Categorie: STUDIO GDPR

In onze vorige bijdrage[1] kon u al lezen dat sommige ondernemingen in bepaalde sectoren moeilijkheden ondervinden om een bankrekening te openen. Een bankrekening is echter noodzakelijk om behoorlijk deel te kunnen nemen aan het economisch rechtsverkeer. Via de wet van 8 november 2020 voerde de wetgever dan ook een basisbankdienst in voor ondernemingen, maar de inwerkingtreding liet lang op zich wachten met een veroordeling[2] van de Belgische Staat tot gevolg. Intussen werden een aantal aanpassingen verricht aan de wet van 8 november 2020 en werd de nieuwe wet, samen met haar uitvoeringsbesluit, gepubliceerd in het Belgisch Staatsblad op 16 januari 2023.

Uit de praktijk bleek dat verschillende ondernemingen in bepaalde sectoren moeilijkheden ondervonden om een bankrekening te verkrijgen bij bepaalde kredietinstellingen. Zo weigerde een bank onlangs nog een lening toe te kennen aan een kmo die actief is in de tabakshandel (die al tientallen jaren cliënt is bij die bank) omdat de bank besloten had tabaksondernemingen uit te sluiten van alle financieringsmogelijkheden.[3] Om die uitsluiting van bankdiensten tegen te gaan, werd de basisbankdienst voor ondernemingen ingevoerd. Die legt de banken een gegarandeerde dienstverlening op.

Maar de inwerkingtreding liet zeer lang op zich wachten waardoor de Belgische Staat op 6 december 2021 werd veroordeeld door de Nederlandstalige rechtbank van eerste aanleg Brussel tot een schadevergoeding van € 2.500,00. Zelfs uit een advies van de Raad van State en een advies van de Gegevensbeschermingsautoriteit bleek dat de wet van 8 november 2020 in zijn huidige versie niet kon worden toegepast, omdat hij niet in overeenstemming was met de Algemene Verordening Gegevensbescherming (AVG).  Er wachtte de wetgever een hoop werk om snel een oplossing te vinden zodat de Belgische Staat meer veroordelingen zou kunnen vermijden.

Deze oplossing vond de wetgever met de wet van 25 september 2022 houdende diverse bepalingen inzake economie[4] en haar uitvoeringsbesluit van 16 december 2022[5]. Zowel de nieuwe wet als het uitvoeringsbesluit werden op 16 januari 2023 gepubliceerd in het Belgisch Staatsblad, waardoor de basisbankdienst nu realiteit wordt voor de ondernemingen.

Concreet is de basisbankdienst het recht op een minimale dienstverlening: toegang tot een betaalrekening en de daaraan verbonden meest essentiële verrichtingen. De basisbankdienst legt de banken dus een gegarandeerde dienstverlening op. Elke in België gevestigde onderneming die bij de Kruispuntbank van Ondernemingen is ingeschreven, zal recht hebben op een basisdienst als eerder drie banken weigerden om haar een minimale dienstverlening aan te bieden.

De basisbankdienst is met andere woorden een zichtrekening met een debetkaart waarmee een onderneming onder meer de volgende verrichtingen kan doen:

  • geld storten;
  • geld afhalen;
  • overschrijvingen doen;
  • doorlopende betalingsopdrachten verrichten;
  • domiciliëringen uitvoeren;
  • betalen met een betaalkaart of soortgelijk middel;

Tot op heden zullen zes banken, namelijk BNP Paribas Fortis, KBC, Belfius, ING België, Argenta en Axa Bank deze dienst aanbieden.

Procedure voor de basisbankdienstkamer

Na de indiening van het aanvraagformulier door de betrokken onderneming, zal de basisbankdienstkamer nakijken of alle documenten aanwezig zijn om de aanvraag ontvankelijk te verklaren. Vervolgens zal zij het dossier voorleggen aan de Cel voor financiële informatieverwerking voor een verplicht advies. Als dat advies verkregen is, heeft de basisbankdienstkamer twee maanden om een beslissing te nemen over het aanwijzen van een basisbankdienst-aanbieder. Dan heeft de basisbankdienstaanbieder 10 werkdagen om de basisbankdienst te verlenen.

De basisbankdienstaanbieder is echter niet verplicht om de basisbankdienst aan te bieden. Zij mag deze weigeren als:

  • de onderneming al over een basisbankdienst of over een andere zichtrekening beschikt;
  • de aanvraag voor een basisbankdienst een schending uitmaakt van de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten;
  • een lid van het wettelijke bestuursorgaan van de betrokken onderneming of de persoon belast met de effectieve leiding of een lid van het directiecomité is veroordeeld voor oplichting, misbruik van vertrouwen, bedrieglijke bankbreuk of valsheid in geschrifte.

Een basisbankdienst kan ten slotte ook steeds worden opgezegd indien:

  • een lid van het wettelijke bestuursorgaan van de betrokken onderneming of de persoon belast met de effectieve leiding of een lid van het directiecomité is veroordeeld voor oplichting, misbruik van vertrouwen, bedrieglijke bankbreuk of valsheid in geschrifte.

  • de onderneming gedurende meer dan 12 opeenvolgende maanden geen betalingstransactie heeft verricht op die betaalrekening;

  • de onderneming onjuiste informatie heeft verstrekt om de basisbankdienst te verkrijgen en als de betrokken onderneming wel juiste informatie zou hebben verstrekt, zou de bank die dienst hebben geweigerd.

  • de onderneming heeft in België of in een andere lidstaat een betaalrekening waarmee gebruik kan worden gemaakt van bankdiensten;

  • de verlening van de basisbankdienst een schending inhoudt van de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten.

 

Besluit

Met de wet van 25 september 2022[6] en het uitvoeringsbesluit van 16 december 2022[7] is de wetgever eindelijk tegemoet gekomen aan haar verplichtingen om een basisbankdienst te voorzien voor alle ingeschreven Belgische ondernemingen. Zowel de nieuwe wet als het uitvoeringsbesluit werden op 16 januari 2023 gepubliceerd in het Belgisch Staatsblad, waardoor de basisbankdienst nu realiteit wordt voor de ondernemingen. Een oplossing waar verschillende ondernemingen in geplaagde sectoren al zo lang naar snakten…

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via joost.peeters@studio-legale.be  of 03 216 70 70.

 

[1] https://www.jubel.be/basisbankdienst-voor-alle-ondernemingen/ ; https://studio-legale.com/een-basisbankdienst-voor-alle-ondernemingen-of-toch-niet/

[2] https://www.tijd.be/politiek-economie/belgie/algemeen/regering-veroordeeld-omdat-basisbankdienst-voor-bedrijven-uitblijft/10353974.html ; De Juristenkrant, “Rechtbank veroordeelt België voor niet-uitvoeren basisbankdienstenwet”, nr. 441 – 12 januari 2022;  Ook de Ondernemingsrechtbank van Antwerpen besloot in kort geding dat ING België de bankrekeningen niet mocht blokkeren van een groep vastgoedinvesteerders die kamers verhuren aan sekswerkers in het Schipperskwartier. Volgens ING België zou dat niet stroken met de algemene voorwaarden van de bank. Zie hiervoor: https://www.tijd.be/ondernemen/banken/ing-kan-huisbazen-schipperskwartier-niet-van-zich-afschudden/10358599.html.

[3]https://trendstop.knack.be/nl/ontop/ondernemen/basisbankdienst-voor-ondernemingen-1021-1513022.aspx ; https://www.dekamer.be/QRVA/pdf/55/55K0090.pdf p.177-179.

[4]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022033978%0D%0A

[5]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022043113%0D%0A

[6]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022033978%0D%0A

[7]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022043113%0D%0A

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja


 

 


Beslissing

Beslissing 64/2020

Bent u in regel?

Vanaf heden is de klokkenluidersregeling van kracht!

In organisaties, zowel bij overheden als bij ondernemingen, durven er al eens wantoestanden te ontstaan. Dit kan betrekking hebben op alle mogelijke aspecten binnen dergelijke organisaties. In het verleden durfden de meeste mensen uit deze organisaties geen melding te maken van dergelijke wantoestanden, aangezien ze vreesden voor represailles. Daarom heeft de Europese Unie op 26 november 2019 een richtlijn[1] uitgevaardigd die deze mensen bescherming moet bieden. Deze richtlijn diende omgezet te worden door de Belgische wetgever vóór 17 december 2021.[2]

De plenaire vergadering van de Kamer zette echter pas op 24 november 2022 het licht op groen voor de wet op de regelgeving voor klokkenluiders in de private en publieke sector. De Richtlijn is intussen geïmplementeerd door de wet van 28 november 2022 tot omzetting van de EU-Klokkenluidersrichtlijn voor de private sector.[3] De wet treedt in werking op 15 februari 2023. Via de omzettingswet van 8 december 2022 werd de Richtlijn ook geïmplementeerd voor de federale publieke sector.[4]

Wat?

De richtlijn, en dus ook de wet, voorziet in de mogelijkheid voor werknemers om, eventueel anoniem, melding te maken van wantoestanden binnen ondernemingen.  De EU nam de richtlijn in 2019 aan als reactie op enkele ophefmakende schandalen die aan het licht waren gekomen door klokkenluiders, zoals Luxleaks en de Panama Papers. Door deze schandalen werd ook duidelijk hoe precair de situatie is van personen die ‘de klok luiden’ en de gebrekkige bescherming die zij genieten.

De wet voorziet dat er een meldingskanaal moet worden voorzien voor inbreuken met betrekking tot volgende zaken:[5]

  • Overheidsopdrachten;
  • Financiële diensten, producten en markten en voorkoming van het witwassen van geld en de financiering van terrorisme;
  • Vervoersveiligheid;
  • productveiligheid en – conformiteit;
  • Milieubescherming;
  • Stralings- en nucleaire veiligheid;
  • Gezondheid en welzijn van dieren;
  • Volksgezondheid;
  • Voedsel- en diervoederveiligheid;
  • Consumentenbescherming;
  • Bescherming van de persoonlijke levenssfeer en persoonsgegevens;
  • Beveiliging van netwerken en informatiesystemen;
  • Bestrijding van belastingfraude en sociale fraude.

Voor wie?

In eerste instantie geldt de verplichting om een intern meldingskanaal op te zetten in de private sector slechts voor bedrijven vanaf 250 werknemers. De omzetting van de richtlijn voor bedrijven met 50 tot 249 werknemers moet pas op 17 december 2023 helemaal op punt staan. Vanaf dat moment zullen zij dus ook hun interne meldkanalen opgesteld, geïmplementeerd en operatief moeten hebben.

Door het invoeren van een intern meldingskanaal moet een klokkenluider de mogelijkheid worden geboden om bij een onpartijdige en onafhankelijke persoon of afdeling binnen zijn organisatie op vertrouwelijke wijze vermeende inbreuken te kunnen aankaarten. Zo’n meldingskanaal kan onder meer de vorm aannemen van een e-mailadres of een app.

Niet alleen werknemers kunnen gebruik maken van dergelijk meldingskanaal. Ook voormalige werknemers, vrijwilligers, stagiairs, aandeelhouders, bestuurders, leveranciers kunnen een melding doen via het intern meldingskanaal. Ook ambtenaren in de publieke sector kunnen hiervan gebruik maken. Het gaat erom dat ze de gemelde informatie vernamen in een werkgerelateerde context.[6]

Naast de interne melding is er ook een mogelijkheid om een vermeende inbreuk extern te melden of indien er een onmiddellijk gevaar voor het openbaar belang is of een risico dat er bewijsmaterieel wordt vernietigd, dan kan de melding ook publiek gebeuren via de pers.[7] De interne melding geniet evenwel de voorkeur.[8]

Bescherming klokkenluider?

  1. Bescherming persoonsgegevens melder

De lidstaten moeten ervoor zorgen dat de identiteit van de klokkenluider vertrouwelijk blijft. Uitzondering hierop is het recht op een eerlijk proces van de persoon waarover de melding wordt gedaan. Men zal in dat geval de klokkenluider vooraf verwittigen dat zijn identiteit zal worden onthuld.[9]

    2. Melder mag geen nadeel ondervinden van de melding d.m.v. represailles

De richtlijn wenst klokkenluiders te beschermen tegen elke vorm van represailles.[10] Indien de melder de procedures heeft gevolgd en op het moment van de melding er redelijkerwijze vanuit kon gaan dat de gemelde informatie juist was op het moment van de melding, wordt hij beschermd tegen mogelijke represailles vanuit het bedrijf.

De bescherming creëert een wettelijk, maar weerlegbaar vermoeden dat een represaillemaatregel (bijvoorbeeld het niet verlengen van een contract, ontslag, pesterijen, overplaatsing,…) gelinkt is aan de melding. Gevolg van deze bescherming is dat de melder in beginsel niet aansprakelijk gesteld kan worden voor de gevolgen zijn melding. Wordt een melder toch slachtoffer van een represaille dan kan hij een schadevergoeding vorderen overeenkomstig het contractuele of buitencontractuele aansprakelijkheidsrecht. Deze schadevergoeding wordt tussen 18 en 26 weken loon vastgelegd. Indien het slachtoffer van de represaille geen loontrekkende is wordt de schadevergoeding vastgesteld op de werkelijk geleden schade.[11]

GDPR van toepassing?

Het zal u niet verbazen dat de General Data Protection Regulation (hierna: GDPR[12])  ook van toepassing is op de klokkenluidersregeling.[13] De privacywetgeving werd in 2018 ingevoerd om de privacy van burgers van de EU te verzekeren. Het spreekt voor zich dat er zeer bewust moet worden omgesprongen met de gegevens die verzameld en verwerkt worden in het kader van een klokkenluidersregeling aangezien dit zeer gevoelige informatie kan bevatten, niet alleen over de klokkenluider zelf, maar ook over het bedrijf of overheid die een vermeende inbreuk zou hebben gepleegd.

Zo bepaalt de richtlijn onder meer dat er van elke ontvangen melding een register moet worden bijgehouden en dat de meldingen niet langer dan noodzakelijk mogen worden opgeslagen.[14]

Voorbeelden in België

  • Het incident in 2021 met burgemeester Veerle Heeren van Sint-Truiden in volle coronatijd. Door toedoen van een klokkenluider kwam het nieuws naar boven dat zij zichzelf, familieleden, buren en medewerkers voorrang had verleend bij de vaccinatiecampagne, terwijl in die periode de 85-plussers aan de beurt waren om ingeënt te worden.
  • De interne audit die bij Bpost werd doorgevoerd naar mogelijke onregelmatigheden bij de aanbesteding van de bedeling van kranten. Aanleiding hiervan was een tip van een klokkenluider.

Vlaamse regelgeving

Ook Vlaanderen heeft intussen werk gemaakt van een nieuw klokkenluidersbeleid. Met het Decreet van 18 november 2022[15] heeft Vlaanderen de Richtlijn eindelijk omgezet in Vlaamse regelgeving. Zij treedt in werking op 10 december 2023 en zal een bescherming moeten bieden aan alle klokkenluiders die bij Vlaamse overheidsdiensten werken, zowel interne als externe personeelsleden, alsook zelfstandigen, vrijwilligers of stagiairs.

Besluit

Bent u een bedrijf met meer dan 250 werknemers? Dan moet u sinds vandaag beschikken over een functioneel meldingskanaal waarbij men op vertrouwelijke wijze eventuele vermeende inbreuken op de werkvloer kan aankaarten. Bent u een bedrijf met 50 tot 249 werknemers, dan heeft u nog (even) respijt tot 17 december 2023. Indien u wenst kan u steeds een beroep doen op onze diensten om uw bedrijf in regel te stellen.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via joost.peeters@studio-legale.be of 03 216 70 70.

Juridische bronnen:

  • Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden;
  • 28 NOVEMBER 2022. – Wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector;
  • 8 DECEMBER 2022. – Wet betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie;
  • Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
  • Decreet tot wijziging van het Provincie decreet van 9 december 2005, het decreet van 22 december 2017 over het lokaal bestuur en het Bestuurs decreet van 7 december 2018, wat betreft klokkenluiders;

Media bronnen:

  • PECINOVSKY, “België mist deadline voor omzetting klokkenluidersrichtlijn”, De Juristenkrant, 22 december 2021 ;

[1] Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[2] Zie artikel 26.1 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[3] 28 NOVEMBER 2022. – Wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector

[4] 8 DECEMBER 2022. – Wet betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie

[5] Zie artikel 2.1.a) Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[6] Zie artikel 4.1 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[7]https://www.tijd.be/ondernemen/algemeen/duizenden-bedrijven-moeten-klokkenluiders-stem-geven/10430920.html

[8] Zie artikel 7.1 en 15 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[9] Zie artikel 16 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[10] Zie artikel 19 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[11] Zie artikel 27, §2 van de Wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector

[12] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

[13] Zie artikel 17 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[14] Zie artikel 18 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[15] Decreet tot wijziging van het Provinciedecreet van 9 december 2005, het decreet van 22 december 2017 over het lokaal bestuur en het Bestuursdecreet van 7 december 2018, wat betreft klokkenluiders.

Beslissing ten gronde nr. 34/2020 van 23 juni 2020

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

Beslissing ten gronde nr. 33/2020 van 19 juni 2020

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

De wettelijke interestvoeten stijgen fors

Ook de Belgische wettelijke interestvoeten bij laattijdige betalingen ontsnappen niet aan het huidige economische en financiële klimaat en ondergaan een forse stijging vanaf 1 januari 2023 zowel wat betreft de gewone wettelijke interestvoet als deze van toepassing op handelstransacties.

De FOD Financiën heeft zopas de wettelijke interestvoet bij laattijdige betaling die van toepassing is vanaf 1 januari 2023 meegedeeld.[1] U vindt de informatiefiche hier.

De gewone wettelijke interest stijgt van 1,50 % naar maar liefst 5,25% vanaf 1 januari 2023.

De interestvoet voor handelstransacties stijgt dan weer van 8% naar 10,50 %. De toepassing van deze interestvoet is beperkt tot de “handelstransacties” die conform de wet betalingsachterstand[2] gedefinieerd worden als: “Een transactie tussen ondernemingen of tussen ondernemingen en overheidsinstanties die leidt tot het leveren van goederen, het verrichten van diensten of het ontwerp en de uitvoering van openbare werken en bouw- en civieltechnische werken tegen vergoeding.”

Als schuldenaar zal u dus meer dan ooit uw betalingstermijnen in acht moeten nemen aangezien de interest die steeds wettelijk als vergoeding voor laattijdige betaling is voorzien, fors gestegen is, losstaand van wat mogelijks contractueel voorzien is.

Dit is mogelijks ook een geschikt moment om als onderneming uw algemene voorwaarden wat betreft de bepalingen omtrent laattijdige betalingen te laten nakijken. Daarnaast zijn er belangrijke wettelijke wijzigingen gebeurd die eveneens bij dergelijk nazicht in acht genomen moeten worden inzake onrechtmatige bedingen. Zie ons eerder artikel hieromtrent op Jubel[3].

Voor verdere vragen hieromtrent kan u steeds contact met ons opnemen via mail: joost.peeters@studio-legale.be of telefonisch: 03/216.70.70.

[1] Zie: https://financien.belgium.be/nl/over_de_fod/structuur_en_diensten/algemene_administraties/thesaurie/rentevoet_betalingsachterstand_handelstransacties

[2] Wet van 2 augustus 2020 betreffende de bestrijding van de betalingsachterstand bij handelstransacties.

[3] https://www.jubel.be/onrechtmatige-bedingen/

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

 

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

 

In België bestaat er geen specifieke wet die het opnemen van een gesprek, waaraan men zelf deelneemt, verbiedt.

Men kan dus gesprekken tussen zichzelf en een derde opnemen, zonder hiervoor gestraft te worden.

Uiteraard doet dit heel wat vragen rijzen. Zijn er dan geen andere regels die het opnemen van gesprekken kunnen tegenhouden? Wat met de bescherming van de rechten van de mens?

Zelfs artikel 8.1 EVRM die het recht op privacy waarborgt, belet het louter opnemen van een gesprek door een deelnemer aan dit gesprek zonder medeweten van de andere deelnemers niet.[1]

Wel kan men deze opgenomen (telefoon)gesprekken niet zo maar publiekelijk verspreiden.

Op grond van artikel 314bis, §2, lid 2 van het Strafwetboek wordt gestraft “hij die, met bedrieglijk opzet of met het oogmerk te schaden, gebruik maakt van een wettig gemaakte opname van niet voor publiek toegankelijke communicatie of gegevens van een informaticasysteem.”

Als men de opnames gebruikt voor een andere reden dan voor zichzelf en om een andere reden zoals voorzien in artikel 314bis, §2, tweede lid Sw. – dus bijvoorbeeld met het oog op bewijsvoering, maar evenzeer indien men de opnames van het gesprek onbewust overmaakt aan een derde – kan dit wel een schending van artikel 8 EVRM uitmaken.[2]

Het Hof van Cassatie heeft onder meer in haar arrest van 9 september 2008 bepaalt dat men, in het licht van de specifieke omstandigheden waarin het opnemen van het gesprek en het verspreiden van het opgenomen gesprek geschiedde, een schending van artikel 8 EVRM zal kunnen vaststellen. Hierbij neemt de rechter het criterium van de redelijke privacyverwachting van de deelnemers aan het gesprek en het beoogde doel van de opname in overweging.[3]

Dit is geen gemakkelijke opgave.

De rechter zal rekening houden met onder meer de inhoud van het gesprek, de omstandigheden waaronder het gesprek plaatsvond, de hoedanigheid van de deelnemers aan het gesprek en de hoedanigheid van de bestemmeling van de opname.

Als men de opgenomen gesprekken verspreidt, bestaat er bovendien uiteraard nog kans dat men vervolgd wordt voor andere strafrechtelijke inbreuken, zoals bijvoorbeeld laster en eerroof. Als men de opgenomen gesprekken bewust verspreidt om bijvoorbeeld iemand anders ten schande te maken, is artikel 314bis, §2, tweede lid Sw. van toepassing.

Wenst u zelf een (telefoon)gesprek op te nemen in het licht van de bewijsvoering in een geschil of bent u zelf slachtoffer van een ten onrechte opgenomen gesprek, aarzel dan niet om contact op te nemen met onze specialisten voor verder advies en bijstand. Klik hier om contact met ons kantoor op te nemen.

Nota bene 1: het Hof van Cassatie heeft eveneens toegestaan dat een cliënt een gesprek tussen hem en zijn raadsman kan opnemen zonder dat dit een schending van beroepsgeheim uitmaakt (artikel 458 Sw.).[4] Of we dit een goed idee vinden, is natuurlijk nog iets anders…

Nota bene 2: Het opnemen van telefoongesprekken waaraan men zelf niet deelneemt, is wel opgenomen in het Belgische Strafwetboek en is enkel in het licht van zeer specifieke omstandigheden, zoals bijvoorbeeld in het raam van bijzondere opsporingstechnieken, toegestaan.

Bronnen:

Cass. 9 januari 2001, Arr.Cass. 2001, 26.

Cass. 9 september 2008, Arr.Cass. 2008, 1890.

Cass. 17 november 2015, RW 2017, 380.

R. Verstraeten, Handboek Strafvordering, Antwerpen, Maklu, 2007, 876.

P. Arnou, “Eigen telefoongesprekken opnemen mag van Cassatie”, Juristenkrant 2001, afl. 25, 5.

[1] Cass. 9 januari 2001, Arr.Cass. 2001, 26; Cass. 9 september 2008, Arr.Cass. 2008, 1890.

[2] Cass. 9 september 2008, Arr.Cass. 2008, 1890.

[3]Ibid.

[4]Cass. 17 november 2015, RW 2017, 380.

———————————————————————————————————————–

L’enregistrement des conversations

Il n’existe en Belgique aucune loi spécifique qui interdit d’enregistrer une conversation (par exemple téléphonique) à laquelle on prend part.

On peut donc enregistrer des discussions avec un tiers, sans encourir la moindre peine.

Cela soulève naturellement bien des questions. N’y aurait-il pas d’autres règles qui pourraient empêcher l’enregistrement de ces conversations ? Quid de la protection des Droits de l’Homme ?

Même l’article 8.1 de la Convention Européenne des Droits de l’Homme (CEDH), qui garantit le droit au respect de la vie privée, n’interdit pas le simple enregistrement d’une discussion par une personne qui y participe, à l’insu des autres participants[1].

Il n’est toutefois pas nécessairement permis de rendre publiques ces discussions (téléphoniques ou non).

L’article 314bis, §2, al. 2 du Code pénal punit « quiconque, avec une intention frauduleuse ou à dessein de nuire, utilise un enregistrement, légalement effectué, de communications non accessibles au public ou de données d’un système informatique ».

Si l’on utilise les enregistrements à une autre fin que pour soi-même et même dans d’autres objectifs que ceux mentionnés dans l’article 314bis, §2, al. 2 C.P. – par exemple en vue de s’en servir comme preuve mais égalent si l’on transmet les enregistrements inconsciemment à des tiers – cela peut constituer une violation de l’article 8 de la CEDH[2].

Dans son arrêt du 9 septembre 2008, la Cour de cassation a notamment décidé que, à la lumière des circonstances particulières dans lesquelles se produisent l’enregistrement d’une discussion et le partage de l’enregistrement, l’on pourra considérer qu’il s’agit d’une violation de l’article 8 de la CEDH. Le juge prendra en compte le critère de l’attente raisonnable du respect à la vie privée des participants à la discussion et l’objectif de l’enregistrement[3].

Ce n’est naturellement pas une tâche facile.

Le juge prendra en compte notamment le contenu de la conversation, les circonstances dans lesquelles cette conversation s’est tenue, la qualité des participants, et la qualité du destinataire de l’enregistrement.

En cas de partage d’un enregistrement, existe naturellement également le risque d’être poursuivi pour d’autres infractions pénales, par exemple la calomnie ou la diffamation. Si l’enregistrement est volontairement partagé par exemple à dessein de nuire à une personne, l’article 314
bis, §2, al. 2 du Code pénal sera d’application.

Si vous souhaitez vous-même enregistrer une conversation (téléphonique ou non) afin de vous en servir comme preuve dans un litige, ou si vous êtes victime d’un enregistrement illégal d’une conversation, n’hésitez pas à prendre contact avec nos spécialistes pour obtenir une assistance et plus de conseils.

N.B. 1: la Cour de cassation a également estimé qu’un client qui enregistre une conversation entre lui et son conseil ne viole pas le secret professionnel garanti par l’article 458 du Code pénal[4]. Quant à savoir s’il s’agit selon nous d’une bonne idée, c’est naturellement une toute autre question.

N.B. 2: L’enregistrement de conversations téléphoniques auxquelles on ne participe pas, est bien prévue dans le Code pénal belge. Cet enregistrement n’est permis que dans des circonstances très spécifiques, comme par exemple dans le cadre de techniques particulières de recherche.

Sources:

Cass., 9 janvier 2001, Arr.Cass. 2001, p. 26.

Cass., 9 septembre 2008, Arr.Cass. 2008, p. 1890.

Cass., 17 novembre 2015, R.W. 2017, p. 380.

R. Verstraeten, Handboek Strafvordering, Antwerpen, Maklu, 2007, p. 876.

P. Arnou, “Eigen telefoongesprekken opnemen mag van Cassatie”, Juristenkrant 2001, n°25, p. 5.

[1] Cass., 9 janvier 2001, Arr.Cass. 2001, 26; Cass. 9 septembre 2008, Arr.Cass. 2008, p. 1890.

[2] Cass., 9 septembre 2008, Arr.Cass. 2008, p. 1890.

[3]Ibid.

[4] Cass., 17 novembre 2015, R.W. 2017, p. 380.

Recht op vergetelheid gaat een stap verder

“Wie schrijft die blijft”, “verba volant scripta manent”, en dit geldt des te meer in het informatie tijdperk. Een groot deel van persoonlijke gegevens, soms gevoelige, worden gearchiveerd op het internet. Het kan bij voorbeeld gaan om voormalig schulden of betrokkenheid bij een oud verkeersongeval gerelateerd aan alcoholgebruik. Deze informatie kan makkelijk worden gevonden op de websites van kranten, of gewoon met een zoekopdracht in zoekmachines zoals Google. En dit zelfs vele jaren na de feiten, wanneer men zou kunnen veronderstellen dat deze informatie geen belang meer voor het publiek heeft.

De betrokken personen zouden uiteraard kunnen wensen dat de informatie wordtverwijderd of ten minste, dat deze informatie wordt geanonimiseerd.

Een schrijnend voorbeeld van de verschrikkelijke gevolgen van de publicatie van genante persoonlijke gegevens op het internet was de zelfmoord, in september 2016, van een Italiaanse vrouw. Er waren erotische video’s waarin zij een niet-onbelangrijke rol speelde online gezet. Hoewel ze met succes haar recht op vergetelheid voor een Italiaanse rechter had ingeroepen en zelfs afgedwongen, pleegde ze desondanks zelfmoord uit gêne.[1]

Confrontatie tussen fundamentele rechten

Het juridisch probleem kan gesitueerd worden in de confrontatie tussen verschillende fundamentele rechten.

Het recht op vrijheid van meningsuiting gewaarborgd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens maakt, in principe, de publicatie van gegevens van publiek belang mogelijk. Ook artikel 19 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten beschermt dit recht en voegt expliciet een recht van het publiek op toegang tot informatie toe.

Aan de andere kant onderscheidt men het recht van de betrokken persoon op de bescherming van zijn privéleven. Dit recht is gebaseerd op artikel 8 van de Europees Verdrag voor de Rechten van de Mens, artikel 17 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten, en artikel 22 van de Grondwet.

Een Aanbeveling Rec(2003)13 van Raad van Europa illustreert de spanning tussen deze belangen voor personen die strafrechtelijk werden veroordeeld : “the right to protection of privacy under Article 8 of the Convention should include the right to protect the identity of [persons who have served court sentences], unless […] they and their prior offence are of public concern again or have become of public concern again”.[2]

Er moet dus een afweging tussen deze legitieme belangen plaatsvinden.

Het Arrest van het Hof van Justitie van 13 mei 2014 en het recht op vergetelheid

Het Hof van Justitie van de Europese Unie erkent, in zijn Arrest van 13 mei 2014[3], een “recht op vergetelheid” (ook bekend als “recht op gegevenswissing”). Dit Arrest beperkte zich enkel tot de kwestie van het recht op vergetelheid met betrekking tot de resultatenlijsten van de zoekmachines, en niet tot de databases van digitale kranten zelf.

Het Hof herinnert eraan dat de rechten op de bescherming van het privéleven en op vrijheid van meningsuiting niet absoluut zijn. De betrokken persoon kan dus, volgens het Hof, verlangen dat de informatie niet meer door de zoekmachine ter beschikking wordt gesteld aan het publiek. Het Hof voegde er echter aan toe dat er bijzondere redenen kunnen zijn opdat deze informatie voor het publiek toegankelijk blijft. Dit zou het geval zijn, bij voorbeeld, als de feiten nog recent zijn of als de betrokken persoon een publiek figuur is.[4]

Dit recht op vergetelheid dat door het Hof van Justitie van de Europese Unie vastgelegd werd, wordt bevestigd in de Algemene Verordening Gegevensbescherming[5] dewelke vanaf 25 mei 2018 van toepassing zal zijn.

Het Arrest van het Hof van Cassatie van 29 april 2016

Zoals hoger vermeld was er nog geen uitspraak omtrent de delicate kwestie van de digitale krantarchieven. Dit is nu uitgeklaard sinds het Arrest van het Hof van Cassatie van 29 april 2016.[6] Het cassatieberoep was gerichte tegen een Arrest van het Hof van Beroep van Luik dd. 25 september 2014, dat erkende dat de betrokken persoon schade leed, ten gevolgde de publicatie van zijn naam in een online artikel (schending van zijn recht op vergetelheid). Het Hof veroordeelde de uitgever van het digitale krantenarchief tot een euro uit hoofde van morele schade. Het Hof van Beroep oordeelde dat de remediëring zou bestaan in het anonimiseren van het artikel, om de fundamentele rechten van alle partijen zoveel mogelijk te sparen (vergetelheid voor het individu VS vrijheid van meningsuiting en informatie voor het publiek).

Het Hof van Cassatie bevestigde dat Arrest.

Deze “gezond verstand” oplossingvloeit logischerwijze voort, uit het Arrest van het Hof van Justitie van 13 mei 2014. Hoewel de betrokken gevallen verschillend zijn, wordt eenzelfde, o.i., correcte toepassing van de principes nageleefd, i.e. correcte afweging tussen privéleven en informatierecht voor het publiek.

Indien U vragen heeft over deze actuele rechtsproblematiek, aarzel niet om onze specialisten te raadplegen !

[1]http://deredactie.be/cm/vrtnieuws/buitenland/1.2769291

[2]https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016805df617

[3]HvJ, 13 mei 2014, C‑131/12, www.curia.europa.eu.

[4] M. GEUENS, “Cassatie breidt Europese rechtspraak over recht op vergetelheid gevoelig uit”, Juristenkrant 2016, nr 333, p. 5.

[5] http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679&lang1=NL

[6] Cass., 29 april 2016, C.15.0052.F, www.juridat.be.

———————————————————————————————————–

Le droit à l’oubli va un pas plus loin

« Les paroles s’envolent, les écrits restent », « verba volant scripta manent », et c’est d’autant plus vrai à l’ère de l’informatique. Un grand nombre de données personnelles, parfois sensibles, sont archivées sur internet. Il pourrait s’agir, par exemple, d’anciennes dettes ou de l’implication dans un accident de circulation lié à une consommation abusive d’alcool. Ces informations peuvent facilement être consultées sur le site web d’organes de presse ou, tout simplement, par le biais de moteurs de recherche tels que Google. Et ce même de nombreuses années après les faits, alors que l’on pourrait soutenir que l’information ne revêt plus aucun intérêt pour le public.

Les personnes concernées pourraien
t naturellement souhaiter la suppression de ces informations, ou à tout le moins, leur anonymisation.

Un exemple frappant des conséquences que peut avoir la publication de données personnelles gênantes est le suicide, au mois de septembre 2016, d’une jeune femme italienne. Des vidéos érotiques dans lesquelles elle apparaissait avaient été mises en ligne. Elle avait invoqué avec succès son droit à l’oubli devant les juridictions italiennes, avant de toutefois mettre fin à ses jours[1].

La confrontation de droits fondamentaux

Le problème, sur le plan juridique, tient à la confrontation entre différents droits fondamentaux.

Le droit à la liberté d’expression, garanti par l’article 10 de la Convention européenne des droits de l’homme, autorise en principe la publication de données ayant un intérêt pour le public. L’article 19 du Pacte international relatif aux droits civils et politiques ajoute que ce droit suppose notamment un droit du public d’accéder à l’information.

D’autre part, le droit à la protection de la vie privée de la personne. Ce droit trouve sa source à l’article 8 de la Convention européenne des droits de l’homme, à l’article 17 du Pacte international relatif aux droits civils et politiques, ainsi qu’à l’article 22 de la Constitution.

La Recommandation Rec(2003)13 du Conseil de l’Europe illustre la tension entre ces intérêts dans le cas des personnes condamnées pénalement : « le droit à la protection de la vie privée en application de l’article 8 de la Convention devrait inclure le droit à protéger l’identité [des personnes qui ont purgé une condamnation], sauf […] si ces personnes et le délit qu’elles ont antérieurement commis sont un sujet d’intérêt public ou sont redevenus un sujet d’intérêt public »[2].

Il fallait donc trouver un équilibre entre ces intérêts légitimes.

L’arrêt de la Cour de Justice du 13 mai 2014 et le droit à l’oubli

La Cour de Justice de l’Union Européenne, en son arrêt du 13 mai 2014[3], a reconnu ce « droit à l’oubli » (ou « droit à l’effacement »). L’arrêt ne concerne toutefois que le droit à l’oubli au regard des listes de résultats proposés par les moteurs de recherche. Les bases de données des journaux numériques ne sont pas directement visées par cet arrêt.

La Cour rappelle dans cet arrêt que ni le droit à la liberté d’expression, ni le droit à la protection de la vie privée, ne sont absolus. La personne concernée peut donc, selon la Cour, exiger que ces informations ne soient plus mises à disposition du public par le biais du moteur de recherche. La Cour ajoute que des raisons particulières pourraient toutefois justifier que l’information demeure accessible au public. Tel serait notamment le cas si les faits sont récents ou si la personne concernée est une personne publique[4].

Ce droit à l’oubli, consacré par la Cour de Justice de l’Union Européenne, est confirmé par le Règlement Général sur la Protection des Données (RGPD)[5] qui sera applicable à partir du 25 mai 2018.

L’arrêt de la Cour de cassation du 29 avril 2016

Ne restait donc plus à régler que la délicate question des archives de la presse numérique. C’est désormais chose faite, depuis un arrêt de la Cour de cassation du 29 avril 2016[6]. Un pourvoi avait été introduit à l’encontre d’une décision de la Cour d’appel de Liège du 25 septembre 2014. Dans cet arrêt, la Cour reconnaissait que la personne concernée subissait un dommage en raison de la publication de son nom dans un article de presse, en violation de son droit à l’oubli. La Cour d’appel condamnait l’éditeur à verser la somme d’un euro à la personne lésée à titre de dommage moral. La Cour d’appel estimait en outre que la réparation devait consister en l’anonymisation de l’article, et ce afin de ménager autant que possible les droits fondamentaux des parties (l’oubli pour l’individu contre la liberté d’information et l’information du public).

La Cour de cassation confirme cette décision.

Cette solution de « bon sens » nous semble découler très logiquement de l’arrêt de la Cour de Justice du 13 mai 2014. Bien que les hypothèses visées diffèrent, la même solution devait, selon nous, s’imposer. Il s’agit d’un juste équilibre entre la vie privée et le droit à l’information du public.

Si vous vous posez des questions sur cette problématique actuelle, n’hésitez pas à prendre contact avec nos spécialistes !

[1]http://www.lefigaro.fr/flash-actu/2016/09/15/97001-20160915FILWWW00137-web-l8217italie-debat-sur-le-droit-a-l8217oubli-apres-le-suicide-d-une-jeune-femme.php

[2]https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016805df5ff

[3] C.J.U.E., 13 mai 2014, C‑131/12, www.curia.europa.eu.

[4] M. GEUENS, “Cassatie breidt Europese rechtspraak over recht op vergetelheid gevoelig uit”, Juristenkrant 2016, nr 333, p. 5.

[5] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[6] Cass., 29 avril 2016, C.15.0052.F, www.juridat.be.

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!