13 en 14 van de GDPR bedoelde informatie op beknopte,  transparante,  begrijpelijke  en  gemakkelijk  toegankelijke  wijze  in  duidelijke  taal te verstrekken.

In casu was de eerste verweerder, aangezien de gegevens niet rechtstreeks bij  de  foutparkeerder  werden  verzameld,  verplicht  hem  informatie  te  verstrekken  over  de  verwerking  van gegevens die op hem betrekking hadden in het kader van de inning van de verschuldigde vergoeding. Aangezien het privacy beleid van de eerste verweerder geen betrekking heeft op de invordering van schulden schendt deze laatste zijn informatieplicht uit artikel 14 GDPR. Bovendien werden de termijnen uit artikel 12.3 GDPR niet gerespecteerd, net als de verplichting om de contactgegevens van de DPO ter beschikking te stellen aan de betrokkenen (artikel 12.1 GDPR).

  • Recht van inzage

Krachtens artikel 15 van de GDPR heeft elke betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te  verkrijgen  over  het  al  dan  niet  verwerken van hem betreffende  persoonsgegevens  en,  wanneer  dat  het  geval  is,  om  inzage  te  verkrijgen  van  die persoonsgegevens en van de opgesomde informatie in artikel 15.13. a) tot h) van de GDPR.

De Geschillenkamer kwam in dit verband tot het besluit dat de parkeerwachter het verzoek van de foutparkeerder niet op een bevredigende manier heeft ingewilligd doordat hij zijn verantwoordelijkheid steevast trachtte door te schuiven naar de gerechtsdeurwaarder, wat blijkbaar een vaste praktijk was vanaf dat een dossier aan de gerechtsdeurwaarder werd overgemaakt. Hij kan zo echter niet ontsnappen aan zijn verantwoordelijkheden als verwerkingsverantwoordelijke om tijdig en volledig te antwoorden op het verzoek. Bovendien kwam hij zijn verplichting niet na om de uitoefening van de rechten van betrokkenen te vergemakkelijken (artikel 12.3 GDPR), er was geen duidelijke en eenvoudige procedure voor dit verzoek in voege.

  • Minimale gegevensverwerking

Gezien het feit dat de parkeerwachter de DIV heeft geraadpleegd vóór het verstrijken van de termijn voor de spontane betaling van het gevorderde bedrag van de vergoeding, begaat de eerste verweerder een inbreuk op het beginsel van de minimale gegevensverwerking conform artikel 5.1.c) GDPR. Volgens dit principe dienen persoonsgegevens toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het voortijdig raadplegen van de DIV door de parkeerwachter was met helemaal niet noodzakelijk aangezien de foutparkeerder nog steeds binnen de termijn kon betalen.

Wat betreft de praktijk dat de werknemers van de parkeerwachter foto’s nemen van het voertuig, de nummerplaat als ook de vooruit (om aan te tonen dat er geen parkeerbewijs voorhanden is), wijst de Geschillenkamer erop dat op deze praktijk met aandacht voor de GDPR moet gebeuren en niet de minimale gegevensverwerking te buiten moet gaan. Zonder vast te stellen dat dit beginsel met het oog op de bewijsvoering dat door de parkeerwachter bij discussies moet gebeuren, benadrukt de Geschillenkamer dat de gegevens niet het relevante doel mogen overschrijden.

  • Passende technische en organisatorische maatregelen

Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.

Gezien de voorgaande inbreuken van de parkeerwachter, besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen. Er waren niet de nodige procedures in plaats opdat de foutparkeerder zijn rechten efficiënt kon uitoefenen, noch waren er voldoende maatregelen zodat de voortijdige raadpleging van het DIV kon worden voorkomen.

Beoordeling t.o.v. de gerechtsdeurwaarder:

  • Informatieplicht

De foutparkeerder verwijt gerechtsdeurwaarder dat hij hem niet overeenkomstig de vereisten van artikel 14 GDPR heeft ingelicht toen hij voor het eerst contact met hem opnam. De gerechtsdeurwaarder tracht zich echter op de uitzondering van artikel 14.5.c) van de GDPR te beroepen. Deze uitzondering bestaat erin dat de de verwerkingsverantwoordelijke wordt vrijgesteld van zijn informatieplicht voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke  van  toepassing  is, en voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

Hij baseert zich hiervoor op het gemeentelijk reglement.

De Geschillenkamer besluit dat de gerechtsdeurwaarder zich niet kan beroepen op de vrijstelling aangezien het gemeentelijk regelement waarop deze laatste zich steunt, op geen enkele wijze ingaat op aspecten van gegevensbescherming. Het rechtskader van het beroep van gerechtsdeurwaarder en de eerbiediging van de ethische regels zijn op zich niet voldoende om passende garanties te bieden op het gebied van gegevensbescherming in de zin van artikel 14.5.c) van de GDPR. De gerechtsdeurwaarder schendt met andere woorden zijn informatieplicht in strijd met artikel 14.1 en 2. j° 12.3 GDPR.

  • Toestemming

Een toestemming kan maar geldig worden gegeven als deze vrij, specifiek, geïnformeerd en ondubbelzinnig plaatsvindt. Het betalingsformulier van de gerechtsdeurwaarder verweerder was echter zo opgesteld dat er een duidelijk machtsonevenwicht bestond. De indruk werd opgewekt dat dit formulier ingevuld moest worden. De toestemming kan met andere woorden niet als vrij worden gekwalificeerd waardoor deze in strijd is met artikel 4.11 GDPR. Bijgevolg kan de gerechtsdeurwaarder zich onder die omstandigheden hierop niet beroepen als de rechtmatigheidsgrond voor de verwerking (artikel 6.1.a) GDPR).

Met betrekking tot de naleving van het beginsel van de minimale gegevensverwerking (artikel 5.1. c),  van  de  GDPR)  merkt  de  Geschillenkamer  ook  op  dat  met  betrekking  tot  de verschillende gegevens die onder “Uw contactgegevens” worden gevraagd in het formulier, nergens met een sterretje of andere aanduiding staat aangegeven dat de betrokkene vrij is om een van de communicatiemiddelen  te  kiezen  (telefoonnummer,  mobiel  telefoonnummer,  e-mailadres)  en  dat sommige  gegevens  dus  facultatief  zijn. Ook artikel 5.1.c)  (minimale gegevensverwerking) van de GDPR werd niet nageleefd.

  • Passende technische en organisatorische maatregelen

Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.

Gezien de voorgaande inbreuken van de gerechtsdeurwaarder besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen.

Overwegingen in verband met de sancties

De Geschillenkamer gaat er prat op dat zij bij het opleggen van de sancties altijd alle relevante omstandigheden in overweging neemt.

T.o.v. de parkeerwachter zijn die overwegingen als volgt:

  • Er gebeurden reeds voorafgaand aan de beslissing toezeggingen om aan de inbreuken te verhelpen;
  • Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
  • De parkeerwachter is deel van een grote groep van ondernemingen, deze omzet wordt in aanmerking genomen;
  • Groot aantal personen zijn getroffen door de inbreuken aangezien deze tot de dagelijkse praktijk van de parkeerwachter behoren;
  • De inbreuken hebben minstens sinds 25 mei 2018, met uitzondering van inbreuk op artikel 5.1.c) GDPR;
  • Gedurende de gehele procedure heeft de parkeerwachter met de GBA samengewerkt;
  • Geen opzettelijke inbreuken.

T.o.v. de gerechtsdeurwaarder zijn die overwegingen als volgt;

  • Gerechtsdeurwaarder heeft voorgesteld bepaalde wijzigingen in praktijk aan te brengen;
  • Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
  • Gerechtsdeurwaarder zou zwaar getroffen zijn door covid-19 en toekomstige omzet 2020 en 2021 zou niet in verhouding staan met voorgaande omzet;
  • Groot aantal personen zijn getroffen door de inbreuken;
  • De voorbeeldfunctie van een gerechtsdeurwaarder;
  • Inbreuken duren minstens sinds januari 2019;
  • Geen opzettelijke inbreuken;
  • De gerechtsdeurwaarder heeft meegewerkt tijdens de procedure.

 

Uitspraak   

T.a.v. de parkeerwachter:

Volgende inbreuken worden vastgesteld:

  • Niet nakomen informatieplicht;
  • Niet nakomen van verplichting gevolg te geven aan recht op inzage/toegang;
  • Niet nakomen van verplichting van minimale gegevensverwerking bij voorbarige raadpleging van DIV;
  • Niet nakomen van verplichting om passende technische en organisatorische maatregelen te nemen;

Volgende sancties worden opgelegd:

  • Een berisping;
  • Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en inzage/toegang. Hierbij moet de parkeerwachter de GBA binnen een termijn van drie maanden in kennis stellen van zowel zijn privacybeleid dat van toepassing is als zijn informatieclausule(s) en de procedure die is ingesteld om te reageren op de uitoefening van het recht op inzage/toegang;
  • Een administratieve boete van € 50.000.

T.a.v. de gerechtsdeurwaarder:

Volgende inbreuken worden vastgesteld:

  • Niet nakomen informatieplicht;
  • Het ontbreken van een rechtsgrondslag voor het verzamelen van gegevens via het formulier bij de aanmaning tot betaling en niet in acht nemen beginsel van minimale gegevensverwerking;
  • Niet naleven van artikelen 5.2 en 24.1-2 GDPR

Volgende sancties worden opgelegd:

  • Een berisping;
  • Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en de rechtsgrondslag voor het formulier bij de aanmaning tot betaling. Hierbij moet de gerechtsdeurwaarder de GBA in kennis stellen binnen een termijn van drie maanden van zowel zijn privacy beleid dat van toepassing is, als zijn informatieclausule(s) en van de wijze waarop hij voornemens is te reageren op de inbreuken in verband met het formulier;
  • Een administratieve boete van € 15.000.

Onze mening        

Terecht oordeelt de Geschillenkamer dat de parkeerwachter en de gerechtsdeurwaarder beide verwerkingsverantwoordelijken zijn voor hun opeenvolgend optreden in verband met de inning en invordering van de boete.

De parkeerwachter kan dan ook niet volstaan met te verwijzen naar de gerechtsdeurwaarder voor de uitoefening van de rechten van de betrokkene.

Omwille van de gebrekkige transparantie en het ontbreken van een duidelijke procedure voor de uitoefening van de rechten, is de concrete opeenvolgende rol van beide ook niet duidelijk t.o.v. de betrokkene.

Beide maken verschillende inbreuken op de GDPR, waaronder een aantal basisbeginselen; minimale gegevensverwerking, transparantie, voorzien van passende en technische en organisatorische maatregelen..

De boetes lijken ons dan ook terecht gelet op eerdere rechtspraak van de Geschillenkamer en de parkeerwachter en gerechtsdeurwaarder zullen hun procedures aanzienlijk moeten aanpassen om GDPR-proof te zijn. Het blijkt echter dat het marktenhof in hoger beroep milder is en herinnert aan de vereiste proportionaliteit van sancties. (zie onder)

Beslissing

Beslissing 81/2020

Definitief?  

Nee, arrest marktenhof dd. 26.05.2021.

Arrest Hof van beroep, afdeling marktenhof van 26 mei 2021

 

De gerechtsdeurwaarder tekende hoger beroep aan tegen de beslissing van 23 december 2020 bij het Marktenhof (afdeling van het hof van beroep te Brussel).

De gerechtsdeurwaarder vorderde hierbij in hoofdorde dat wat betreft haar veroordeling de beslissing vernietigd wordt én dat de GBA wordt veroordeeld om de administratieve boete van € 15.000 die werd betaald, terug te betalen. Ondergeschikt vorderde de gerechtsdeurwaarder om indien de veroordeling bevestigd zou worden, de boete om te vormen tot een loutere berisping.

Algemene overweging

Het Marktenhof herinnert er in eerste instantie aan dat het beroep ingesteld bij haar geen “gewoon hoger beroep” is. Het Marktenhof kan enkel de regelmatigheid en wettelijkheid toetsen. Wat betreft de grond van de zaak beperkt het Marktenhof haar onderzoek dan ook tot het nagaan of de feiten correct zijn voorgesteld en indien er geen sprake is van een kennelijke beoordelingsfout of indien de juridische kwalificatie van de feiten juist is.

Bepaalde grieven die werden aangevoerd, kunnen dan ook geen gevolg aan gegeven worden aangezien ze niet binnen de beoordelingsbevoegdheid van het Marktenhof vallen.

Vernietiging boete

Het Marktenhof oordeelt dat de beslissing van de GBA enkel op het punt van het opleggen van een boeten van € 15.000,00 vernietigd dient te worden.

Het Marktenhof herinnert eraan dat het fundamentele doel van de Europese wetgeving niet is om sancties op leggen onder de vorm van boetes voor de geringste inbreuk. Het werkelijke doel is de bescherming van persoonsgegevens.

Het loutere feit dat de vastgestelde inbreuken de fundamentele beginselen betreffen waarvoor de hoogste boetes opgelegd kunnen worden, volstaat niet om de proportionaliteit hiervan te verantwoorden. Het loutere feit dat in het verleden als verzwarende factor de publieke hoedanigheid van een verweerder werd opgenomen, verantwoordt niet op zich waarom dit hier ook zo zou zijn. Er bestaat geen bindende precedentenleer voor de GBA. Er moet steeds geval per geval een beoordeling gebeuren.

Het Marktenhof wijst op het feit dat het een eenmalig voorval betrof dat beperkt is in duur. Daarnaast is de inbreuk theoretisch aangezien het niet betwist wordt dat de betrokkene het formulier waarop de klacht betrekking heeft, niet heeft teruggestuurd.

De GBA heeft verscheidene elementen vastgesteld die erop wijzen dat de gerechtsdeurwaarder op geen enkele wijze een intentie tot het miskennen van de principes van de GDPR heeft gemanifesteerd en de inbreuk die begaan werd louter een  gevolg is van nalatigheid of zelfs maar een eenvoudige onoplettendheid.

De ingesteldheid die leunt naar het opleggen van een boete bij de eerste inbreuk stemt niet overeen met de principes van de GDPR. De sanctionering dient gradueel te gebeuren in functie van de zwaarte van de inbreuken. Het Marktenhof geeft als voorbeeld volgende gradatie:

  1. Een berisping of een aanmaning aan het overtredende bedrijf, waarin het wordt herinnerd aan zijn plicht om ervoor te zorgen dat de verwerking van gevoelige gegevens in overeenstemming is met de GDPR;
  2. Bevel om inbreuk te staken;
  3. (in bepaalde gevallen): tijdelijke beperking of opschorting van gegevensverwerking;
  4. administratieve sancties voor niet-naleving van de GDPR-regels.

Het Marktenhof oordeelt dat de GBA door het opleggen van een boete vanaf de eerste inbreuk het principe van proportionaliteit van de sancties miskent. Hoewel de geschillenkamer van de GBA in haar motivering had gewezen op het ontbreken van opzet bij de inbreuken en de reële bereidheid om haar praktijken in overeenstemming te brengen met de GDPR, laat zij na laat om rekening te houden met de noodzaak van proportionaliteit die namelijk inhoudt dat rekening gehouden moet worden met het vermoeden van goede trouw, waarvan de gerechtsdeurwaarder had moeten kunnen genieten.

Er zijn geen aanwijzingen dat de berisping en bevel tot naleving opgelegd aan de gerechtsdeurwaarder niet voldoende zou zijn geweest. Het fundamentele beginsel van proportionaliteit van de sanctie werd miskend.

Het Marktenhof vernietigt dan ook de bestreden beslissing, doch énkel wat betreft het opleggen van een geldboete van € 15.000.

 

Arrest

Arrest marktenhof 26 mei 2021

Betreft       

Er werden camera’s geplaatst bij een glasbak  van een gemeente teneinde sluikstorten tegen te gaan.

Context

Bewakingscamera’s geplaatst door een gemeente.

Rechtsgrond

Artikel 5 lid 1, a), artikel 6 lid 1, artikel 24 en artikel 30 GDPR.

Artikel 65 Camerawet en artikelen 1 en 4 Koninklijk Besluit van 10 februari 2008 tot vaststelling van de wijze waarop wordt aangegeven dat er camerabewaking plaatsvindt.

Feiten en beoordeling

N.a.v. het laten staan van enkele lege flessen naast de glasbak, ontving de sluikstorter een brief van de tweede verweerder, waarin stond dat hij hiermee een overtreding begaan zou hebben. Tweede verweerder is de camera-beheerder die op instructie van eerste verweerder, de gemeente, deze bewakingscamera heeft geplaatst en het beheer hiervan heeft. In dit kader treedt de tweede verweerder op als verwerker in het kader van het uitschrijven van een GAS-boete op basis van de camerabeelden.

Op 1 februari 2021 werd door de sluikstorter een klacht ingediend tegen de camerabeheerder. Daarbij stelt hij o.a. in vraag of de bewakingscamera rechtsgeldig werd geplaatste. Op basis van dit beeldmateriaal werd hem namelijk een GAS-boete opgelegd.

De Geschillenkamer komt op basis van de klacht en het antwoord van de klager op de vragen van de inspectiedienst, tot de vaststelling dat deze gericht zijn tegen de camerabeheerder. De inspectiedienst besluit echter dat de gemeente de verwerkingsverantwoordelijke is voor de bewakingscamera en de camerabeheerder optreedt als verwerker i.v.m. het uitschrijven van GAS-boetes op basis van de camerabeelden. Dit werd niet betwist door de partijen en de gemeente moet dan ook als verwerkingsverantwoordelijke en de camerabeheerder als de verwerker gekwalificeerd worden.

Door de Geschillenkamer wordt geoordeeld dat de verwerking van persoonsgegevens door deze bewakingscamera aan de glasbak op rechtmatige wijze gebeurt.

Deze verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag van de verwerkingsverantwoordelijke. Meer specifiek bestaat deze taak van algemeen belang uit het voorkomen en bestrijden van sluikstorten, zwerfvuil en de bescherming van de openbare netheid en gezondheid. Op artikel 9.3 van de algemene politieverordening van de gemeente wordt gewezen, waarin wordt bepaald dat een houder van een kentekenplaat steeds kan aantonen wie werkelijk met het voertuig reed op moment van de overtreding. Bij afwezigheid van dergelijk verweer, wordt de boete opgelegd aan de houder van de kentekenplaat. Tot slot zou de privacyverklaring van de gemeente alle betrokkenen voldoende informeren over het feit dat persoonsgegevens in het kader van het algemeen belang verwerkt kunnen worden. Er is dus geen schending van artikel 5 en 6 GDPR.

De inspectiedienst onderzocht verder nog of er conform artikel 24 GDPR passende technische en organisatorische maatregelen worden genomen om te kunnen waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de GDPR gebeurt. De inspectiedienst besluit hier eenvoudigweg dat aangezien er geen inbreuk van artikel 5 en 6 GDPR is, er ook geen sprake kan zijn van inbreuk op dit vlak.

Wat betreft de Camerawet en het KB stelt de inspectiedienst vast dat de verplichtingen hieromtrent (bv. beslissing door openbare overheid, plaatsing pictogrammen) werden nageleefd. Mede gelet op het opnieuw uitblijven tegenargumenten door de sluikstorter, oordeelt de Geschillenkamer dat geen schending van artikel 5 Camerawet en artikelen 1 en 4 van het KB zijn.

Het laatste aspect dat onderzocht werd en ter discussie stond is de naleving van de verplichting tot het correct bijhouden van een register van de verwerkingsactiviteiten door de camerabeheerder. (artikel 30 GDPR)

Dit register blijkt niet te voldoen:

  • De contactgegevens van de camerabeheerder zijn onvolledig;
  • De beschrijving van de categorieën van betrokkenen is onvolledig;
  • De beschrijving van de categorieën van persoonsgegevens is onvolledig;
  • De naam en contactgegevens van iedere verwerkingsverantwoordelijke voor rekening waarvan de tweede verweerder als verwerker handelt, worden niet vermeld.

De Geschillenkamer benadrukt in dit verband dat het van essentieel belang is dat deze verplichtingen correct worden nageleefd aangezien het register een instrument is om de verwerkingsverantwoordelijke of verwerker te helpen bij de naleving van de GDPR en zo essentieel is bij het naleven van de verantwoordingsplicht (“accountability”).

De camerabeerder bezorgde op 7 december 2022 een aangepast register, welke door de Geschillenkamer beoordeeld werd als tegemoetkomend aan verschillende van voormelde onvolledigheden. Echter bleek de vermelding van de naam en contactgegevens van de verwerkingsverantwoordelijken nog te ontbreken.
Een inbreuk op artikel 30 lid 2, a )GDPR wordt dan ook vastgesteld.

Uitspraak   

De Geschillenkamer legt een berisping op aan de camerabeheerder voor de inbreuk op artikel 30 lid 2, a) GDPR.

Wat betreft de overige grieven wordt de klacht geseponeerd.

Onze mening        

De inspectiedienst en geschillenkamer oordelen o.i. nogal snel dat het plaatsen van de bewakingscamera noodzakelijk is om sluikstorten tegen te gaan. Nochtans valt te overwegen dat er minder verregaande maatregelen zouden kunnen volstaan om dit doel te bereiken.

Voorts oordeelt de geschillenkamer eenvoudigweg dat er passende technische en organisatorische maatregelen voorhanden zijn, omdat de verwerking een voldoende rechtmatigheidsgrond zou hebben en in dit kader noodzakelijk is. Niettemin kan er o.i. wel een inbreuk zijn op de technische en organisatorische maatregelen wanneer er een rechtmatigheidsgrond voorhanden is. Het is namelijk niet omdat een verwerking een rechtmatig doel heeft en proportioneel zou zijn, er geen gebrekkige concrete uitvoering of technische ondersteuning kan zijn.

De Geschillenkamer stoelt zich op het ontbreken van tegenargumenten van de klager om de inspectiedienst te volgen in haar vaststelling, terwijl wij in andere beslissingen vaststellen dat de Geschillenkamer haar autonomie nét benadrukt.

Beslissing

Beslissing 81/2023

Getuigen van Jehova werden in Finland op hun vingers getikt voor de verwerking van persoonsgegevens bij hun deur-tot-deur prediken, wat resulteerde in een procedureslag. Het Europees Hof voor de Rechten van de Mens oordeelde in haar beslissing dd. 09.05.2023 uiteindelijk over de afweging tussen het recht op godsdienstvrijheid en het recht op privacy, meer bepaald databescherming.

Feiten en voorgaanden

De “Data Protection Ombudsman” (hierna: “de Ombudsman”), de Finse toezichthouder op het vlak van gegevensbescherming, onderzocht reeds in 2000 het prediken van deur tot deur van de Getuigen van Jehova en uitte haar bezorgdheid omtrent de verwerking van persoonsgegevens die hierbij plaatsvond en adviseerde dat dit enkel kon met de toestemming van de betrokkenen.

De Getuigen van Jehova namen immers notities bij deze praktijk en dit zou wel eens als een bestand van persoonsgegevens beschouwd kunnen worden. Na bevraging in dit kader bevestigde de gemeenschap van Getuigen van Jehova dat lokale congregaties een handmatig archiefsysteem hanteerden met de namen en adressen van personen die wensten niet bezocht te worden door Getuigen van Jehova. Volgens de gemeenschap gebeurde dit  op basis van de bewuste en vrijwillige toestemming tot verwerking van hun persoonsgegevens door het loutere feit dat ze vroegen niet bezocht te worden en dat de lokale congregaties hier geen gevolg aan konden geven zonder de naam en het adres te verzamelen. Volgens de gemeenschap zouden de individuele leden niet onder enige verplichting staan om de gegevens bij te houden. Deze gegevens zouden niet gezien worden door, in bezit komen van of bewaard worden door de gemeenschap of lokale congregaties en zouden in principe uiteindelijk door het individuele lid verwijderd worden.

De gemeenschap of de lokale congregaties zouden geen lijsten, indexen of folders bijhouden van geïnteresseerden. De congregatie handelt enkel als een informeel mailingssysteem waarbij een oudere van de congregatie persoonlijke notities van een individu doorstuurden naar een andere individuele Getuige van Jehova. Noch de oudere, noch de gemeenschap zouden kopieën bewaren of de persoonsgegevens op enige wijze gebruiken.

Aangezien dit niet door de beugel kon volgens de Ombudsman, diende deze een verzoek in bij haar Data Protection Board om de gemeenschap te verbieden persoonsgegevens te verzamelen en op andere wijze te gebruiken in het kader van haar deur-tot-deur prediken, zonder de toestemming van de betrokkenen.

De Data Protection Board legde de gemeenschap het verbod op tot verzamelen en verwerken van persoonsgegevens in verband met het deur-tot-deur prediken indien er geen ondubbelzinnig akkoord van de betrokkene bekomen is. Binnen een periode van 6 maanden moest de gemeenschap dit in orde brengen.

Bij het noteren van namen, adressen en andere persoonlijke gegevens – zij het als geheugensteuntje bij het opnieuw bezoeken van geïnteresseerden volgens de gemeenschap – worden wel degelijk persoonsgegevens, die kunnen worden teruggevonden, verzameld. Wanneer de betrokkene zijn religieuze gezindheid of gezondheidstoestand wordt genoteerd, wordt er zelfs gevoelige data verzameld. De Data Protection Board oordeelde dat zowel de gemeenschap als de leden verwerkingsverantwoordelijken zijn in dit verband.

De gemeenschap en twee individuele Getuigen van Jehova gingen hiertegen in beroep bij het “Administrative Court” van Helsinki. Ze verzochten om de beslissing te wijzigen zodat noch de gemeenschap, noch de individuele leden als verwerkingsverantwoordelijken bestempeld worden. De private notities in het kader van het deur-tot deur prediken zouden kaderen in louter persoonlijke doeleinden voor vergelijkbare gewoonlijke en private doeleinden. Er werd ook een mondelinge hoorzitting verzocht. Dit laatste werd geweigerd.

Het Adminstrative Court oordeelde eveneens dat de verzameling van persoonsgegevens in dit kader niet gezien kon worden als uitgevoerd ten louter persoonlijke doeleinden, maar dat dit kaderde binnen de activiteiten van de gemeenschap en de manifestatie van haar geloof en dat van haar individuele leden. De expliciete toestemming van de betrokkenen is dan ook noodzakelijk voor de verzameling en verwerking van hun persoonsgegevens. Er werd evenwel  geoordeeld dat de gemeenschap niet als verwerkingsverantwoordelijke gezien kon worden aangezien ze enkel instructies in verband met de verwerking van persoonsgegevens had gegeven. Het werd namelijk niet aangetoond dat de persoonsgegevens in een dossier voor de gemeenschap werd bijgehouden waarover deze enige bevoegdheid zou uitoefenen.

De Ombudsman ging hierop in beroep bij het “Supreme Adminstrative Court”.

Het Supreme Administrative Court verzocht een prejudiciële beslissing van het Hof van Justitie van de Europese Unie met betrekking tot de kwestie of de gemeenschap als verwerkingsverantwoordelijke beschouwd moet worden. Hierbij werd verwezen naar het feit dat de gemeenschap en haar lokale congregaties territorium kaarten bijhield met als doel de territoria te verdelen tussen de leden die deelnemen aan het deur-tot-deur prediken, alsook een “prohibition register” waarin werd opgenomen welke personen verzocht hadden niet bezocht te worden.

In haar arrest stelde het Hof van Justitie allereerst dat de activiteiten van de gemeenschap en haar leden bij het deur-tot-deur prediken door haar eigen aard, bedoeld is om het geloof van de gemeenschap van de Getuigen van Jehova te verspreiden en dus naar buiten toe, weg van de private sfeer van de persoon die de persoonsgegevens verwerkt in dat kader.

Het Hof van Justitie stelde daarnaast vast dat de gemeenschap van Getuigen van Jehova wel degelijk als gezamenlijke verwerkingsverantwoordelijke met haar leden beschouwd moet worden aangezien zij het doel en de middelen van het deur-tot-deur prediken en dus ook minstens indirect van de gegevensverwerking in dit kader bepaalde door het organiseren, coördineren en aanmoedigen van het prediken en de dataverzameling in dat verband.

Het Supreme Administrative Court vernietigde hierop de beslissing van de Administrative Court in zover dat deze laatste de beslissing van de Board vernietigde. Het verzoek tot een mondelinge hoorzitting werd hierbij eveneens afgewezen aangezien de schriftelijke verklaringen van de getuigen ervoor zorgde dat het Hof voldoende geïnformeerd dit kon beoordelen en een hoorzitting niet noodzakelijk was.

Het arrest van het Europees Hof voor de Rechten van de Mens

Op 10 juni 2019 werd door de gemeenschap van Getuigen van Jehova de zaak voor het Europees Hof voor de Rechten van de Mens (hierna: “EHRM”) gebracht. Er werd door hen een schending aangevoerd van zowel artikel 6 als artikel 9 van het Europees Verdrag voor de Rechten van de Mens (hierna: “EVRM”).

Artikel 6 EVRM – Recht op een eerlijk proces

De gemeenschap voerde aan dat haar recht op een eerlijk proces geschonden werd door het gebrek aan mondelinge hoorzittingen in de nationale procedures.

Artikel 6 § 1 EVRM bepaalt in dat verband als volgt:

“1. Bij het vaststellen van zijn burgerlijke rechten en verplichtingen of bij het bepalen van de gegrondheid van een tegen hem ingestelde vervolging heeft een ieder recht op een eerlijke en openbare behandeling van zijn zaak, binnen een redelijke termijn, door een onafhankelijk en onpartijdig gerecht dat bij de wet is ingesteld. (…)”

Er werd geen enkele mondelinge hoorzitting gehouden in de nationale procedures. Het dient wel opgemerkt te worden dat hierom enkel verzocht werd door de Gemeenschap in de administratieve procedures.

Door het EHRM wordt opgemerkt dat in de procedure voor het Administrative Court de Gemeenschap niet gespecifieerd had welk bewijs zij wenste te voor te leggen op de gevraagde mondelinge hoorzitting. Dit is vereist door artikel 38 (3) van de toepasselijke Administrative Judicial Procedure Act. Daarnaast werd eveneens niet verduidelijkt waarom het noodzakelijk zou zijn om dat bewijs in een hoorzitting en niet schriftelijk voor te leggen.

Het EHRM kan zich vinden in de beoordeling van de Administrative Court waarbij zij ten eerste geen nood zagen voor een hoorzitting voor de klachten van de individuele leden die afgewezen worden zonder onderzoek ten gronde en ten tweede, bij de zaken die wel ten gronde werden beoordeeld, de hoorzitting manifest onnodig was in het licht van de uitkomst van de zaak, welk in het voordeel van de Gemeenschap was.

Wat betreft de procedure voor het Supreme Administrative Court wordt het relevant geacht dat de Gemeenschap niet in haar eerste procedurestukken verzocht om de mondelinge hoorzitting, maar slechts in de laatste ronde na de prejudiciële beslissing van het Hof van Justitie. De Gemeenschap vond dat de relevante feitelijke problemen met betrekking tot de aard van het deur-tot-deur prediken, het concept van archiefsysteem en de deelname in de verwerken van de persoonsgegevens niet beantwoord zou zijn geweest door de prejudiciële beslissing. Hierbij werd de schriftelijke getuigenverklaring van 24 getuigen van Jehova gevoegd, welke zij wensten gehoord te zien in de hoorzitting.

Het horen van de getuigen werd niet noodzakelijk bevonden en de schriftelijke verklaringen werden in de beslissing in overweging genomen.

Verder benadrukt het EHRM dat de afwezigheid voor een tweede of derde aanleg-rechtscollege beoordeeld moet worden in het licht van de gehele procedures. De praktijk van verzamelen en verwerken van persoonsgegevens door individuele Getuigen van Jehova was het onderwerp van debat op nationaal niveau voor vele jaren en de Gemeenschap heeft dan ook gebruik gemaakt van de mogelijkheid om bewijs en argumenten aan te voeren met betrekking tot alle feitelijke en juridische punten. Het EHRM is dan ook overtuigd dat er geen beslissende feiten zijn die enkel in een hoorzitting naar voren gebracht konden worden, waarover nog discussie bestond. Daarnaast noodzaakten de juridische problemen aan de kern van de procedures geen mondelinge hoorzitting.

Het EHRM besluit dat er geen schending is van artikel 6 van het EVRM omwille van het ontbreken van een mondelinge hoorzitting in de nationale procedures.

Artikel 9 EVRM – Vrijheid van gedachte, geweten en godsdienst ↔ Artikel 8 EVRM –Recht op eerbiediging van privé-, familie- en gezinsleven

De kern van de hele kwestie bevindt zich op de balans tussen enerzijds de vrijheid van godsdienst (artikel 9 EVRM) en anderzijds het recht op eerbiediging van privéleven (recht op Privacy – artikel 8 EVRM).

Artikel 9 EVRM:

“1. Een ieder heeft recht op vrijheid van gedachte, geweten en godsdienst; dit recht omvat tevens de vrijheid om van godsdienst of overtuiging te veranderen, alsmede de vrijheid hetzij alleen, hetzij met anderen, zowel in het openbaar als privé zijn godsdienst te belijden of overtuiging tot uitdrukking te brengen in erediensten, in onderricht, in practische toepassing ervan en in het onderhouden van geboden en voorschriften.

2. De vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen kan aan geen andere beperkingen worden onderworpen dan die die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

In rechtspraak van het EVRM werd reeds bevestigd dat dit behoort tot een van de fundamenten van een democratische samenleving. Het behoort tot een van de meest cruciale elementen die bijdragen tot het vormen van de identiteit van gelovigen en hun levensopvatting, alsook is het zeer belangrijk voor de atheïsten, agnosten, sceptici en de onbekommerde. De vrijheid om al dan niet een religieuze overtuiging te hebben en al dan niet een godsdienst te belijden wordt beschermd door artikel 9 EVRM. Meer bepaald is het verspreiden van informatie over een bepaalde geloofsovertuiging aan anderen die deze geloofsovertuiging niet hebben, ook bekend als missionariswerk, beschermd.

Artikel 8 EVRM:

“1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

 

Het concept privéleven is zeer breed. Rechtspraak van het EHRM heeft duidelijk gemaakt dat het recht om privé te leven, weg van ongewenste aandacht wordt hieronder wordt geplaatst. Het werd eveneens reeds bevestigd en herhaald in dit arrest, dat het recht tot bescherming van persoonsgegevens door artikel 8 wordt gewaarborgd. Dit laatste is van fundamenteel belang voor een individu zijn genot van het recht tot eerbiediging van privé-en familieleven zoals vervat in artikel 8 EVRM.

Concrete afweging in deze zaak

Artikel 9 §2 EVRM laat ruimte voor een inmenging indien dit voorgeschreven is per wet, voor een legitiem doel en noodzakelijk is in een democratische samenleving.

Teneinde te oordelen of er aan schending van artikel 9 EVRM plaatsvond door het verbod dat door de Data Protection Board werd opgelegd om persoonsgegevens zonder expliciete toestemming te verwerken, beoordeelde het Hof achtereenvolgend:

  1. Het bestaan van een inmenging;
  2. Of de inmenging voorgeschreven is bij wet;
  3. Een legitiem doel wordt nagestreefd;
  4. De inmenging noodzakelijk in een democratische samenleving is.

Allereerst stelt het EHRM vast dat de toepassing van de vereiste van toestemming voor de verzameling en verwerking van persoonsgegevens en gevoelige gegevens door de Getuigen van Jehova in het kader van het deur-tot-deur prediken een inmenging uitmaakt van het recht op privéleven van de Gemeenschap.

Vervolgens staat het vast dat de inmenging een wettelijke basis had in de Personal Data Act.

Het legitiem doel bestaat uit het beschermen van de rechten en vrijheden van andere, betrokkenen in het licht van hun persoonsgegevens in dit geval.

Wat betreft de noodzaak in een democratische samenleving, verduidelijkt het EHRM dat de betrokkenen een redelijke verwachting van privacy hadden en mochten verwachten dat de bepalingen i.v.m. verwerking persoonsgegevens nageleefd werden bij de persoonsgegevens en gevoelige gegevens die verzameld en verwerkt werden bij het van deur-tot-deur prediken. Het vereisen van toestemming door de betrokkene is een gepaste en noodzakelijke waarborg teneinde te voorkomen dat enige communicatie of bekendmaking van persoonlijke en gevoelige gegevens in deze context voorvalt. Het EHRM ziet niet in hoe het vragen en verkrijgen van toestemming  het recht op vrijheid van godsdienst van de Gemeenschap en haar leden zou verhinderen. Enige bewijs van het tegendeel werd niet geleverd.

De nationale rechtbanken hebben dan ook een evenwichtige balans (“fair balance”) gevonden tussen beide rechten en er is geen schending van artikel 9 van het EVRM.

 

 

De Getuigen van Jehova hadden steeds (en zullen dus in de toekomst ook) de bepalingen en principes i.v.m. verwerking van persoonsgegevens moeten naleven en hebben nood aan de duidelijke en expliciete toestemming van de betrokkenen om de verwerking uit te voeren.

Indien u nog vragen heeft kan u steeds het Studio Legale team bereiken via het telefoonnummer 03/216.70.70 of via mail: [email protected].

Betreft

Een notaris raadpleegde de gegevens van haar ex-medewerker in het rijksregister voor het verzenden van eco-cheques. Beging zij hierbij een inbreuk?

Context

Raadpleging gegevens rijksregister van ex-medewerker door notaris.


Rechtsgrond

Artikel 5.1.a) en c) GDPR: “1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

(…)

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”

 

Artikel 6 GDPR:

“1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

 


a) Unierecht; of

b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

 

4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

 


a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

 

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. (hierna Rijksregister-wet)

Artikel 100 WOG:

Ҥ 1

De geschillenkamer heeft de bevoegdheid om:

1° een klacht te seponeren;

2° de buitenvervolgingstelling te bevelen;

3° de opschorting van de uitspraak te bevelen;

4° een schikking voor te stellen;

5°  waarschuwingen en berispingen te formuleren;

6° te bevelen dat wordt voldaan aan de verzoeken van de betrokkene om zijn rechten uit te oefenen;

7° te bevelen dat de betrokkene in kennis wordt gesteld van het veiligheidsprobleem;

8° te bevelen dat de verwerking tijdelijk of definitief wordt bevroren, beperkt of verboden;

9° te bevelen dat de verwerking in overeenstemming wordt gebracht;

10° de rechtzetting, de beperking of de verwijdering van gegevens en de kennisgeving ervan aan de ontvangers van de gegevens te bevelen;

11° de intrekking van de erkenning van certificatie-instellingen te bevelen;

12° dwangsommen op te leggen;

13° administratieve geldboeten op te leggen;

14° de opschorting van grensoverschrijdende gegevensstromen naar een andere Staat of een internationale instelling te bevelen;

15° het dossier over te dragen aan het parket van de procureur des Konings te Brussel, die het in kennis stelt van het gevolg dat aan het dossier wordt gegeven;

16° geval per geval te beslissen om haar beslissingen bekend te maken op de website van de Gegevensbeschermingsautoriteit.

 §2

Wanneer na toepassing van § 1, 15°, het openbaar ministerie er van afziet een strafvervolging in te stellen, een minnelijke schikking of een bemiddeling in strafzaken bedoeld in artikel 216ter van het Wetboek van strafvordering voor te stellen, of wanneer het openbaar ministerie geen beslissing heeft genomen binnen een termijn van zes maanden te rekenen van de dag van ontvangst van het dossier, beslist de Gegevensbeschermingsautoriteit of de administratieve procedure moet worden hernomen.”

 

Feiten

De medewerker was in dienst bij de notaris en volgens zijn arbeidscontract alsook het contract i.v.m. de toekenning van ecocheques was hij woonachtig in Wallonië. In tegenstelling tot het contract waarin de maandelijkse bijschrijving van de ecocheques op de ecochequerekening van de medewerker werd opgenomen, werden de ecocheques steeds per post verzonden.

Om de reistijd te beperken verhuisde de medewerker naar Vlaanderen. Hij behield zijn woonplaats in Wallonië.

In 2020 kwam het ontslag van de medewerker, welke in een gespannen sfeer zou hebben plaatsgevonden waarbij alle vertrouwen tussen de notaris en de medewerker zoek was.

Er bleef nog € 56,07 aan ecocheques verschuldigd door de notaris aan de medewerker. Pas na twee herinneringen heeft de notaris deze ecocheques aan de medewerker verzonden na, volgens de eigen verklaring van de notaris, het Rijksregister te hebben geraadpleegd voor het correcte adres.

De medewerker hekelde deze raadpleging van het Rijksregister.

De notaris verklaarde in dit verband dat hij had willen nagaan wat het correcte adres was om de ecocheques naar te verzenden aangezien hij niet zeker was omwille van het feit dat de medewerker een adres in Vlaanderen en Wallonië had.

De Geschillenkamer benadrukt allereerst de omvang van haar eigen bevoegdheid om aan te tonen dat de klacht hierbinnen valt.

De controletaak van de GBA betreft de naleving van de GDPR in haar geheel. Haar bevoegdheid beperkt zich dus niet tot de “fundamentele beginselen van gegevensbescherming”. Evengoed omvat de bevoegdheid van de GBA ook bepalingen met betrekking tot gegevensbescherming vervat in specifieke wetgeving, zoals in casu de Rijksregisterwet alsook bv. de Camerawet zoals reeds in eerdere beslissingen is gebleken.[1]

Het verweer van de notaris dat de GBA onbevoegd is aangezien deze bevoegdheid zich beperkt tot de “fundamentele beginselen  van gegevensbescherming” wordt dan ook door de Geschillenkamer van tafel geveegd.

Daarnaast tracht de notaris te beweren dat de controle i.v.m. de toegang tot het rijksregister een bevoegdheid is van de minister van Binnenlandse Zaken.

De machtiging vervat in artikel 5.1 van de Rijksregisterwet aan de notarissen om toegang te krijgen tot het Rijksregister  wordt inderdaad door de minister van Binnenlandse Zaken uitgereikt.

Het onderzoek of de toegang rechtmatig was, behoort volgens de Geschillenkamer ongetwijfeld tot de bevoegdheid van de GBA. De toezichthoudende bevoegdheid werd namelijk niet bij wet aan de minister van Binnenlandse Zaken toegekend. Een minister voldoet overigens per definitie niet aan de voorwaarden om de taken van een onafhankelijke gegevensbeschermingsautoriteit onder de GDPR uit te oefenen. (artikel 51 GDPR)

Artikel 17 van de Rijksregisterwet verwijst overigens zelf naar de bevoegdheid van de GBA.

De klacht is dus ontvankelijk.

De Geschillenkamer oordeelt dat de raadpleging van het Rijksregister van de medewerker door de notaris niet beperkt werd tot de specifieke uitoefening van het beroep.

Het feit dat de notaris ook via een andere bron (Kruispuntbank van de Sociale Zekerheid) toegang tot de adresgegevens zou hebben gehad, doet hier geen afbreuk aan. Dit kan enkel in acht genomen worden bij de beoordeling van de sanctie.

De notaris heeft het Rijksregister zonder passende rechtsgrondslag geraadpleegd en aldus een gegevensverwerking verricht waarbij hij zich niet kon beroepen op een van de rechtmatigheidsgronden in artikel 6 GDPR. Hij schendt hierdoor artikel 6 als ook artikel 5.1.a) GDPR dat bepaalt dat de verwerking rechtmatig moet zijn.

Volgens de GBA was de raadpleging bovendien niet noodzakelijk aangezien de adressen in de overeenkomsten vervat waren en de notaris steeds de kans had om in reactie op de herinneringen van de medewerker, de vraag naar het correcte adres aan hem te stellen. Hierbij herinnert de Geschillenkamer aan het minimaliseringsbeginsel vervat in artikel 5.1.c) GDPR.

Met betrekking tot de sanctie maakt de Geschillenkamer een uitgebreide overweging van alle concrete omstandigheden:

  • De schending betreft de grondbeginselen van de GDPR waarvoor een hogere maximale boete kan opgelegd worden;
  • De notaris heeft als openbaar ambtenaar en strikt gereglementeerd vrij beroep een voorbeeldfunctie waardoor vereist wordt dat hij een voorbeeldige houding aanneemt m.b.t de naleving van de wet, inclusief regelgeving inzake gegevensbescherming;
  • Het betreft een alleenstaande schending m.b.t. één werknemer in de specifieke en eenmalige context van vertrouwensbreuk. Daarnaast zorgde de covid-19-pandemie en de opkomende lockdown voor bijkomende moeilijkheden voor de verzending. Er is geen enkele reden om aan te nemen dat de schending deel is van een structureel gebrek bij de werking van de notaris;
  • De notaris is van mening dat adresgegevens betrekkelijk onbeduidend zijn en niet bijzonder gevoelig. Hij heeft geen mogelijkheid om bij de raadpleging van het Rijksregister de zoekopdracht enkel hiertoe te beperken;
  • De notaris heeft verschillende maatregelen genomen om aan zijn verplichtingen als verwerkingsverantwoordelijke te voldoen (bv. benoeming DPO, register van verwerkingsactiviteiten, beleid inzake bescherming van persoonsgegevens voor burgers…);

Op basis van al deze elementen volstaat volgens de Geschillenkamer een berisping.

Uitspraak

De geschillenkamer stelt een inbreuk van artikel 6 GDPR juncto artikel 5.1.a) GDPR vast en legt een berisping op als sanctie.

Onze mening

Net zoals we in eerdere beslissingen met betrekking tot burgemeesters en schepenen hebben kunnen vaststellen, blijft de GBA terecht belang echten aan de voorbeeldfunctie van de notaris in haar beoordeling van de inbreuken.

De toegang tot het Rijksregister is een bevoegdheid van de notaris die énkel wordt verstrekt in het kader van de uitoefening van zijn specifieke beroep. De notaris ging in casu deze bevoegdheid te buiten.

De sanctie van berisping lijkt ons gepast gelet op het feit dat blijkt dat dit een eenmalig voorval is waarbij de notaris geleid werd door de vertrouwensbreuk en de moeilijke omstandigheden in het kader van de pandemie en in dit kader zich wou verzekeren van de correcte adressering teneinde geen verder geschil met de voormalige medewerker te bewerkstelligen.

Beslissing

Beslissing 48/2021

 

[1] Zie bv. Beslissing ten gronde nr. 80/2020 (https://studio-legale.com/rechtspraak-gba-beslissing-ten-gronde-nr-80-2020-van-17-december-2020/ ).

Betreft

Een verhuurder reageert niet tijdig, noch volledig op een verzoek tot inzage van een voormalige huurder. De Geschillenkamer laat hier haar licht over schijnen.

Context

Uitoefening recht op inzage door voormalige huurder t.a.v. voormalige verhuurder.

Rechtsgrond

Artikel 12, lid 3 en 4 GDPR:

“3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

 

Artikel 15, lid 1 GDPR:

“1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

a) de verwerkingsdoeleinden;

b) de betrokken categorieën van persoonsgegevens;

c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”

Feiten

De voormalige huurder stelde op 2 december 2019 een verzoek tot inzage in bij zijn voormalige verhuurder. Op 31 december 2019 wordt hij door zijn voormalige verhuurder verwittigd dat hij de antwoordtermijn met twee maanden verlengt.

Dat antwoord bleef uit en op 3 maart 2020 diende de voormalige huurder een klacht in.

De voormalige huisbaas ontkent niet dat het antwoord uitgebleven is. Hij zou advocaten hebben geraadpleegd om een afdoende antwoord voor te bereiden. Omwille van onderbemanning, werd dit blijkbaar vergeten en nooit verzonden.

Op 2 september 2020, in de loop van de procedure, werd een antwoord geboden. Volgens de voormalige huurder is dat antwoord onvolledig. De voormalige huisbaas beweert dat de vragen die onbeantwoord zijn gebleven niet onder het recht op inzage vallen en hij hier dus niet op moest antwoorden.

De Geschillenkamer verduidelijkt dat het recht van inzage uit drie componenten bestaat.

Als eerste heeft de betrokkene het recht om uitsluitstel te krijgen over het al dan niet verwerken van zijn persoonsgegevens door de verwerkingsverantwoordelijke.
Vervolgens, wanneer er een verwerking is, heeft hij het recht om inzage te krijgen van die persoonsgegevens en meer bepaald ook de informatie vermeld in artikel 15 lid 1, a) tot en met h).[1]

Tot slot heeft hij het recht om een kopie van die persoonsgegevens te verkrijgen.

Bij de uitoefening van het recht op inzage kan een verwerkingsverantwoordelijke inderdaad de initiële antwoord termijn van één maand verlengingen met twee maanden indien hij dit meedeelt binnen deze initiële termijn. Echter, indien hij niet van plan is om gevolg hieraan te geven, moet hij dit meedelen binnen de initiële termijn van één maand én de betrokkene informeren over de mogelijkheid om beroep in te stellen bij de GBA.

Het is duidelijk, en wordt niet ontkend, dat de voormalige verhuurder niet binnen de termijn heeft gereageerd. Hij reageerde pas op 2 september 2020 (kort nadat hij door de GBA geïnformeerd was van procedure ten gronde) terwijl het verzoek dateerde van 2 december 2019.

De voormalige huurder voert aan als reden de langdurige afwezigheid van de behandelende werknemer en volhardt wel degelijk voornemens te zijn geweest een antwoord te formuleren.

De Geschillenkamer oordeelt dat dergelijke omstandigheid hem niet ontslaat van zijn verplichtingen en er een schending is van artikel 15, lid 1 en artikel 12, leden 3 en 4 GDPR.

De Geschillenkamer stelt wel rekening te zullen houden met het feit dat aangetoond werd dat er inderdaad door advocaten begonnen werd met het opstellen van een antwoord en dat de voormalige verhuurder intussen organisatorische maatregelen heeft genomen om dergelijk voorval te vermijden naar de toekomst toe.

Drie vragen bleven echter onbeantwoord door de voormalige huisbaas en de voormalige huurder stelt dat dit ook een inbreuk uitmaakt op basis van het recht op inzage.

Het betreft vragen met betrekking tot 1) het bestaan van mogelijke lekken van de gegevens van de voormalige huurder wegens gebrekkige beveiliging, 2) de beveiligingsprotocollen van de voormalige verhuurder en 3) de beveiligings- en organisatorische maatregelen met betrekking tot de verwerking van persoonsgegevens door de werknemers of medecontractanten van de voormalige verhuurder

De Geschillenkamer oordeelt dat deze inderdaad buiten het bereik van het recht op inzage vallen en de voormalige verhuurder niet verplicht was hierop te antwoorden.

In het kader van een datalek dient slechts een melding gemaakt te worden aan een betrokkene wanneer deze “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Niets toont aan dat dit hier het geval zou zijn.

In het verband met de beveiligingsprotocollen en beveiligings- en organisatorische maatregelen stelt de Geschillenkamer vast dat deze niet in de lijst met informatie van artikel 15 zijn opgenomen.

Uitspraak

Een inbreuk op artikel 15, lid1 en artikel 12, leden 3 en 4 GDPR wordt vastgesteld en er wordt slechts een berisping opgelegd.


Onze mening

Terecht wordt een inbreuk vastgesteld door de Geschillenkamer op het recht op inzage gelet op de laattijdigheid van het antwoord door de voormalige huisbaas.

Een berisping kan volstaan gelet op de verzachtende omstandigheid dat wel degelijk de intentie is gebleken om te antwoorden én dat de voormalige huisbaas maatregelen heeft genomen om dit naar de toekomst toe te vermijden.

Beslissing

Beslissing 27/2023

[1] Zie in dit verband ons eerder artikel over het recht op inzage: https://studio-legale.com/recht-op-inzage/

Betreft       

Een koeriersbedrijf bezorgt een pakketje van haar bestemmeling bij de buren zonder toestemming. Mag dat zomaar?

Context      

Levering pakketje bij buren zonder toestemming

Rechtsgrond

Artikel 2.1. GDPR: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

Artikel 95, §1, 3° WOG: “De geschillenkamer beslist over de opvolging die het geeft aan het dossier en is bevoegd:

(…)

3° de klacht te seponeren;”

Feiten en beoordeling

De bestemmeling van een pakketje diende op 7 november 2022 een klacht in bij de GBA tegen de koeriersdienst die het pakketje bij de buren leverde zonder toestemming hiertoe. De buren bezorgde het pakketje aan de bestemmeling.

De bestemmeling baseert de klacht op dat de buren, door de bezorging van het pakketje aan hun adres, kennis hebben kunnen nemen van zijn persoonsgegevens, nl. naam en adres.

De Geschillenkamer beslist over te gaan tot technisch sepot.

De feiten vallen naar oordeel van de Geschillenkamer niet onder het materieel toepassingsgebied van de GDPR zoals vervat in artikel 2.1.

Overwegingen 6 en 7 van de GDPR verduidelijken het kader waaromtrent de invoering van de GDPR noodzakelijk werd geacht:

“(6) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.

 

 

(7) Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.”

Het toepassingsgebied van de GDPR kadert zich dus volgens de Geschillenkamer in het licht hiervan op de verwerking van gegevens in een digitale omgeving.

De levering van het postpakket aan de buren houdt dan ook geen geheel of gedeeltelijk geautomatiseerde verwerking in, noch een verwerking van persoonsgegevens die in bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.

Een behandeling van de klacht is dan ook niet mogelijk.

Uitspraak   

Op grond van Artikel 95, §1, 3° WOG wordt de klacht geseponeerd.

Onze mening        

Terecht wordt het loutere bezorgen van een postpakket aan buren die dit pakket aan de bestemmeling bezorgden niet geacht een verwerking van persoonsgegevens onder de GDPR uit te maken op zich.

Volgens ons is het wel niet zo evident om te stellen dat er sowieso in heel dit gebeuren geen persoonsgegevens verwerkt worden. Uiteraard verwerkt de koeriersdienst wel persoonsgegevens voor de levering en mogelijks ook deze van de buren bij de levering. Alleszins worden persoonsgegevens gebruikt van en bekendgemaakt aan de buren die mogelijk wel degelijk een verwerking uitmaken.

In casu, waarbij er geen melding is van een bijzonder gevoelig pakje en dat de buren dit onmiddellijk hebben rechtgezet, lijkt het ons een gepaste oplossing van de GBA om hier verder geen gevolg aan te geven. Er zijn echter wel situaties denkbaar waarin dit problematischer is. Bijvoorbeeld bij de levering van “gevoelige/niet-onschuldige” pakketjes (bv. medicatie, seksspeeltjes…).

De koeriersdiensten moeten (voorlopig) hiervoor dus geen GDPR-repercussies vrezen. Niettemin lijkt het ons aangewezen om steeds de leveringsvoorkeuren van klanten te respecteren en niet op eigen initiatief pakketjes bij de buren aan te bieden om verdere klachten te voorkomen.

Beslissing

Beslissing 181/2022

Betreft       

Er wordt een klacht ingesteld door een persoon zonder persoonlijk belang, die anoniem wenst te blijven, m.b.t. camerabewaking in een carwash. Volstaat een publiek belang om te doen blijken van een voldoende belang bij de GBA?

Context      

Anonieme klacht tegen het gebruik van bewakingscamera’s in een carwash

Rechtsgrond

Art. 6. Camerawet: “De beslissing tot het plaatsen van een of meer bewakingscamera’s in een voor het publiek toegankelijke besloten plaats wordt genomen door de verantwoordelijke voor de verwerking.

 

De verantwoordelijke voor de verwerking deelt de in § 1 bedoelde beslissing mee aan de Commissie voor de bescherming van de persoonlijke levenssfeer en de korpschef van de politiezone waar die plaats zich bevindt. Hij doet dat uiterlijk de dag vóór die waarop de bewakingscamera of -camera’s in gebruik worden genomen.

(…)

 

De verantwoordelijke voor de verwerking plaatst bij de toegang tot de voor het publiek toegankelijke besloten plaats een pictogram dat aangeeft dat er camerabewaking plaatsvindt. Het model van dat pictogram en de erop te vermelden inlichtingen worden door de Koning bepaald, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

(…)”

Art. 9. Camerawet: “Uitsluitend de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, heeft toegang tot de beelden.

 

De verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, neemt alle nodige voorzorgsmaatregelen teneinde de toegang tot de beelden te beveiligen tegen toegang door onbevoegden.

 

De personen die toegang hebben tot de beelden, hebben een discretieplicht omtrent de persoonsgegevens die de beelden opleveren, met dien verstande dat de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, de beelden : 1° kan overdragen aan de politiediensten of de gerechtelijke overheden indien hij feiten vaststelt die een misdrijf kunnen vormen en de beelden kunnen bijdragen tot het bewijzen van die feiten en het identificeren van de daders;2° moet overdragen aan de politiediensten indien zij hierom verzoeken in het kader van hun opdrachten van bestuurlijke of gerechtelijke politie en de beelden het vastgestelde misdrijf betreffen. Indien het een private plaats betreft, kan de verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, evenwel eisen dat er een gerechtelijk mandaat in het kader van een opsporingsonderzoek of gerechtelijk onderzoek wordt voorgelegd.”

Art. 17 Ger.W: “De rechtsvordering kan niet worden toegelaten, indien de eiser geen hoedanigheid en geen belang heeft om ze in te dienen.

(…)”

Art. 100 §1, 1°:

“De geschillenkamer heeft de bevoegdheid om:

         1° een klacht te seponeren;

         (…)”

Feiten

Een klant hekelt het feit dat er in een carwash gebruikt wordt gemaakt van bewakingscamera’s zonder vermelding dat de klanten worden gefilmd d.m.v. pictogrammen zoals de camerawetgeving voorschrijft. Er wordt ook met geen woord gerept over het gebruik van bewakingscamera’s in de privacyverklaring zoals gepubliceerd op de website van de carwash. Bovendien werden videobeelden en foto’s gebruikt op de facebookpagina van mevrouw Z door de carwash om haar ongelijk aan te tonen. De klant – die anoniem wenst te blijven – vermoedt eveneens dat het beeldmateriaal onbeperkt wordt bijgehouden.

Hoewel de geschillenkamer haar bevoegdheid bevestigt om kennis te nemen van klachten i.v.m. inbreuken op de Camerawet en inbreuken op de GDPR  nadat de Inspectiedienst terecht een aantal ernstige aanwijzingen i.v.m. inbreuken op de Camerawet en GDPR vaststelde, besluit de Geschillenkamer dat zij genoodzaakt is de klacht te seponeren omwille van een gebrek aan voldoende concreet belang.

Hoewel artikel 17 Ger. W., dat een vereiste van hoedanigheid en belang aan procespartijen oplegt, volgens de Geschillenkamer niet rechtstreeks van toepassing is op een procedure binnen de GBA, lijkt deze toch minstens naar analogie toepassing te vinden. In hoger beroep bij het Marktenhof zal dit hoe dan ook wel van toepassing zijn. De Geschillenkamer bevestigt dat een klager blijk moet geven van een voldoende belang.

De anonieme klager heeft uitdrukkelijk aangegeven dat hij niet over een persoonlijk belang beschikt en stoelt zich louter op het publiek belang voor de klacht. Gelet op het feit dat de klant niet aantoont of zelfs geen element aanvoert dat hem in verband brengt met de verwerking van persoonsgegevens door de carwash, toont hij geen afdoende belang, noch hoedanigheid aan.

Uitspraak   

Gelet op het gebrek aan belang en hoedanigheid in hoofde van de anonieme klager wordt besloten om voorliggende klacht te seponeren.

Onze mening        

Net zoals in ons burgerlijke procesrecht oordeelt de Geschillenkamer dat de klager dient te beschikken over enerzijds een voldoende persoonlijk belang en anderzijds een hoedanigheid. Het nastreven van een publiek belang is onvoldoende.

De concrete rechtsgrond die de Geschillenkamer hiervoor gebruikt blijft onduidelijk aangezien zij eerst aangeeft dat artikel 17 Ger. W. niet van toepassing is, om vervolgens alsnog een gebrek aan belang en hoedanigheid als reden voor seponering aan te voeren.  Eerder besloot de Geschillenkamer reeds om een klacht na intrekking door de betrokkene nog verder te behandelen. Het is ons niet geheel duidelijk waarom van deze mogelijkheid in dit verband geen gebruik gemaakt werd.

Er lijkt op zeer technisch punt door de Geschillenkamer beroep gedaan om geen beslissing te moeten vellen, terwijl we lezen dat de inspectiedienst wel degelijk verscheidene inbreuken, minstens ernstige aanwijzingen op inbreuken op zowel de Camerawet als de GDPR heeft vastgesteld.

 

Beslissing

 

Beslissing 80/2020

Betreft       

Het verwerken van gegevens over een vakbondslidmaatschap van haar werknemers door een ziekenhuis wordt door een vakbondsafgevaardigde niet goed onthaald. 

Context      

Verwerking vakbondsgegevens door een ziekenhuis

Rechtsgrond

Artikel 5.1.b) GDPR: “Persoonsgegevens moeten:

(…)

  1. b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig.”

Artikel 7.3 GDPR: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.”

Artikel 9.2.a) GDPR: “Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

 

  1. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

 

  1. a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven.”

Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

Feiten

Een vakbondsafgevaardigde van vakbond A vraagt op een gegeven moment het advies van de Gegevensbeschermingsautoriteit (GBA) in verband met het door zijn werkgever – zijnde een ziekenhuis – rechtstreeks op het salaris inhouden van de vakbondsbijdrage van de leden van vakbond B. De inhouding zou gebeuren onder onduidelijke omstandigheden en zonder daarbij de wil van de werknemers en de vertrouwelijkheid van hun gegevens te eerbiedigen. Hij stelt zich in het algemeen de vraag waarom een werkgever gegevens over het vakbondslidmaatschap van zijn werknemers zou verzamelen.

Na mailverkeer hierover met vraag  voor advies naar de GBA dient de vakbondsafgevaardigde een klacht in  en de Inspectiedienst van de GBA wordt gevat. Niet veel later laat de vakbondsafgevaardigde weten aan de Inspectiedienst dat het ziekenhuis een einde heeft gesteld aan het systeem van inhouding op het salaris. Deze beslissing kwam er op basis van het advies van haar functionaris voor gegevensbescherming (DPO).

Voorafgaand advies door GBA

We verwijzen naar de vorige beslissing nr. 71/2020 waarin het Marktenhof tussenkwam en reeds de GBA op de vingers tikte voor het feit dat mogelijks zowel mailverkeer en adviesverlening, als latere beoordeling van een klacht kan gebeuren door dezelfde personeelsleden van de GBA vatbaar is voor kritiek en eventueel sanctie.

In huidige beslissing ontbreekt meer diepgaande informatie om een concrete beoordeling toe te laten. Dit blijft toch een aandachtspunt.

De toestemming als rechtmatigheidsgrond

In principe is de verwerking van  gegevens over een vakbondslidmaatschap verboden  (artikel 9.1 GDPR).  Lid 2 van datzelfde artikel voorziet  echter  in  een  aantal  uitzonderingen,  waaronder  de  “uitdrukkelijke  toestemming  van  de betrokkene voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden”.

Volgens artikel 4.11) van de GDPR dient toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. Artikel 9.2.a) voegt daar nog aan toe dat voor een gegevensverwerking in verband met vakbondslidmaatschap de toestemming eveneens uitdrukkelijk moet zijn.

(i)      Vrije karakter van de toestemming

De toestemming werd bij schriftelijke machtiging gegeven als een door de werkgever aan de werknemer verleende faciliteit. Echter dient bij een arbeidsverhouding steeds extra aandacht te worden besteed aan het vrije karakter van de toestemming. Bij  wijze  van  uitzondering  kan de  toestemming  van  de  werknemer  wel worden beschouwd  als  geldig  verleend,  wanneer het al dan niet toestemming geven geen negatieve gevolgen kan hebben voor zijn persoon. In casu had het ziekenhuis geen voordeel bij de toestemming van de werknemer waardoor er van mag worden uitgegaan dat de werknemer zijn toestemming vrijelijk heeft gegeven.

(ii)     Specifieke karakter van de toestemming

Door het feit dat aan elke werknemer werd gevraagd een individueel machtigingsformulier in te vullen is voldaan aan de voorwaarde van het specifieke karakter van de toestemming. De machtiging vraagt immers de toestemming van de werknemer voor één gegevensverwerking, namelijk de verwerking die is verbonden aan de rechtstreeks inhouding op het salaris van de vakbondsbijdrage.

(iii)    Geïnformeerde karakter van de toestemming

Om toestemming met kennis van zaken te geven, moet de betrokkene onder meer de volgende informatie hebben ontvangen:

–         de identiteit van de verwerkingsverantwoordelijke;

–         het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;

–         welk(e) (soort) gegevens worden verzameld en gebruikt;

–         het bestaan van het recht om zijn toestemming in te trekken.

De eerste drie elementen worden relatief duidelijk op het verstrekte machtigingsformulier vermeld, maar aangezien nergens melding wordt gemaakt van het feit dat de werknemer zijn toestemming te allen tijde kan intrekken is niet voldaan aan artikel 7.3 van de GDPR waardoor de toestemming niet kan worden beschouwd als op geïnformeerde wijze gegeven. Hierdoor werd artikel 9.2.a) GDPR dan ook niet nageleefd.

(iv)       Uitdrukkelijke karakter van de toestemming

Aan deze voorwaarde werd voldaan aangezien de door de betrokkene ondertekende schriftelijke machtiging op uitdrukkelijke wijze bepaalt welke gegevensverwerking zal worden uitgevoerd.

Doeleinde van de verwerking

Wat betreft het doeleinde van de verwerking bepaalt artikel 5.1.b) 24.1 GDPR dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en  mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Aangezien het doeleinde van de verwerking slechts duidelijk werd na het verdere onderzoek en verzoek door inlichtingen door de Geschillenkamer, kan dit niet beschouw worden als zijnde uitdrukkelijk vermeld en besluit de Geschillenkamer dat de verwerkingsverantwoordelijke artikel 5.1.b) 24.1 GDPR heeft geschonden.

Uitspraak   

In verband met de effectieve uitspraak in het beschikkend gedeelte lijkt ons dat er een materiële vergissing gebeurde in de beslissing. Er wordt voorheen immers duidelijk vermeld in de beslissing dat:

  • er een schending van de artikelen 5.1.b) j° artikel 24.1, en artikel 9.2.a) j° artikel 7.3 van de GDPR heeft plaatsgevonden;
  • het niet nodig is om een van de maatregelen te nemen aangezien de verwerkingsverantwoordelijke om advies heeft gevraagd aan zijn functionaris voor gegevensbescherming en dat hij heeft besloten het advies op te volgen in die zin dat er aan de verwerking definitief een einde werd gesteld op 30 juni 2019, waardoor hij bewijst dat de verplichtingen die voortvloeien uit de GDPR ernstig zijn genomen.

Echter vermeldt het beschikkend gedeelte dat er geen schending van voormelde artikelen heeft plaatsgevonden. Aangezien evenwel nog steeds vermeld wordt bijkomend dat het toch niet nodig is om een van de maatregelen als bedoeld in artikel 100 §1 WOG te nemen, blijkt volgens ons duidelijk dat dit een materiële vergissing betreft.

Onze mening

Uit deze beslissing blijkt dat de voorwaarden voor het geven van een geldige toestemming zeer strikt worden toegepast. Hoewel immers de toestemming geacht wordt vrij te zijn gegeven, ondanks de werknemer-werkgever relatie en deze uitdrukkelijk werd gegeven, wordt alsnog een schending vastgesteld omwille van het gebrek aan voldoende informatie over de mogelijkheid tot intrekking van de toestemming te allen tijde.

In het kader van het belangrijke doelbindingsbeginsel, wordt eveneens strikt toegezien op het feit of het doeleinde van de verwerking vermeld uitdrukkelijk vermeld wordt, wat in deze eveneens niet het geval was aangezien slechts na onderzoek duidelijk werd wat het doeleinde is.

O.i. houdt de geschillenkamer terecht rekening met het feit dat duidelijk blijkt dat het ziekenhuis op ernstige wijze bezig is met GDPR in haar organisatie. Het won immers advies in te bij haar DPO en volgde dit advies ook op door middel van de definitieve stopzetting van de verwerking. Dit toont aan dat de GDPR serieus wordt genomen, wat in deze zaak ook heeft geleid tot uitblijven van enige sanctie. Accountability is namelijk een zeer belangrijk beginsel in het kader van de GDPR.

 

Integrale beslissing

Beslissing 72/2020

Als betrokkene waarvan de persoonsgegevens verwerkt worden, hebt u steevast het recht op inzage. Dit recht op inzage is echter niet absoluut. Wij verduidelijken wat dit inhoudt, hoe u dit recht uitoefent en welk gevolg hieraan  gegeven moet worden.

Allereerst is de gebruikte terminologie ietwat misleidend aangezien dit de indruk schept dat u werkelijk de verwerking zélf kan inzien, terwijl de werkelijkheid toch genuanceerder is. Het betreft eerder een recht om van de verwerking van uw persoonsgegevens kennis te krijgen. U kan dit recht op ieder moment uitoefenen, ongeacht of u omtrent de verwerking van uw persoonsgegevens werd geïnformeerd bij de aanvang hiervan.

Artikel 15 GDPR verduidelijkt op welke informatie u recht hebt, buiten de concrete persoonsgegevens zelf, bij het uitoefenen van uw recht op inzage:

  • de verwerkingsdoeleinden;
  • de betrokken categorieën van persoonsgegevens;
  • de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  • de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
  • dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
  • dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
  • wanneer de persoonsgegevens niet bij de betrokkene zelf worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  • het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • Wanneer er doorgifte gebeurt aan een derde land of internationale organisatie, de passende waarborgen die genomen worden.

U hebt in principe recht op één gratis kopie, voor bijkomende kopieën mag de verwerkingsverantwoordelijke een redelijke vergoeding in verhouding met de administratieve kosten aanrekenen.

Indien u uw verzoek tot inzage doet in elektronische vorm (bv. per e-mail) dan volstaat het voor de verwerkingsverantwoordelijke om u de kopie eveneens in elektronische vorm over te maken, tenzij u uitdrukkelijk anders verzoekt.

Uw recht op inzage is echter niet absoluut. Artikel 15.4 GDPR verduidelijkt dat dit geen afbreuk mag doen aan de rechten en vrijheden van anderen.

Indien u bijvoorbeeld uw recht op inzage uitoefent t.a.v. uw (ex-)werkgever, heeft deze het recht en eigenlijk zelfs de plicht om de evaluatieformulieren te anonimiseren/censureren aangezien de persoonsgegevens van anderen (bv. de evaluator, collega’s) ook beschermd moeten worden onder de AVG. In deze optiek heeft de verwerkingsverantwoordelijke eveneens het recht om een precisering van uw verzoek te vragen. Indien u reeds gedurende lange tijd tewerkgesteld staat, kan het immers disproportioneel zijn en buitensporige last opleggen om alle gegevens over de gehele periode te moeten anonimiseren/censureren en kopie van maken om gevolg te geven aan uw verzoek. Er moet in dit verband steeds een concrete afweging gemaakt worden.[1]

In het recente arrest van het Hof van Justitie van 4 mei 2023 verduidelijkte het Hof dat het recht van inzage zeer ruim kan gaan in die zin dat ook kopie van de achterliggende documenten of uittreksels verstrekt moet worden, nooit mogen echter de rechten en vrijheden van anderen hierbij uit het oog verloren worden:

“het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.”[2]

Uw verzoek zelf is niet aan enige vormvoorwaarden onderworpen. Met het licht op efficiënte behandeling hiervan, doet u er wel goed aan zichzelf reeds duidelijk te identificeren aangezien iedere verwerkingsverantwoordelijkheid uiteraard de plicht heeft over te gaan tot identificatie alvorens enige informatie te verschaffen.

Vervolgens heeft de Verwerkingsverantwoordelijke in principe één maand de tijd om gevolg te geven aan uw verzoek. Binnen deze periode moet hij ofwel de gegevens verschaffen ofwel u meedelen om welke reden hij meent dit niet te moeten/kunnen doen en u informeren omtrent uw mogelijkheid om klacht in te dienen bij de toezichthoudende autoriteit (GBA) en mogelijkheid tot navolgend beroep bij de rechter (Marktenhof). De termijn kan wél verlengd worden met een bijkomende twee maanden indien de verwerkingsverantwoordelijke u hiervan verwittigd voor het verstrijken van de oorspronkelijke termijn.

Indien u nog vragen hebt over (de uitoefening van) uw recht op inzage kan u ons steeds contacteren per email: [email protected] of telefonisch op het nummer 03/216.70.70.

Juridische bronnen

  • DE BOT, De toepassing van de Algemene Verordening Gegevensbescherming in de Belgische context. Commentaar op de AVG, de Gegevensbeschermingswet en de Wet Gegevensbeschermingsautoriteit, Wolters Kluwer Belgium, Mechelen, 2020.
  • DE SMEDT en M. CAPRONI, Praktische gids privacy in de onderneming, Wolterw Kluwer Belgium, Mechelen, 2019.

Rechtspraak

 

  • Geschillenkamer GBA 9 februari 2021, RABG 2021/12-13, 1272-1293.
  • HvJ 4 mei 2023, C-487/21,

[1] Zie bijvoorbeeld Beslissing ten gronde 15/2021 van 9 februari 2021 van de geschillenkamer van de GBA

[2] HvJ 4 mei 2023, C-487/21, nr. 45.

Betreft       

Een ex-burgemeester gebruikt gegevens verzameld tijdens zijn mandaat voor het sturen van een e-mail met verkiezingspropaganda voor zijn kandidatuur voor de Provincieraad.

Context      

Gebruik e-mail voor verkiezingspropaganda

Rechtsgrond

Artikel 5.1 a) en b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – rechtmatigheid, behoorlijkheid en transparantie & doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking);

Artikel 25 GDPR: (Gegevensbescherming door ontwerp en door standaardinstellingen);

Artikel 32 GDPR: (Beveiliging van de verwerking);

Artikel 33 GDPR: (=Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Feiten

Op 22 mei 2019 verstuurt een ex-burgemeester onderstaand verkiezingsbericht naar een inwoner van een bepaalde gemeente: “beste dames, heren en vrienden, ik ben er trots op als (Xde) kandidaat op de lijst (Y) te staan voor ons arrondissement (lijst van de betrokken gemeenten… ) Sta mij toe om uw stem te vragen. Met een goed resultaat zal ik met onze ploeg van het College en de Provincieraad nog doeltreffender kunnen zijn. Ik wil mijn uiterste best doen om ook onze lokale vertegenwoordigers en hun projecten te steunen.”

De betrokken inwoner is hier absoluut niet mee gediend en vraagt zich luidop af hoe het komt dat hij dergelijke berichten ontvangt op zijn persoonlijk e-mailadres. Dat het bericht werd verstuurd met talrijke ontvangers in kopie, maakt de frustratie des te groter. Na verder onderzoek is aan het licht gekomen dat het e-mailadres van de betrokkene is verzameld naar aanleiding van een verzoek om informatie die de betrokkene in 2014 aan het secretariaat van de ex-burgemeester had verzonden om een openbare netheidskwestie te signaleren. Hierdoor werd zijn e-mailadres opgenomen in de lijst om verkiezingsberichten uit te sturen. Op het moment van de verzending van het bericht was de ex-burgemeester echter geen burgemeester meer.

Aangezien de ex-burgemeester op het moment van het verzamelen van het betreffende e-mailadres (in 2014) de verwerkingsverantwoordelijke was, was het ook zijn verantwoordelijkheid om ervoor te zorgen dat de persoonsgegevens op een passende rechtsgrondslag en in strikte overeenstemming met de in de GDPR vastgestelde beginselen werden verwerkt. Hij is ook verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens niet verder worden verwerkt voor een doel dat onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld en verwerkt (artikel 5.1.f), artikel 6.4, en artikel 32 van de GDPR).

Het finaliteitsbeginsel is een cruciaal beginsel van de gegevensbescherming. Persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor zij zijn verzameld. Het persoonlijk e-mailadres werd in 2014 verzameld omdat de burger destijds een melding deed over een stortplaats waarvoor hij een opkuis vroeg. Nu werd zijn e-mailadres gebruikt voor verkiezingsdoeleinden. Het hoeft dan ook geen betoog dat er geen verband is tussen de twee verwerkingsdoeleinden. Iets wat de GBA dan ook terecht opmerkte.

Sterker nog, de GBA is van mening dat het hergebruik door een ex-burgemeester van persoonsgegevens die in de loop van zijn ambtstermijn zijn verzameld voor onverenigbare doeleinden, de grondslagen van de democratie en de gelijkheid tussen de kandidaten ondermijnen. Een terechte visie van de GBA volgens ons.

Wat betreft de ongewenste verspreiding van het e-mailadres aan derde personen, geeft de ex-burgemeester toe een behandelingsfout te hebben begaan. Ongeacht of er al dan niet sprake is van een behandelingsfout, blijft er op dit vlak een schending bestaan van artikel 32.1. en 32.4. van de GDPR. Weliswaar accepteert de Geschillenkamer het niet-opzettelijk karakter van de inbreuk als een verzachtende omstandigheid.

Ook artikel 33 van de GDPR werd geschonden nu de kandidaat-burgemeester deze inbreuk niet binnen de termijn van 72 uur heeft gemeld aan de toezichthoudende overheid.

De Geschillenkamer heeft al eerder te maken gekregen met klachten in verband met de onrechtmatige gegevensverwerking voor verkiezingsdoeleinden.[1] Toen werd er in de meerderheid van de gevallen een administratieve boete opgelegd.

De GBA tilt zwaar aan het feit dat de kandidaat-burgemeester op het tijdstip van het verzamelen van de gegevens burgemeester en parlementslid was. Gezien zijn rol in het openbare leven, zou van hem verwacht mogen worden dat hij er zorgvuldig op  toeziet dat de verzamelde gegevens niet ten persoonlijke titel worden hergebruikt, en dat hij een verkiezingscampagne voert met inachtneming van alle toepasselijke regels (inclusief de regels inzake gegevensbescherming). Elke overheidsmandataris heeft immers een voorbeeldfunctie inzake het naleven van de wetgeving.

Uitspraak   

De schendingen van artikel 5.1. b) (onverenigbare verdere verwerking), artikel 5.1. a) (rechtmatigheid) en artikel 6.1 van de GDPR (onrechtmatige verwerking) die in deze beslissing worden vastgesteld, vormen een schending van de fundamentele beginselen van gegevensbescherming. In feite zijn dit inbreuken waarvoor de maximum boetes het hoogst zijn. De Geschillenkamer legt dan ook een administratieve boete op van € 5.000,00.

Onze mening        

Het finaliteitsbeginsel is een van de belangrijkste beginselen uit de GDPR. Het is dan ook zeer belangrijk dat dit basisbeginsel wordt nageleefd. In de eerste gepubliceerde beslissing (over verkiezingen) was de Geschillenkamer nog mild gelet op de toen nog nieuwe GDPR-wetgeving. In latere beslissingen waarbij gegevens onrechtmatig werden verwerkt voor verkiezingsdoeleinden, werd wel steevast een boete opgelegd. Dat is ook in deze zaak het geval. Er wordt terecht strenger opgetreden. Ook het feit dat de betrokkene een openbare functie uitoefende op het ogenblik van de gegevensverwerking, is een verzwarende omstandigheid.

Net zoals  eerdere beslissingen wordt geoordeeld dat een openbaar ambtenaar extra voorzichtig dient omgegaan met het verwerken van persoonsgegevens. Hieromtrent citeerde de Gegevensbeschermingsautoriteit het Europees Comité voor gegevensbescherming als volgt:

“de naleving van de regels inzake gegevensbescherming, ook in het kader van verkiezingsactiviteiten en -campagnes, is essentieel voor de bescherming van de democratie. Het is ook een middel om het vertrouwen van de burgers en de integriteit van de verkiezingen te behouden.”

Deze uitspraak is in lijn met de eerdere uitspraken waarin persoonsgegevens misbruikt werden voor verkiezingsdoeleinden. De GBA blijft op dit vlak onverbiddelijk.

 

Vernietiging door arrest Marktenhof van 27 januari 2021

Nadat de ex-burgemeester in hoger beroep is gegaan bij het Marktenhof van het hof van beroep te Brussel besluit het Marktenhof tot de vernietiging van de beslissing van de GBA en beveelt de opschorting van de beslissing.

Het Marktenhof oordeelt immers dat de sanctie bestaande uit de administratieve geldboete van € 5.000 disproportioneel is.

Het Marktenhof gaat helemaal niet akkoord met de verantwoording van de geschillenkamer dat een basisbeginsel geschonden zou zijn en dat dit zou bijdragen aan de verantwoording van de proportionaliteitseis. Iedere zaak moet in concreto beoordeeld worden en het Marktenhof wijst erop dat elementen uit eerdere beslissingen/zaken geen invloed mogen hebben op deze concrete beoordeling. De boete van € 5.000 wordt dan ook te vanzelfsprekend opgelegd volgens het Marktenhof, wat een disproportioneel karakter heeft.

Bovendien kan het eventuele niet-naleven van de formele schriftelijke procedure door de ex-burgemeester onder geen beding een verzwarende omstandigheid uitmaken.

Tot slot hecht het Marktenhof belang aan het feit dat duidelijk blijkt dat de ex-burgemeester op geen enkel ogenblik de intentie heeft getoond om de principes van gegevensbescherming te schenden, maar dat de schending een gevolg is van nalatigheid of onachtzaamheid, welke situatie onmiddellijk werd rechtgezet en waarvoor de ex-burgmeester zijn excuses aanbood.

Het Marktenhof stelt zich dan ook uitdrukkelijk de vraag of een berisping niet kon volstaan. De geschillenkamer zou nagelaten hebben om het vermoeden van goede trouw in acht te nemen.

Onze mening

 

Het Marktenhof ziet streng toe op de motivering en beoordeling door de Geschillenkamer van haar beslissing.

Hoewel uiteraard iedere zaak inderdaad concreet behandeld moet worden en alle elementen in overweging genomen dienen te worden, zijn wij van oordeel dat het Marktenhof dan weer onterecht geen aandacht spendeert aan het feit dat een ex-burgemeester en huidig parlementslid een voorbeeldfunctie heeft en in dat licht het opportunistische gebruik van gegevens waartoe hij toegang uit zijn voorbeeldfunctie o.i. toch aanleiding dient te geven tot het opleggen van een boete.

 

Beslissing en arrest

Beslissing 53/2020

Arrest marktenhof 27 januari 2021

[1] Beslissing 11-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-11-2019-van-25-november-2019/) ; Beslissing 10-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-10-2019-van-25-november-2019/);  Beslissing 04/2019 van 28 mei 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-04-2019-van-28-mei-2019/);  en beslissing 30/2020 van 8 juni 2020 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-30-2020-van-8-juni-2020/).

Betreft       

Een klacht werd ingesteld tegen Google wegens de weigering om tot verwijdering/wissing van bepaalde links over te gaan. De klacht werd in de loop van de procedure echter ingetrokken door de klager…

Context      

Recht op gegevenswissing , recht op vergetelheid

Implicaties van een afstand van klacht voor de bevoegdheid van de GBA

Rechtsgrond

Artikel 12.4 GDPR: “Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.”

Artikel 17 GDPR: “1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

 

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

 

b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

 

c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

 

d) de persoonsgegevens zijn onrechtmatig verwerkt;

 

e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

 

f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

 

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

 

 a) voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b) voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c) om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;

d) met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.”

 

Feiten

Een persoon richt zich tot de Gegevensbeschermingsautoriteit omdat Google zou weigeren om de URL’s die verschijnen op “Google.be” en “Google.com” in de resultaten na een zoekopdracht op naam van de persoon te verwijderen. Nog voor er een zitting kan plaatsvinden, laat de persoon weten dat hij afstand wenst te doen van zijn klacht aangezien de URL’s waren verwijderd. Beide partijen geven aan de zaak niet verder te willen zetten.

Desondanks beslist de Geschillenkamer het onderzoek van de klacht voort te zetten. De Geschillenkamer stelt namelijk, net zoals in haar beslissing nr. 17/2020, dat eenmaal zij is gevat, zij bevoegd is om in volledige onafhankelijkheid  de  naleving  van  de  GDPR  te  onderzoeken  en  te  waken  over  de  effectieve toepassing  ervan,  en  dit  ongeacht  de  intrekking  van  de  klacht  door  de  klager  of  het  zonder voorwerp worden ervan. Het beslechten van geschillen is maar een van de taken van de Geschillenkamer. Zij moet meer in het algemeen toezicht houden op de naleving van de regels inzake gegevensbescherming.

Omwille van gebrek aan feitelijke elementen in deze zaak, beide partijen hadden na melding van afstand van de klacht namelijk geen verdere conclusies of documenten neergelegd, is het de Geschillenkamer niet mogelijk om verdere vaststellingen te doen omtrent een eventuele inbreuk op de GDPR en seponeerde zij alsnog de klacht.

 

Uitspraak   

De voorliggende klacht wordt geseponeerd bij gebrek aan feitelijke elementen.

Onze mening        

Onverminderd het feit dat partijen afstand hebben gedaan van de klacht, verklaart de Geschillenkamer van de Gegevensbeschermingsautoriteit zich nadat zij gevat is bevoegd om in onafhankelijkheid het onderzoek naar inbreuken verder zetten. Dit is logisch aangezien indien zij niet meer bevoegd zou zijn na dergelijke afstand van klacht, verwerkingsverantwoordelijken zouden kunnen volstaan met slechts gevolg te geven aan de verzoeken tot uitoefening van de rechten van de betrokkenen tijdens de procedure zelf. Iets wat de bescherming van persoonsgegevens niet ten goede zou komen en alleszins niet de bedoeling van de GDPR-beginselen is.

 

Definitief?  

Ja

Beslissing

Beslissing 63/2020

 

 

Betreft:

Teneinde een toegangsverbod ten uitvoer te brengen werd door een griffier van de Sportrechtbank een screenshot van de profielfoto van de Klager, na bewerking, overgemaakt de sportcommissarissen van een event, alsook in CC aan de organiserende instelling.

Context:

Hergebruik van een profielfoto beschikbaar op facebook en GDPR door de Sportrechtbank m.h.o.o. de uitvoering en handhaving van een opgelegd toegangsverbod

Rechtsgrond:

Artikel 4. 7) GDPR: Voor de toepassing van deze verordening wordt verstaan onder:
[…]
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen
voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Artikel 6. 1) AVG:

  1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[…]

  1. f) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Feiten:

Een screenshot van een op facebook beschikbare foto werd verspreid via e-mail gericht aan derden, waaronder vrijwilligers en medewerkers van verweerster zonder dat de persoon in kwestie hiervoor zijn toestemming zou gegeven hebben.

De welbepaalde foto werd van facebook gehaald nadat de Sportrechtbank een aanwezigheidsverbod had opgelegd aan Klager.

In gevolge een vonnis van de Sportrechtbank werd klager veroordeeld tot “een algemeen verbod om aanwezig te zijn op trainingen, kampioenschappen of enige andere wedstrijd van om het even welke aard, georganiseerd onder de sportieve autoriteit van Y, dit voor een periode van 1 jaar. Dit verbod strekt zich uit tot elke plaats waar de competitie zich afspeelt, […]”.

Eerste verweerder is werknemer (griffier) van tweede verweerder, de Sportrechtbank.

Om het aanwezigheidsverbod te kunnen handhaven  werd in opdracht van de Sportrechtbank door de griffier een e-mail met de profielfoto van klager in bijlage uitgestuurd aan de sportcommissarissen van een welbepaald nakend event, alsook in cc aan de organiserende instelling.

Vooraleer deze profielfoto werd verspreid, werd deze ook bewerkt. De tweede persoon die op de foto te zien was, werd onzichtbaar gemaakt zodat enkel klager nog zichtbaar was.

De Geschillenkamer stelt vast dat de eerste verweerder het doel en de middelen voor de uitvoering van het vonnis van de Sportrechtbank heeft bepaald doordat de e-mail met foto in bijlage in haar naam en opdracht werd verzonden door de tweede verweerder die louter optrad in zijn functie van werknemer van de eerste verweerder.

De eerste verweerder, de werkgever wordt dus aangemerkt als verwerkingsverantwoordelijke in de zin van art. 4.7) GDPR.

Vervolgens is de geschillenkamer van oordeel dat er weldegelijk sprake is van een verwerking in de zin van artikel 4. 2) GDPR, gezien de foto op geautomatiseerde wijze aan de hand van bepaalde technologieën werd geraadpleegd om vervolgens te worden gebruikt en doorgezonden aan derden.

De Geschillenkamer oordeelt vervolgens dat verweerders zich terecht op art. 6.1 f) GDPR beroepen als grondslag voor de verwerking. Ten eerste stelt ze dat het feit dat een foto vrij toegankelijk werd gemaakt door de betrokkene zelf, geenszins het vrije hergebruik toelaat van de foto door derden die deze raadplegen. De Geschillenkamer benadrukt hiermee het principe dat het feit dat iemands profielfoto vrij toegankelijk is voor het publiek, niet betekent dat anderen deze vrij mogen gebruiken. Het gebruik is slechts mogelijk in geval van de aanwezigheid van een rechtsgrond zoals in casu art. 6.1 f) GDPR.

Op grond van rechtspraak van het Hof van Justitie dient aan drie cumulatieve voorwaarden voldaan te zijn opdat een verwerkingsverantwoordelijke zich rechtsgeldig kan beroepen op deze rechtmatigheidsgrond:

  1. De belangen die de verwerkingsverantwoordelijke met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (= de “doeltoets”);
  2. De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (= de noodzakelijkheidstoets”); en
  3. De afweging van deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen doorweegt in het voordeel van de verwerkingsverantwoordelijke (= de “afwegingstoets”).

Volgens de Geschillenkamer is aan de doeltoets voldaan omdat het belang dat de verweerder als verwerkingsverantwoordelijke nastreefde overeenkomstig overweging 47 GDPR als een gerechtvaardigd belang kan worden beschouwd. Het doeleinde dat erin bestaat uitvoering te geven aan het vonnis van de Sportrechtbank kan worden aangemerkt met oog op een gerechtvaardigd belang.

Ook de aan de noodzakelijkheidstoets is voldaan. Allereerst omwille van het feit dat door de foto te bewerken op zo een manier dat de andere persoon die op de profielfoto stond niet meer zichtbaar was, het beginsel van minimale gegevensverwerking werd gerespecteerd. Daarnaast stelt de Geschillenkamer vast dat de foto van de klager noodzakelijk was voor zijn identificatie om het aanwezigheidsverbod te kunnen handhaven. De wijze waarop de foto ter beschikking werd gesteld, hetzij via bijlage bij de betreffende e-mail, hetzij door rechtstreekse raadpleging via de Facebook pagina van klager, acht de Geschillenkamer irrelevant. Daardoor is ook op dit punt het beginsel van minimale gegevensverwerking gerespecteerd.

Ten slotte is volgens de Geschillenkamer ook voldaan aan de afwegingstoets tussen de belangen van de verwerkingsverantwoordelijke enerzijds en de fundamentele vrijheden en grondrechten van betrokkene anderzijds. De vraag die hiervoor dient gesteld te worden is: “mocht betrokkene op het tijdstip en in het kader van de verzameling van persoonsgegevens redelijkerwijze verwachten dat verwerking met dat doel kan plaatsvinden?”. Doordat de klager zelf de foto heeft gepubliceerd op zodanige wijze dat deze vrij toegankelijk is voor eenieder, is de Geschillenkamer van oordeel dat het binnen de redelijke verwachtingen van de klager valt dat derden zich toegang verschaffen tot de publiek gedeelde informatie en deze gebruiker. Doordat de Sportrechtbank naast het aanwezigheidsverbod ook stipuleert dat de griffier van het secretariaat van verweerder 1 wordt verzocht om dit verbod ter kennis te brengen van alle organisatoren van wedstrijden op Belgisch grondgebied, stelt de Geschillenkamer dat verweerders zich terecht beroepen op art. 6.1 f) GDPR.

Uitspraak:

Op basis van deze redenen en de informatie die de Geschillenkamer ter beschikking had, werd besloten de voorliggende klacht te seponeren.

Onze mening:

Doordat verweerders het beginsel van minimale gegevensverwerking hebben gerespecteerd door de foto op zo een manier te bewerken dat de andere persoon niet meer zichtbaar was én dat het vonnis van de Sportrechtbank verzocht  aan de griffier van het secretariaat van verweerder om het aanwezigheidsverbod ter kennis te stellen van alle organisatoren van wedstrijden op Belgisch grondgebied, werden ook volgens ons voldoende maatregelen genomen om te stellen dat er geen schending heeft plaatsgevonden van de GDPR regelgeving.

Deze klacht werd terecht geseponeerd.

 Definitief?

Ja.

Beslissing

 

 

Beslissing 35/2020

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja

 

 

 


Beslissing

Beslissing 64/2020

 

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

 

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

Opfrissing en blik vooruit: Onrechtmatige bedingen

Wij stonden reeds eerder stil omtrent het feit dat sinds1 december 2020 de B2B-wet van 4 april 2019 er voor zorgde dat er aandacht wordt besteed aan de wanverhoudingen die tussen contracterende ondernemingen (net zoals in het consumentenrecht) kunnen bestaan en dat  hiervoor onder meer bepalingen omtrent de onrechtmatige bedingen werden ingevoerd die niet of soms onder strikte voorwaarden mogelijk zijn in desbetreffende overeenkomsten.[1] Het nieuw verbintenissenrecht poogt dit nu uit te breiden naar het gemeenrecht en dus ook naar de C2C overeenkomsten. We brengen eerst kort de belangrijkste principes van de B2B wet in herinnering en kijken vervolgens naar het nieuw verbintenissenrecht en de mogelijke impact hiervan.

De B2B-Wet

Toepassingsgebied

De bepalingen van de B2B-Wet zijn van toepassing op ondernemingen conform de definitie van boek VI van het Wetboek Economisch Recht (hierna: WER).[2] Het nieuwe ondernemersbegrip wordt wat dit boek betreft dus niet gehanteerd en de voorwaarde van “het duurzaam nastreven van een economisch doel” wordt nog wel vereist. Een merkwaardig gevolg hiervan is dat de lokale vzw meer dan waarschijnlijk niet onder de bescherming van de B2B-wet zal vallen.[3]

Met betrekking tot de contractuele bedingen in relaties tussen ondernemingen die onder deze definitie vallen zal de B2B-Wet die in werking trad op 1 december 2020 van toepassing zijn voor zover het overeenkomsten betreft die gesloten, hernieuwd of gewijzigd zijn na 1 december 2020.


Onrechtmatige bedingen

Zeer gelijkend op het consumentenrecht heeft de B2B wet gepoogd om een hoofd te bieden aan bedingen die zorgen voor een kennelijk onevenwicht tussen de rechten en plichten van partijen. Concreet werd getracht dit tegen te gaan door enerzijds een algemene toetsingsnorm in te voeren en anderzijds te werken met de zogenaamde specifieke “grijze” en “zwarte” lijst van onrechtmatige bedingen.

Algemene toetsingsnorm

Artikel VI.91/3, §1 WER neemt deze algemene toetsingsnorm als volgt op:

 “Voor de toepassing van deze titel is elk beding van een overeenkomst gesloten tussen ondernemingen dat, alleen of in samenhang met één of meer andere bedingen, een kennelijk onevenwicht schept tussen de rechten en plichten van de partijen, onrechtmatig.”

Het “onevenwicht” moet inzake gelezen worden als een “juridisch onevenwicht”. Het economisch evenwicht, namelijk wat partijen overeenkomen tegen welke prijs is nog steeds afhankelijk van de vrije markt waarbij o.a. de handelsgebruiken een belangrijk criterium zijn. Paragraaf 2 van voormeld artikel verduidelijkt dat dit kennelijk onevenwicht steeds concreet in het kader van alle omstandigheden rond de overeenkomst beoordeeld dient te worden. Tot slot wordt in het laatste lid duidelijk gemaakt dat de kernbedingen (bv. voorwerp en prijs), voor zover ze duidelijk en begrijpelijk zijn, niet aan deze toetsingsnorm onderworpen worden.[4]


Zwarte lijst

Artikel VI.91/4 behelst vier bedingen die dermate afwijken van de basisbeginselen van het burgerlijk recht en zorgen voor een ernstig onevenwicht tussen de rechten en plichten van partijen, dat ze als absoluut verboden bedingen beschouwd worden waarbij dan ook een zeer strikte interpretatie hiervan noodzakelijk is.

  1. Zuiver potestatieve bedingen.
  2. Bedingen die het recht geven eenzijdig de overeenkomst te interpreteren
  3. Bedingen die elk middel van verhaal uitsluiten (“Eigenrichtingsclausules”)
  4. Bedingen die op onweerlegbare wijze de kennisname of aanvaarding van de andere partij vast stellen[5]

Grijze lijst

Artikel VI.91/5 behelst op zijn beurt de bedingen die vermoed worden onrechtmatig te zijn behoudens bewijs van het tegendeel en luidt als volgt:


“Worden behoudens bewijs van het tegendeel vermoed onrechtmatig te zijn de bedingen die ertoe strekken:

  1. de onderneming het recht te verlenen om zonder geldige reden de prijs, de kenmerken of de voorwaarden van de overeenkomst eenzijdig te wijzigen;
  2. een overeenkomst van bepaalde duur stilzwijgend te verlengen of te vernieuwen, zonder opgave van een redelijke opzegtermijn;
  3. zonder tegenprestatie het economische risico op een partij leggen indien die normaliter op de andere onderneming of op een andere partij bij de overeenkomst rust;
  4. op ongepaste wijze de wettelijke rechten van een partij uit te sluiten of te beperken in geval van volledige of gedeelde wanprestatie of gebrekkige uitvoering door de andere onderneming van een van haar contractuele verplichtingen;
  5. onverminderd artikel 1184 van het Burgerlijk Wetboek, de partijen te verbinden zonder opgave van een redelijke opzegtermijn;
  6. de onderneming te ontslaan van haar aansprakelijkheid voor haar opzet, haar zware fout of voor die van haar aangestelden of, behoudens overmacht, voor het niet-uitvoeren van de essentiële verbintenissen die het voorwerp van de overeenkomst uitmaken;
  7. de bewijsmiddelen waarop de andere partij een beroep kan doen te beperken;
  8. in geval van niet-uitvoering of vertraging in de uitvoering van de verbintenissen van de andere partij, schadevergoedingsbedragen vast te stellen die kennelijk niet evenredig zijn aan het nadeel dat door de onderneming kan worden geleden.”

Concreet betekent dit artikel een omkering van de bewijslast naar de sterke(re) contractspartij.

Het principe van deze lijst is tamelijk eenvoudig te duiden aan de hand van een zeer actueel punt. De eerste vorm van onrechtmatig beding in de grijze lijst behelst het beding waarbij het recht wordt verleend om zonder geldige reden de prijs, kenmerken of voorwaarden van de overeenkomst eenzijdig te wijzigen. Aldus zal dit beding onrechtmatig zijn en als nietig beschouwd worden, tenzij de onderneming kan aantonen dat er wél een geldige reden is en er dus geen kennelijk onevenwicht wordt geschept tussen partijen. Als we dit toepassen op de prijswijzigingsbedingen, welke zeer actueel zijn gelet op o.m. de coronapandemie en heden de zeer jammerlijke toestand in Oekraïne, dan moeten dus geldige/objectieve redenen aan de basis liggen voor dergelijk beding. In principe zal een prijswijzigingsbeding dat dit afhankelijk stelt van bv. een wijzigingen in de prijs van grondstoffen, toeleveranciers, regionale taksen of heffingen,… een voldoende objectieve verantwoording inhouden waardoor dergelijk beding in principe niet onrechtmatig zal zijn, wat toe te juichen is. Bij het opnemen van dergelijk beding doet de onderneming er dus goed aan om zo concreet en duidelijk mogelijk de criteria voor wijzigingen te verwoorden. Indien men een beding wenst op te nemen dat normaliter onder de grijze lijst valt kunnen partijen hieromtrent dus hun contractvrijheid laten prevaleren indien ze aantonen dat ze werkelijk wilden komen tot deze regeling omwille van gerechtvaardigde economische motieven.[6]


Sanctie


Artikel 91/6 luidt als volgt: “Elk onrechtmatig beding is verboden en nietig. De overeenkomst blijft bindend voor de partijen indien ze zonder de onrechtmatige bedingen kan blijven voortbestaan.”

In principe is dus enkel het onrechtmatig beding zelf nietig en kan de overeenkomst zonder dit beding verder blijven bestaan. Enkel indien desbetreffend beding zo cruciaal zou zijn dat de volledige overeenkomst aangetast wordt, zal de volledige overeenkomst nietig zijn.[7]

Nieuw verbintenissenrecht

Toepassingsgebied

De wetgever is (misschien wel) terecht van oordeel dat het problematisch is dat sinds de B2B-Wet onrechtmatige bedingen verboden zijn in zowel de B2B als B2C relaties, maar dat deze nog wel doorgang kunnen vinden in  C2C relaties. Hierin wordt een mogelijke strijdigheid gezien met het grondwettelijk gelijkheidsbeginsel.

Het nieuw verbintenissenrecht voorziet in boek 5 van het Burgerlijk Wetboek de toepassing van de onrechtmatige bedingen-leer op zowel B2B, als B2C, als C2C relaties.[8] Dit is in werking getreden op 1 januari 2023 en zal dus van toepassing zijn op overeenkomsten die vanaf deze datum worden gesloten.

Voorts luidt artikel 5:52 van het Burgerlijk Wetboek:

“Elk beding waarover niet kan worden onderhandeld en dat een kennelijk onevenwicht schept tussen de rechten en plichten van partijen is onrechtmatig en wordt voor niet geschreven gehouden.

Bij de beoordeling van het kennelijk onevenwicht wordt rekening gehouden met alle omstandigheden rond het sluiten van het contract.

Het eerste lid is noch van toepassing op de bepaling van de hoofdprestaties van het contract, noch op de gelijkwaardigheid van deze hoofdprestaties.”

In de oorspronkelijke versie van dit artikel in het Wetsontwerp, werd de werking hiervan beperkt tot toetredingscontracten. Inmiddels werd door de wetgever hiervan afgestapt. Hierbij werd verduidelijkt dat de voorgaande versie een te nauwe beperking uitmaakte van de werking van het verbod, welke volgens de wetgever een aanvullende werking dient te hebben op de bestaande specifieke regelingen die reeds bestaan in overeenkomsten tussen ondernemingen en consumenten en tussen ondernemingen onderling.[9]

In artikel 5:13 van het Burgerlijk Wetboek wordt verduidelijkt dat dit de toepassing van specifieke wetgeving onverlet laat aangezien dit zogenaamde een lex generalis betreft. Wat betreft de B2B en B2C blijft de bestaande wetgeving dus onverwijld van toepassing en zullen deze bepalingen van het Burgerlijk Wetboek hoogstens een aanvullende werking kunnen hebben.

Algemene toetsingsnorm zonder lijsten

Het is duidelijk dat het de wetgever hiermee hetzelfde tracht te bereiken als de B2B-Wet, namelijk het verbieden van bedingen die een kennelijk (juridisch) onevenwicht scheppen tussen de rechten en plichten van partijen bij een overeenkomst. In de voorbereidende werken van het Wetsvoorstel lezen we dat dit betracht wordt zonder het principe van de contractsvrijheid, noch de rechtszekerheid aan te tasten. Vrij onderhandelde contractvoorwaarden zouden m.a.w. niet aangetast moeten worden door de leer van onrechtmatige bedingen. Mede hierom worden slechts “kennelijke” onevenwichten geviseerd, waardoor de rechter slechts een marginale toetsing kan toepassen én waarbij steeds naar de overeenkomst in zijn geheel moet worden gekeken. [10] Hierin scheppen de bepalingen van het Burgerlijk Wetboek meer duidelijkheid (en rechtszekerheid) dan de B2B-Wet aangezien deze laatste onderhandelde overeenkomsten niet van haar toepassing uitsluit. [11]

Net zoals in de B2B-Wet zal dan ook niet geraakt kunnen worden door de rechter aan de “hoofdprestaties van het contract, noch op de gelijkwaardigheid van deze hoofdprestaties”. Er zal dus bijvoorbeeld geen afbreuk gedaan kunnen worden aan de prijs die overeengekomen is.[12]

Sanctie

Ook in het nieuw verbintenissenrecht zoals vervat in Boek 5 van Burgerlijk Wetboek zal een onrechtmatig beding geen uitwerking hebben door voor niet geschreven beschouwd te worden én zal dit de uitwerking van de rest van de overeenkomst ongemoeid laten indien deze kan voortbestaan zonder het nietige beding.[13]

Besluit

Het blijkt duidelijk dat de Wetgever een mogelijke ongelijkheid met betrekking tot de toepassing in de leer van onrechtmatige bedingen heeft willen oplossen door dit te gaan invoeren in het Burgerlijk Wetboek in een algemene bepaling die op alle verhoudingen van toepassing is, zonder afbreuk te doen aan reeds bestaande meer specifieke regelgeving.

Het resultaat hiervan is dat er drie mogelijke bronnen van wetgeving zijn betreffende de onrechtmatige bedingen, wat bezwaarlijk de overzichtelijkheid ten goede komt. Daarnaast blijkt dat hoewel de bedoeling hetzelfde is, een en ander niet helemaal identiek is.

Men kan én men stelt zich er vragen bij of wat betreft de verhouding met de B2B-wetgeving de wisselwerking niet nodeloos complex wordt en mogelijks kan volstaan worden met de bepalingen in het Burgerlijk Wetboek. Voornaamste punt van kritiek is dat de lijsten, en met name de grijze lijst, in de B2B-Wet niet de beoogde houvast en rechtszekerheid biedt door de eerder vage formulering die vatbaar is voor interpretatie.[14]

De wetgever lijkt alleszins zelf van oordeel dat de bepalingen in het Burgerlijk Wetboek een meer adequate uitwerking van de leer van onrechtmatige bedingen uitmaakt dan de B2B-Wet:

“In die context beoogt de voorgestelde tekst in het Belgische contractenrecht een algemene bepaling in te voeren om onrechtmatige bedingen te verbieden en er tegelijk over te waken dat de gevolgen ervan beperkt worden overeenkomstig de beginselen van contractsvrijheid, proportionaliteit en rechtszekerheid. Het zal aan de wetgever zijn om, in het licht van de voorziene evaluatie van de wet van 4 april 2019 en de beoordeling ervan door de doctrine, te beslissen of deze wet moet worden gehandhaafd dan wel of de belangen van de vennootschappen niet al voldoende worden beschermd door de algemene bepaling die in Boek 5 is ingevoegd.”[15]

Hiermee alludeert de wetgever op de vierjaarlijkse evaluatie die door de B2B-Wet werd voorzien in artikel VI.91/7 WER.

Zoals het er nu naar uit ziet lijkt het Burgerlijk Wetboek terug te keren naar de essentie waarbij een balans lijkt gevonden te worden tussen het beschermen tegen en bestrijden van onrechtmatig bedingen zonder de contractsvrijheid van partijen om tot onderhandelende afwijkingen van de “standaard-balans” van rechten en plichten tussen partijen te komen al te zeer in te beperken.

De voorziene evaluatie van de B2B-Wet lijkt in dat opzicht inderdaad een ideaal moment om een en ander onder de loep te nemen. Tot dit moment zal eenieder zich een weg moeten banen door het veelvoud aan wetgeving omtrent onrechtmatige bedingen.

Wij volgen de evolutie van de recente inwerkingtreding (01.01.2023) van voormelde bepalingen van het Burgerlijk Wetboek.

Alleszins kunnen wij u steeds bijstaan in de toetsing van uw bedingen in uw overeenkomsten (B2C, B2B en C2C) alsook bij de redactie hiervan zodat enige herziening hiervan voor zover als mogelijk en voorzienbaar vermeden kan worden. Daarnaast werden recent de wettelijke interestvoeten bij laattijdige betalingen fors verhoogd, wat eveneens een herziening noodzakelijk maakt. Zie hiervoor ons eerder artikel.[16]

Voor verdere vragen en info kan u ons steeds bereiken per telefoon via 03/216.70.70 en per mail via [email protected]

Bibliografie

 

Parlementaire voorbereiding:

 

  • St. Kamer 2018-2019, nr. 54-1451/3
  • St. Kamer 2020-2021, nr. 55-1806/001
  • St. Kamer 2021-2022, nr. 55-1806/004
  • St. Kamer 2021-2022, nr. 55-1806/010

Rechtsleer

  • HEEB en M. DE MAN, “De b2b -wet van 4 april 2019 in vogelvlucht” in S. DE REY, N. VAN DAMME en T. GLADINEZ (eds.) Grenzen voorbij (liber discipulorum Bernard Tilleman, Antwerpen, Intersentia, 593-618.
  • STRAETMANS en B. PONET, Actualia ondernemingsrecht. Het nieuwe ondernemersbegrip en de B2B-wetgeving toegelicht, Antwerpen, Intersentia.
  • ROOSES, “Onrechtmatige bedingen B2B revisited in het licht van het wetsontwerp nieuw verbintenissenrecht: back to basics?”, RW 2021-22, nr. 23, 891-899.
  • CLAEYS en T. TANGHE, “Bescherming van ondernemingen tegen onrechtmatige bedingen van andere ondernemingen door de b2b-wet van 4 april 2019”, Ius & actores 2020, N°1, 159-205
  • VANDEN BERGHE, “Contractuele clausules onder de loep – Nieuw Burgerlijk Wetboek of b2b wet?”, IN FORO 01/2022, nr. 74, 17-22.

[1] https://studio-legale.com/onrechtmatige-bedingen-in-een-b2b-contract/

[2] Art. I.8, 39° WER: iedere natuurlijke persoon of rechtspersoon die op duurzame wijze een economisch doel nastreeft, alsmede zijn verenigingen

[3] C. HEEB en M. DE MAN, “De b2b -wet van 4 april 2019 in vogelvlucht” in S. DE REY, N. VAN DAMME en T. GLADINEZ (eds.) Grenzen voorbij (liber discipulorum Bernard Tilleman, Antwerpen,  Intersentia, (593) 597.

[4] Parl. St. Kamer 2018-2019, nr. 54-1451/3, 32-33; C. HEEB en M. DE MAN, “De b2b -wet van 4 april 2019 in vogelvlucht” in S. DE REY, N. VAN DAMME en T. GLADINEZ (eds.) Grenzen voorbij (liber discipulorum Bernard Tilleman, Antwerpen,  Intersentia, (593) 601; G. STRAETMANS en B. PONET, Actualia ondernemingsrecht. Het nieuwe ondernemersbegrip en de B2B-wetgeving toegelicht, Antwerpen, Intersentia, 69.

[5] Parl. St. Kamer 2018-2019, nr. 54-1451/3, 36-38.

[6] Parl. St. Kamer 2018-2019, nr. 54-1451/3, 39-44; C. HEEB en M. DE MAN, “De b2b -wet van 4 april 2019 in vogelvlucht” in S. DE REY, N. VAN DAMME en T. GLADINEZ (eds.) Grenzen voorbij (liber discipulorum Bernard Tilleman, Antwerpen,  Intersentia, (593) 604,; G. STRAETMANS en B. PONET, Actualia ondernemingsrecht. Het nieuwe ondernemersbegrip en de B2B-wetgeving toegelicht, Antwerpen, Intersentia, 73.

[7] Parl. St. Kamer 2018-2019, nr. 54-1451/3, 45-46.

[8] Parl. St. Kamer 2020-2021, nr. 55-1806/001, 55-60; D. ROOSES, “Onrechtmatige bedingen B2B revisited in het licht van het wetsontwerp nieuw verbintenissenrecht: back to basics?”, RW 2021-22, nr. 23 (891) 892-895.

[9] Parl. St. Kamer 2021-2022, nr. 55-1806/004

[10] Parl. St. Kamer 2021-2022, nr. 55-1806/001, 58-59; Parl. St. Kamer 2021-2022  nr. 55-1806/004

[11] O. VANDEN BERGHE, “Contractuele clausules onder de loep – Nieuw Burgerlijk Wetboek of b2b wet?”, IN FORO 01/2022, nr. 74, 17-18.

[12] Tekst aangenomen in tweede lezing, Parl. St. Kamer 2021-2022, nr. 55-1806/010 (06.04.2022); O. VANDEN BERGHE, “Contractuele clausules onder de loep – Nieuw Burgerlijk Wetboek of b2b wet?”, IN FORO 01/2022, nr. 74, 17-18.

[13] Parl. St. Kamer 2021-2022, nr. 55-1806/001, 59-60; ; D. ROOSES, “Onrechtmatige bedingen B2B revisited in het licht van het wetsontwerp nieuw verbintenissenrecht: back to basics?”, RW 2021-22, nr. 23 (891) 892-898;

[14] D. ROOSES, “Onrechtmatige bedingen B2B revisited in het licht van het wetsontwerp nieuw verbintenissenrecht: back to basics?”, RW 2021-22, nr. 23 (891) 896-897; I. CLAEYS en T. TANGHE, “Bescherming van ondernemingen tegen onrechtmatige bedingen van andere ondernemingen door de b2b-wet van 4 april 2019”, Ius & actores 2020, N°1, 172, 203-205.

[15] Parl. St. Kamer 2021-2022, nr. 55-1806/001, 56-57

[16] https://studio-legale.com/newsflash-wettelijke-interestvoeten-stijgen-fors/

De wettelijke interestvoeten stijgen fors

Ook de Belgische wettelijke interestvoeten bij laattijdige betalingen ontsnappen niet aan het huidige economische en financiële klimaat en ondergaan een forse stijging vanaf 1 januari 2023 zowel wat betreft de gewone wettelijke interestvoet als deze van toepassing op handelstransacties.

De FOD Financiën heeft zopas de wettelijke interestvoet bij laattijdige betaling die van toepassing is vanaf 1 januari 2023 meegedeeld.[1] U vindt de informatiefiche hier.

De gewone wettelijke interest stijgt van 1,50 % naar maar liefst 5,25% vanaf 1 januari 2023.

De interestvoet voor handelstransacties stijgt dan weer van 8% naar 10,50 %. De toepassing van deze interestvoet is beperkt tot de “handelstransacties” die conform de wet betalingsachterstand[2] gedefinieerd worden als: “Een transactie tussen ondernemingen of tussen ondernemingen en overheidsinstanties die leidt tot het leveren van goederen, het verrichten van diensten of het ontwerp en de uitvoering van openbare werken en bouw- en civieltechnische werken tegen vergoeding.”

Als schuldenaar zal u dus meer dan ooit uw betalingstermijnen in acht moeten nemen aangezien de interest die steeds wettelijk als vergoeding voor laattijdige betaling is voorzien, fors gestegen is, losstaand van wat mogelijks contractueel voorzien is.

Dit is mogelijks ook een geschikt moment om als onderneming uw algemene voorwaarden wat betreft de bepalingen omtrent laattijdige betalingen te laten nakijken. Daarnaast zijn er belangrijke wettelijke wijzigingen gebeurd die eveneens bij dergelijk nazicht in acht genomen moeten worden inzake onrechtmatige bedingen. Zie ons eerder artikel hieromtrent op Jubel[3].

Voor verdere vragen hieromtrent kan u steeds contact met ons opnemen via mail: [email protected] of telefonisch: 03/216.70.70.

[1] Zie: https://financien.belgium.be/nl/over_de_fod/structuur_en_diensten/algemene_administraties/thesaurie/rentevoet_betalingsachterstand_handelstransacties

[2] Wet van 2 augustus 2020 betreffende de bestrijding van de betalingsachterstand bij handelstransacties.

[3] https://www.jubel.be/onrechtmatige-bedingen/

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

 

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!