STUDIO GDPR Archives - STUDIO-LEGALE
Categorie: STUDIO GDPR
E-MAILADRESSEN VAN EX-MEDEWERKERS: WAT ZEGT DE GBA?

Wat te doen met oude e-mailadressen van mensen die uit Uw organisatie vertrekken? Wat zegt de GBA hierover? Een bespreking en aanbevelingen n.a.v. de eerste Beslissing van de GBA (de Gegevensbeschermingsautoriteit) van 2026: 01/2026 (6 januari 2026)(https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-1-2026.pdf )

De feiten in een notendop

Na een overname bleven twee professionele e-mailadressen (voornaam.naam@…) van een ex-medewerker meer dan twee jaar actief. Inkomende mails werden technisch afgeleid naar een virtuele vuilbak (automatisch wissen). Volgens de overnemer was er dus geen verwerking van persoonsgegevens meer.

De Gegevensbeschermingsautoriteit (GBA) volgde die redenering niet.

Waarom dit een AVG-inbreuk is

De GBA herhaalt enkele fundamentele principes:

  • Een gepersonaliseerd e-mailadres is op zich een persoonsgegeven. [1]
  • Het laten voortbestaan ervan is een verwerking, zelfs als e-mails niet worden gelezen.
  • Ook metadata en mail-logs (zoals afzenders) zijn persoonsgegevens.
  • Een technische maatregel zoals automatisch wissen neemt de verwerking niet weg

Werkgevers moeten de mailbox van de vertrekkende werknemer, uiterlijk op de dag van hun feitelijke vertrek blokkeren en mogen e-mailadressen na vertrek slechts zeer tijdelijk laten bestaan, doorgaans maximaal één maand, uitzonderlijk tot drie maanden, en enkel voor een automatische afwezigheidsmelding. [2]

Gevolgen van de inbreuk

De onderneming kreeg een berisping en werd bevolen:

  • de verwerking stop te zetten,
  • inzage te geven in de nog beschikbare gegevens,
  • en alle persoonsgegevens definitief te wissen.

Aanbeveling

Voor ondernemers en adviseurs is de boodschap duidelijk: post-exit e-mailbeheer is geen IT-detail maar een AVG-verplichting. Bij overnames en exits moet expliciet worden vastgelegd wanneer en hoe e-mailadressen worden afgesloten. Technische workarounds bieden geen juridische vrijgeleide.

Hoe mag het wél? (praktisch kader)

De GBA aanvaardt dat e-mailadressen van vertrekkende medewerkers zeer tijdelijk blijven bestaan, mits strikte voorwaarden:

  • E-mailadres blokkeren aan het einde van de arbeidsovereenkomst, uiterlijk op de dag van zijn feitelijke vertrek.
  • Beperkte duur: standaard maximaal 1 maand, uitzonderlijk tot 3 maanden.
  • Enkel auto-reply: een automatisch antwoord dat neutraal meldt dat de persoon niet langer in dienst is en naar een algemeen contactpunt verwijst.
  • Geen inzage in mails: geen forwarding, geen toegang voor collega’s, geen monitoring van inhoud.
  • Duidelijke einddatum: na afloop worden het e-mailadres, de mailbox én eventuele logs definitief verwijderen.
  • Documentatie: deze werkwijze moet vooraf zijn vastgelegd (IT-policy, HR-exitprocedure) en bij voorkeur contractueel worden ondersteund. Dit kadert in het principe van accountability (De GBA vindt het heel belangrijk dat je kan aantonen waarom je iets wel of niet doet). Als je dit goed documenteert en laat zien dat je er over hebt nagedacht, zal de GBA dit appreciëren.

Technische oplossingen zijn toegelaten, maar enkel als ze daadwerkelijk vermijden dat persoonsgegevens nog worden verwerkt. Een maatregel die enkel de zichtbaarheid beperkt, volstaat niet.

M&A-alert: vaak vergeten post-closing risico

Bij overnames en herstructureringen blijft e-mailbeheer van vertrekkende aandeelhouders, bestuurders en sleutelfiguren opvallend vaak onder de radar. Pak dit direct gedocumenteerd op om in regel te zijn.

Vragen? Contacteer [email protected].

Joost PEETERS is advocaat en DPO (Data Protection Officer)

Bronnen:

[1] Art. 4.1 Algemene Verordening Gegevensbescherming.

[2] Art. 5.1. e) Algemene Verordening Gegevensbescherming; GBA 64/2020 van 29 september 2020; GBA 138/2024 van 19 november 2024; GBA 97/2024 van 16 juli 2024; GBA 71/2024 van 6 mei 2024 en GBA 01/2024 van 5 januari 2024

Auteurs:

  • Joost Peeters ;
  • Michalina Paprocka
GDPR EN PRIVACY IN DE RECHTSZAAL

OOK DE BURGERLIJKE RECHTER ONTSNAPT NIET AAN DE TOEPASSING VAN DE GDPR

Met het arrest van 2 maart 2023[1] heeft het Hof van Justitie verduidelijkt dat de Algemene Verordening Gegevensbescherming (GDPR) ook van toepassing is op burgerlijke procedures. Dit betekent dat nationale rechters bij de beoordeling van verzoeken om bewijsstukken over te leggen die persoonsgegevens bevatten, verplicht zijn rekening te houden met de GDPR-bepalingen. In hoeverre kan de GDPR een argument worden om bepaalde nadelige bewijsstukken buiten de procedure te houden?

Feiten

Een Zweedse bouwheer van een kantoorgebouw ging niet akkoord met de door de aannemer gefactureerde uren van diens personeel. Volgens de bouwheer waren de effectief gepresteerde uren een stuk lager dan de uren die werden gefactureerd. Om het bewijs hiervan te kunnen leveren, vroeg de bouwheer in de procedure aan de rechter om het personeelsregister van de aannemer over te maken. Iets wat door de aannemer niet kon, gelet op de bepalingen van de GDPR. Het Zweedse Hooggerechtshof stelde vervolgens twee prejudiciële vragen aan het Hof van Justitie.

Beoordeling Hof

Het Hof stelde vast dat de verwerking van persoonsgegevens door de rechterlijke macht binnen het materiële toepassingsgebied van de GDPR valt. De verplichting om bewijsstukken over te leggen die persoonsgegevens bevatten, kan dan ook worden beschouwd als een verwerking in de zin van de GDPR.[2]

Conform artikel 6 van de GDPR dient elke verwerking van persoonsgegevens te steunen op een rechtvaardigingsgrond, wat volgens het Hof een bepaling kan zijn uit het nationale procedurerecht. Éen van die rechtvaardigingsgronden is dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. De rechterlijke macht kwalificeert volgens het Hof dus terecht als een ‘taak van algemeen belang’ en kan onder bepaalde omstandigheden persoonsgegevens verwerken zonder de voorafgaande toestemming van betrokkenen.

De nationale rechter zal steeds geval per geval in concreto moeten nagaan of het opportuun is dat bepaalde documenten met persoonsgegevens moeten worden overgemaakt. Hij zal een belangenafweging moeten maken tussen enerzijds de bescherming van persoonsgegevens en anderzijds het recht dat een partij heeft op toegang tot bewijs om zijn of haar aanspraken te kunnen staven.

Het evenredigheidsbeginsel en beginsel van minimale gegevensverwerking[3] moeten de rechter leiden om die belangenafweging correct in te vullen. Indien er andere bewijzen kunnen worden aangeleverd die minder persoonsgegevens bevatten of indien bepaalde namen kunnen worden geanonimiseerd en het nagestreefde doel hierbij ook wordt bereikt, dan heeft die optie steeds de voorkeur. De rechter wordt geacht om, indien mogelijk, minder ingrijpende middelen te gebruiken, zoals:

  • Het overleggen van alternatieve bewijsstukken die minder persoonsgegevens bevatten;
  • Het anonimiseren van betrokken personen;
  • Het beperken van de toegang tot bepaalde persoonsgegevens voor het publiek.

Besluit

Sinds de invoering van het vernieuwde bewijsrecht in België per 1 november 2020 zijn partijen wettelijk verplicht om mee te werken aan de bewijsvoering. Dit brengt mogelijk complicaties met zich mee in situaties waarin persoonsgegevens worden gevraagd. De GDPR dwingt rechters echter om hierin terughoudend te zijn, wat de vraag oproept of de waarheidsvinding door de GDPR beperkt wordt. De rechter dient dit spanningsveld met zorg te hanteren en steeds te zoeken naar een evenwichtige oplossing.

Het Hof van Justitie maakt met dit arrest duidelijk dat de GDPR ook in civiele procedures niet genegeerd kan worden. Hoewel het recht op bescherming van persoonsgegevens gewaarborgd moet blijven, mag dit niet automatisch leiden tot het achterhouden van bewijsstukken die persoonsgegevens bevatten. Dit zou de zoektocht naar de waarheid onnodig belemmeren. De rechter moet altijd onderzoeken of minder ingrijpende maatregelen mogelijk zijn, zoals getuigenverklaringen, het anonimiseren van persoonsgegevens of het beperken van de publieke toegang tot bepaalde gegevens.

Als advocaten staan wij kritisch tegenover het gebruik van de GDPR als argument of excuus om belastend bewijs te verbergen. Transparantie en een eerlijke rechtsgang vereisen dat alle relevante feiten in overweging worden genomen. Het niet verstrekken van bewijs zou dan ook slechts in uitzonderlijke situaties aanvaardbaar moeten zijn. Onze voorkeur gaat uit naar openheid en waarheidsvinding, waarbij waar mogelijk met respect voor de privacybescherming wordt omgegaan.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

 

Juridische bronnen:

  • VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
  • 2 maart 2023, C-268/21,
  • ALLEMEERSCH, “Rechters die overlegging van stukken bevelen, moeten GDPR naleven”, RW 2022-23, nr. 36, 6 mei 2023;

[1] HvJ. 2 maart 2023, C-268/21

[2] B. ALLEMEERSCH, “Rechters die overlegging van stukken bevelen, moeten GDPR naleven”, RW 2022-23, nr. 36, 6 mei 2023

[3] Artikel 5.c) GDPR

WE ARE HIRING: Advocaat-stagiair(e) M&A, vennootschapsrecht en arbeidsrecht

Wij zijn op zoek naar een zeer gemotiveerde en enthousiaste:

Advocaat stagiair(e) M&A, vennootschapsrecht en arbeidsrecht

die klaar is voor de uitdagingen waar de moderne advocatuur momenteel voor staat.

Wij verwachten van u een zelfstandige en initiatiefrijke werkhouding, met een goede juridische kennis, pragmatisch denkvermogen en oog voor detail.

Wij bieden een zeer dynamische werkplek waar collegialiteit en teamspirit hoog in het vaandel worden gedragen.

U mag een correcte vergoeding en een degelijke opleiding verwachten, waarbij ruimte wordt gelaten om uw eigen dossiers te behandelen.

Contacteer ons voor meer informatie op [email protected] of 03/216.70.70

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 169/2023 VAN 19 DECEMBER 2023

Betreft        

Na een klacht tegen het Bisdom Gent heeft de GBA bevolen dat het verzoek van de gedoopte moet ingewilligd worden om uit het doopregister van de parochie geschrapt te worden

Context       

Verzoek tot wissing gegevens uit het doopregister

Rechtsgrond

Artikel 5.1.a) GDPR

Artikel 5.1.f) GDPR

Artikel 6 GDPR

Artikel 9.1 en 9.2 GDPR

Artikel 13 GDPR

Artikel 17 GDPR

Artikel 12.1, 12.3 en 12.4 GDPR

Artikel 15 GDPR

Feiten

De gedoopte verzocht op 22 maart 2021 het bisdom Gent om elke verwijzing naar zijn persoon uit elk fysiek of digitaal archief te schrappen.

Door de toenmalige Kanselier van het Bisdom werd hem meegedeeld dat de uittreding uit de Rooms-Katholieke Kerk op 24 maart 2021 werd opgeschreven op de lijst van kerkverlaters van de parochie Gent en dat de mogelijkheid bestaat om de aantekening in het doopregister persoonlijk te komen controleren.

De gedoopte meent hiermee geen genoegen te kunnen nemen. Hij betwist namelijk in eerste instantie ooit zelf een intrede in de kerk gemaakt te hebben aangezien hij door zijn ouders werd ingeschreven in het doopregister. Een uittrede kan dan ook niet plaatsvinden indien er nooit een intrede is geweest. Hij drong verder aan op de verwijdering van elk gegeven verwijzend naar zijn persoon, met inbegrip van informatie i.v.m. zijn uittreding uit de Rooms-Katholieke Kerk, uit alle fysieke of digitale register of archieven.

Diezelfde dag diende de gedoopte zijn klacht in.

Informatieverplichting

De betrokkenen worden geïnformeerd over de verwerkingen die plaatsvinden met betrekking tot de doop aan de hand van een formulier dat een privacyverklaring bevat. In verband met de verwerkingen van persoonsgegeven vermeldt dit formulier:

“Mijn persoonsgegevens evenals de gegevens van mijn kind mogen verwerkt worden in een bestand met het doel de doop, de eerste communie of het vormsel van mijn kind mogelijk te maken.”

Aangezien bevestigd werd dat dit de enige informatie is die wordt verschaft, oordeelt de Geschillenkamer dat het Bisdom Gent in overtreding is met de verplichting tot transparantie vervat in artikel 5.1.a) GDPR en de daarmee samenhangende verplichte specifieke informatie die volgens artikel 13 GDPR bij de verzameling van persoonsgegevens verstrekt moet worden.

Er wordt nergens in het formulier bovendien verwezen naar een privacyverklaring die online wel raadpleegbaar is. Overigens is zelfs niet in deze online privacyverklaring alle vereist informatie opgenomen. Zo is er bijvoorbeeld geen periode van opslag van de periode gegevens vermeld.

Artikel 12.1, 12.3 en 12.4 GDPR bevat nog de specifieke verplichting tot het verschaffen van deze informatie indien een verzoek conform de artikelen 15 t.e.m. 22 GDPR wordt ingediend. De mededeling die de gedoopte ontving n.a.v. van zijn verzoek beantwoordt hier niet aan:

“Ik kan u meedelen dat uw uittreding uit de Katholieke Kerk werd genoteerd op de lijst van de kerkverlaters van de parochie Gent op 24 maart 2021. (1955 nr. 536) doopregister Toevlucht van Maria. Het staat u vrij deze aantekening persoonlijk in het doopregister te verifiëren.”

Het feit dat er wel een standaardantwoord bestaat, wat in deze kwestie niet aan betrokkene verzonden werd, en dat gedoopte niet verder aandrong bij het Bisdom Gent op de informatie, kan hier geen afbreuk aandoen. De verplichting bestaat eruit om dit reeds bij het eerste verzoek mee te delen en kan een betrokkene niet verplicht worden om nog bijkomende vragen hieromtrent te stellen alvorens de informatie te bekomen.
De geschillenkamer stelt dan ook een schending van artikel 12.4 GDPR vast.

Integriteit en vertrouwelijkheid

Het Bisdom Gent legt de nadruk op het feit dat de dooparchieven voorzien zijn van de nodige beveiligingsmaatregelen. De toegang tot deze archieven zou beperkt zijn tot de priester of een door hem gemachtigde en een afschrift zou alleen worden verstrekt op verzoek van de betrokkene zelf. De implementatie in de praktijk lig in handen van de priester van de betreffende parochie.

Aangezien de Geschillenkamer niet de mogelijkheid heeft om daadwerkelijk te controleren of deze maatregelen in de praktijk worden toegepast, oordeelt zij dat de technische en organisatorische maatregelen conform artikel 5.1.f) GDPR prima facie als adequaat worden beschouwd.

Rechtmatigheid van de verwerking

Aangezien het over de verwerking van bijzondere persoonsgegevens conform artikel 9.1 GDPR gaat, moet het Bisdom Gent een rechtsgrond conform artikel 6 GDPR én een uitzonderingsgrond uit artikel 9.2 GDPR kunnen aanwijzen vooraleer de verwerking rechtmatig zou kunnen zijn.

Het Bisdom Gent duidt het gerechtvaardigd belang conform artikel 6.1.f) GDPR aan als de rechtsgrond voor de verwerking.

Vaste rechtspraak van het Hof van Justitie van de Europese Unie heeft drie cumulatieve voorwaarden uitgewerkt alvorens een beroep op deze rechtsgrond gedaan kan worden, waarbij de verwerkingsverantwoordelijke moet aantonen dat:

  • De belangen die hij met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (‘de doeltoets’);
  • De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (‘de noodzakelijkheidstoets’); en
  • De afweging van deze belangen tegen de fundamentele belangen, vrijheden en grondrechten van de betrokkenen in het voordeel van de verwerkingsverantwoordelijke of van een derde is (‘de afwegingstoets’).

Het doeleinde is het vermijden van identiteitsfraude m.b.t. het uitvoeren van de sacramenten.

De geschillenkamer stelt hierbij vast dat wanneer er uiting wordt gegeven aan een fundamenteel recht of vrijheid, hier vrijheid van godsdienst en van vereniging, dit als een gerechtvaardigd belang moet worden gezien. Bovendien is identiteitsfraude in overweging 47 van de GDPR opgenomen als mogelijk gerechtvaardigd belang. De doeltoets is voldaan.

De noodzakelijkheidstoets kan niet los gezien worden van het beginsel van doelbinding en het data minimalisatie-beginsel vervat in artikel 5.1.b) en 5.1.c) GDPR.

Hier blijkt het schoentje te wringen.

De registers bestaan immers enkel op papier en niet digitaal. Het Bisdom Gent is afhankelijk van de vrijwillige verstrekking van de nodige persoonsgegevens om te controleren of de relevante sacramenten nog niet zijn ondergaan. Interparochiale opzoekingen zijn des te meer afhankelijk van medewerking van de betrokkenen aangezien de doopregisters slechts per parochie worden bijgehouden. De doopregisters vermijden op zich dus geenszins dat een betrokkene tweemaal eenzelfde sacrament kan ondergaan. Bovendien is een doop onder voorwaarde een mogelijkheid indien er onzekerheid zou bestaan over de geldigheid. De noodzakelijkheidstoets blijkt op dit vlak al niet doorstaan te kunnen worden.

De annotatie die wordt gemaakt in het doopregister bestaat eruit aan te geven dat de betrokkene “op datum van uittreding de Kerkgemeenschap heeft verlaten”. In de praktijk gaat dergelijk verzoek tot uittreding vaak gepaard met verzoek tot schrapping uit alle registers. Bijkomende gegevens worden dus verwerkt en dus kunnen mogelijk nog gevoeliger geacht worden.

Eerder werd reeds geoordeeld dat het nagestreefde doel wel gerechtvaardigd is, maar de wijze waarop dit wordt nagestreefd is niet in overeenstemming met de noodzakelijkheidsvereiste. Het is immers geen waterdichte methode om de correcte status van een betrokkene na te gaan en te voorkomen dat tweemaal eenzelfde sacrament wordt toegediend.

Bovendien wordt niet een minimum aan persoonsgegevens bewaard. Het bijhouden van persoonsgegevens van de peter en meter, datum van uittreding is bijvoorbeeld niet noodzakelijk voor dit doel.

De geschillenkamer stelt dan ook een schending van het beginsel van doelbinding en data minimalisatie-beginsel vast (artikel 5.1.b) en 5.1.c) GDPR).

Tot slot moet er nog een afweging gemaakt worden tussen het gerechtvaardigde belang van het vermijden van identiteitsfraude en een dubbele doop en het recht op bescherming van persoonsgegevens van de gedoopte.

Het levenslang bewaren van de persoonsgegevens van de gedoopte is disproportioneel, ongeacht het feit dat het oorspronkelijke doel van de verwerking gerechtvaardigd is.

De geschillenkamer stelt dan ook vast dat er geen rechtsgrond voor de verwerking heeft in strijd met artikelen 5.1.a) en 6.1.f) GDPR aangezien zowel de noodzakelijkheidstoets als de afwegingstoets niet wordt doorstaan.

De geschillenkamer zet wel uitdrukkelijk de deur op een kier voor de mogelijkheid dat dergelijke verwerking wel gerechtvaardigd kan zijn indien voldoende aandacht wordt besteed aan het beginsel van dataminimalisatie en proportionaliteit.

Recht op rectificatie

De gedoopte meent dat de gegevens onjuist zijn aangezien hij op verzoek van zijn ouders gedoopt is en dus nooit zelf dit verzocht heeft. Dit zou resulteren in onjuiste gegevens die ge rectificeert moeten worden conform artikel 16 GDPR.

De (on)juistheid moet beoordeeld worden in verband met de specifieke doeleinden van de verwerking. De ouders hebben in dit kader de beslissingsbevoegdheid om hun kind(eren) op te laten nemen in een religieuze vereniging en hierbij is dan ook de gedoopt lid geworden van de Rooms-Katholieke kerk zodat er van onjuiste gegevens geen sprake is.

Het recht op rectificatie kan dan ook niet ingewilligd worden.

Recht op gegevenswissing

Er worden door het Bisdom Gent geen dwingende gerechtvaardigde gronden aangetoond voor de verwerking van alle persoonsgegevens zoals deze in het doopregister vermeld staan.

Het Bisdom Gent moet dan ook de gegevens zonder onredelijke vertraging wissen.

Uitspraak    

Bij deze uitspraak benadrukt de geschillenkamer dat de inbreuk een categorie van gevoelige persoonsgegevens betreft en dit om die van ernstige aard is. Evenwel houdt de geschillenkamer als “verzachtende omstandigheid” ook rekening met het feit dat de doopregisters niet vrij toegankelijk zijn voor het publiek en slechts sporadisch worden geraadpleegd op verzoek van de betrokkenen.

De Geschillenkamer stelt vast dat “de voortdurende verwerking van de persoonsgegevens van klager in de doopregisters ondanks zijn verzoek tot gegevenswissing een gedraging is die inbreuk uitmaakt op de artikelen 6.1 en 9 AVG, is het aan de orde corrigerende maatregelen te nemen lastens de verweerster. Voorts heeft de Geschillenkamer vastgesteld dat de informatieverplichtingen op grond van artikel 13 AVG niet zijn nageleefd. De verweerster handelt tevens in overtreding met artikel 17 AVG, tezamen gelezen met artikel 12 AVG.”

De Geschillenkamer berispt het Bisdom Gent voor het gebrek aan duidelijke informatie aan de betrokkenen en de weigering om het verzoek tot gegevenswissing uit te voeren. Hierbij werd rekening gehouden met het coöperatief samenwerken van het Bisdom Gent met de Geschillenkamer. Het opleggen van een geldboete zou onevenredig zijn.

Het Bisdom Gent krijgt bovendien 30 dagen om volgende maatregelen te nemen om de verwerking van persoonsgegevens in overeenstemming met de bepalingen van de GDPR te brengen:

  • Terdege en onverwijld gevolg te geven aan het verzoek tot gegevenswissing van de klager overeenkomstig artikel 17 GDPR (artikel 58.2.b) GDPR en artikel 100, §1, 6°, WOG);
  • Om de verwerkingen van de persoonsgegevens van kerkverlaters in hun huidige vorm te staken overeenkomstig artikel 21.1 AVG (artikel 59.2.b) GDPR en artikel 100, §1, 8°, WOG).

Het Bisdom Gent moet eveneens alle gezamenlijke verwerkingsverantwoordelijken van deze beslissing en bevel in kennis stellen en benadrukken dat de huidige rechtsgronden niet overeenstemmen met de GDPR.

Gelet op het bredere belang van de beslissing alsook voor het goed begrip worden de identificatiegegevens van het Bisdom Gent bekendgemaakt.

Onze mening         

De geschillenkamer onderzoekt terecht grondig of de cumulatieve voorwaarden voor het toepassen van de rechtsgrond van het gerechtvaardigde belang werd voldaan.

Deze beslissing maakt nogmaals duidelijk dat het beoogde doel perfect legitiem kan zijn, maar dat vervolgens steeds de nodige aandacht besteed moet worden aan de noodzakelijkheid en proportionaliteit van de vervolgens toegepaste verwerkingen om dit doel te bereiken.

Uit de feitelijkheden van deze kwestie wordt duidelijk dat het Bisdom Gent hier niet de nodige aandacht aan heeft besteed en om die reden is de beslissing dan ook terecht.

Definitief?  

Nee, procedure in hoger beroep voor het Marktenhof is nog hangende.

Nee, de zaak is nog niet definitief beslecht. Het bisdom Gent heeft beroep aangetekend bij het Marktenhof tegen deze beslissing. Op 11 december 2024 heeft het Brusselse hof van beroep (Marktenhof) een tussenarrest uitgesproken waarin het besloot om prejudiciële vragen voor te leggen aan het Europese Hof van Justitie.

De prejudiciële vragen die aan het Europese Hof van Justitie zijn voorgelegd, betreffen onder meer:

  • Of iemand die als kind gedoopt werd het recht heeft om later als volwassene zijn gegevens uit het doopregister te laten verwijderen ;
  • Of de godsdienstvrijheid van de kerk een rol speelt bij deze afweging ;
  • Of het papieren formaat van het register relevant is voor de beoordeling ;
  • Of de historische en archiefwaarde van het doopregister in aanmerking moet worden genomen ;
  • Of een aantekening in de marge van het register dat iemand de kerk heeft verlaten, kan volstaan als alternatief voor volledige gegevenswissing.

De uitkomst van deze prejudiciële vragen zal bepalend zijn voor de uiteindelijke beslissing in deze zaak.

 

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 15/2021 VAN 9 FEBRUARI 2021

Betreft        

Een consultant legt een klacht neer tegen het IT-adviesbureau waarbij hij werkte omdat hem de volledige inzage tot zijn persoonsgegevens werd geweigerd.

Context       

Verzoek tot inzage van werknemer bij werkgever in de IT-adviessector

Rechtsgrond

Artikel 15 GDPR

Feiten

De klager trad in juni 2008 als werknemer in dienst bij de verweerder die actief is in de IT-adviessector. Hij vervulde later de functie van senior consultant. Vanaf 2015 was de consultant regelmatig afwezig. In 2016 wordt hij verkozen tot vertegenwoordiger van de werknemers. Een jaar later start zijn werkgever, het IT-adviesbureau een procedure voor de arbeidsrechtbank omdat de consultant informatie op een privéblog zou bekendmaken die door het IT-adviesbureau nog niet officieel was gemaakt. Hiermee weigerde hij te stoppen, ondanks het verzoek hiertoe.

Het arbeidshof oordeelde in haar arrest van 21 juni 2018 dat het IT-adviesbureau de consultant niet op ernstige gronden kan ontslaan.  De consultant zette zijn functie vanaf 27 juni 2018 weer verder. Hij richtte vervolgens op 12 juli 2018 een verzoek tot uitoefening van zijn recht van  inzage  en/of  kopie  van  alle  over  hem  geregistreerde  persoonsgegevens.

De consultant was van oordeel dat hier ontoereikend op werd geantwoord en stelde op 2 oktober 2018 een klacht in. Hierbij wees hij er nog op dat door het IT-adviesbureau foto’s van haar werknemers nam op bedrijfsevenementen en deze zomaar op het intranet van het bedrijf publiceerde, zonder hiervoor toestemming te vragen.

Op  18  januari  2019  zou de arbeidsrelatie tussen de partijen beëindigd zijn via een transactieovereenkomst.

Beoordeling

De Geschillenkamer benadrukt dat het niet haar rol is om andere rechtbanken te vervangen bij de uitoefening van hun bevoegdheden, hier doelend op het arbeidsrecht. Zij spreekt zich dan ook enkel uit over de naleving van de regelgeving die van toepassing is op de gegevensverwerking en niet over bijvoorbeeld de naleving van de transactieovereenkomst tussen de partijen.

Volgens artikel 15.1 van de GDPR heeft de betrokkene recht op inzage. Wat betekent dat deze van de verwerkingsverantwoordelijke  verduidelijking mag krijgen of er persoonsgegevens van hem verwerkt worden. Indien dat het geval is, heeft de betrokkene het recht om hiervan inzage te verkrijgen en om bepaalde bijkomende informatie over die verwerking te bekomen (artikel 15.1 a) – h) GDPR) zoals bijvoorbeeld het  doeleinde  van  de  verwerking  van  de  gegevens  en  de  eventuele  ontvangers  van  de gegevens,  evenals  informatie  over  het  bestaan  van  zijn  rechten,  waaronder  het  recht  om rectificatie of wissing van zijn gegevens te vragen, of om een klacht bij de GBA in te dienen.  Zie meer in detail ons eerder artikel over het recht op inzage hier.

Concreet vroeg de consultant aan het IT-adviesbureau om alle geregistreerde persoonsgegevens over hem mee te delen, en in het bijzonder wenste hij informatie over de redenen, doeleinden, bewaartermijnen, … voor ieder bewaard persoonsgegeven. Hij maakte ook duidelijk dat zijn verzoek betrekking had op inzage en kopie van zijn persoonsgegevens, namelijk:

  • alle evaluaties die op hem betrekking hebben;
  • alle foto’s waarop hij zou kunnen worden geïdentificeerd;
  • een kopie van de e-mails in zijn mailbox;
  • elke notitie, aantekening, opmerking die deel uitmaakt van zijn personeelsdossier;
  • de hem betreffende IT-logs;
  • een overzicht van zijn persoonsgegevens, met inbegrip van de doeleinden van de verwerking en de ontvangers van de gegevens;
  • de inhoud van de persoonsgegevens over hem die door de verweerder worden verwerkt;
  • cv’s die hem betreffen;
  • zijn door de verweerder geregistreerde pasfoto’s.

Meerdere malen stuurde de consultant dat hij het antwoord onvolledig vond.

Uiteindelijk volgt het volgende antwoord van het IT-adviesbureau: “Een  kopie  van  alle  persoonsgegevens waartoe jij geen toegang hebt en waarvan we je een kopie moeten geven, is naar jou verstuurd. Dit punt is dus wat ons betreft afgesloten”.

Het IT-adviesbureau betwist niet dat geweigerd werd om gevolg te geven aan het verzoek om inzage zoals door de klager in zijn e-mail van 24 september 2018 is gepreciseerd.

Wat betreft de weigering van het recht op inzage van de aantekeningen en opmerkingen in het personeelsdossier van de consultant baseer het IT-adviesbureau zich op artikel 15.4 GDPR. De inzage van die gegevens zou een inbreuk vormen op de bescherming van de persoonsgegevens van de voormalige leidinggevenden en de personeelsverantwoordelijke die auteur zijn van die aantekeningen en opmerkingen.

De Geschillenkamer spreekt niet tegen dat dergelijke aantekeningen persoonsgegevens van de leidinggevenden en personeelsverantwoordelijke betreffen.

Er moet een afweging gemaakt worden tussen het recht op inzage van de consultant en de rechten en vrijheden van deze leidinggevenden en personeelsverantwoordelijke.

Die afweging mag er wel niet toe leden dat geen enkele informatie wordt meegedeeld.

Het IT-adviesbureau had de persoonsgegevens van anderen kunnen anonimiseren om zo correct gevolg te geven aan het verzoek tot inzage.

Door te weigeren gevolg te geven aan het verzoek  van de consultant om inzage van de aantekeningen in zijn personeelsdossier, werden de artikelen 15.1 en 15.3 GDPR geschonden.

Wat betreft de weigering om inzage te leveren van de IT-logs m.b.t. de consultant wordt dan weer géén schending vastgesteld door de Geschillenkamer aangezien dit onevenredige verplichtingen en buitensporige lasten aan het IT-adviesbureau zou opleggen aangezien hiervoor een periode van 2008 tot 2019 helemaal zou moeten doorzocht worden.

Met betrekking tot de beweerde onrechtmatige weigering tot inzage  van de evaluaties wordt dit ook door de Geschillenkamer verworpen aangezien er sinds 2013 geen evaluatie meer was geweest omwille van de regelmatige afwezigheid van de consultant.

Vervolgens kan het IT-adviesbureau zich op het zakengeheim beroepen om geen inzage toe te staan in de e-mailcorrespondentie. Hiervoor wordt wel benadrukt dat het zakengeheim restrictief geïnterpreteerd moet worden steeds concreet per geval.

Tot slot wordt het argument omtrent de recht om kopie te krijgen van foto’s waarop de consultant identificeerbaar zou zijn, afgewezen aangezien hij geen bewijs leverde van het bestaan of de verspreiding van dergelijke foto’s van hem.

Uitspraak    

Aangezien de aantekeningen in personeelsdossier reeds verwijderd werden kan een verplichting tot uitvoering van het recht op inzage niet meer opgelegd worden en wordt volstaan met het IT-adviesbureau op te leggen de Geschillenkamer een verklaring op eer toe te zenden van het feit dat de aantekeningen in het personeelsdossier over consultant zijn verwijderd na zijn verzoek om inzage.

Daarnaast wordt opgelegd om de verwerking in verband met de aantekeningen in de personeelsdossiers van het personeel in overeenstemming te brengen met artikel 15 van de GDPR.

Onze mening         

Wederom is duidelijk dat een correct gevolg geven aan de uitoefening van de rechten door betrokkenen een zeer cruciaal aspect is van de GDPR.

Uit deze beslissing wordt duidelijk dat niet zomaar aan de naleving van het recht op inzage kan worden ontsnapt, ook al is dit omwille van de juiste intenties (beschermen rechten en vrijheden van anderen). Het anonimiseren had in dit verband kunnen volstaan als bescherming van deze rechten en vrijheden van anderen en zo zou een evenwichtige balans gevonden zijn met het recht op inzage.

De Geschillenkamer overweegt terecht dat dit de eerst sanctie van het IT-adviesbureau was en legt geen boete op.

Beslissing

Beslissing 15/2021

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 81/2020 VAN 23 DECEMBER 2020

Betreft       

Een parkeerwachter en een gerechtsdeurwaarder worden geconfronteerd met een klacht bij de GBA door een foutparkeerder naar aanleiding van de invordering van de onbetaald gebleven parkeerboete. Uiteindelijk zal de gerechtsdeurwaarder hoger beroep instellen bij het marktenhof.

Context      

Parkeerwachter & Gerechtsdeurwaarder

Rechtsgrond

Artikel 5.1.c) GDPR

Artikel 5.2 GDPR

Artikel 6 GDPR

Artikel 12 GDPR

Artikel 14 GDPR

Artikel 15 GDPR

Artikel 24 GDPR

Feiten

De  eerste  verweerder  is  een  bedrijf  dat  gespecialiseerd  is  in het innen van vergoedingen en boetes i.v.m. “straatparkeren”.  Zij is dus “parkeerwachter” en voert controle uit op de straten in de betreffende gemeente.

De tweede verweerder is een kantoor van Gerechtsdeurwaarders waarbij de parkeerwachter cliënt is o.a. met betrekking tot onbetaalde parkeergelden.

Op 2 januari 2019 parkeerde de foutparkeerder zijn voertuig onrechtmatig in een van de straten onder controle door de parkeerwachter

De foutparkeerder zou geen blauwe schijf in de parkeerzone van 30 minuten achter zijn voorruit hebben geplaatste en een uitnodiging tot betaling werd op zijn vooruit geplaatste door de parkeerwachter.

De foutparkeerder betwist dit ontvangen te hebben, net zoals de herinnering die op 24 januari 2019 volgens de parkeerwachter verzonden zou zijn geweest.

Omwille van de niet-betaling werd het dossier overgemaakt aan de gerechtsdeurwaarder. Deze verzond een aanmaning op 25 februari 2019 met alle gebruikelijke bijkomende kosten toegepast.

Op  3  maart  2019  heeft  foutparkeerder  de gerechtsdeurwaarder verzocht om uitleg en stelde hij nooit de uitnodiging tot betaling of aanmaning te hebben ontvangen. Tegelijk maakt hij bezwaar tegen betaling van de boete.

Voorts stelt hij de rechtsgrond voor toegang tot het DIV en het rijksregister in vraag. Tot slot oefent hij zijn recht van inzage uit (artikel 15 GDPR). Dezelfde verzoeken stelde hij t.a.v. de parkeerwachter.

De parkeerwachter volstond met het antwoord “Regel het met de gerechtsdeurwaarder”.

Op 2 april verschafte de gerechtsdeurwaarder de foutparkeerder van antwoord. Hierbij maakte de gerechtsdeurwaarder bepaald informatie over met betrekking tot het verzoek tot inzage en de gegevens die hij verwerkt alsook over de door de parkeerwachter uitgevoerde verwerkingshandelingen.

Na verdere briefwisseling stelde de foutparkeerder een klacht in op 15 mei 2019 tegen zowel de parkeerwachter als de gerechtsdeurwaarder.

Deze klacht omvat:

t.a.v. de parkeerwachter:

  • een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
  • een schending van zijn recht op toegang (artikel 15 van de GDPR);
  • een schending van artikel 28 van de GDPR gelet op de hoedanigheid van verwerker van de tweede verweerder;
  • een schending van artikel 5 van de GDPR (naleving van het noodzakelijkheidsbeginsel gelet op de raadpleging van de DIV);
  • een schending van het proportionaliteitsbeginsel en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) gelet op de mededeling van zijn gegevens aan de tweede verweerder;
  • een schending van het beginsel van de minimale gegevensverwerking (artikel 5 van de GDPR) gelet op het feit dat een foto werd genomen van zijn voertuig tijdens de vaststelling van de parkeerovertreding.

 

t.a.v. de gerechtsdeurwaarder:

  • een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
  • een schending van zijn recht op toegang (artikel 15 van de GDPR);
  • een schending van artikel 28 van de GDPR gelet op zijn hoedanigheid van verwerker;
  • een schending van het beginsel inzake proportionaliteit en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) die hij ontving van de eerste verweerder ook al zou daar geen rechtsgeldige basis voor zijn;
  • een schending van het beginsel van minimale gegevensverwerking en het inwinnen van de verplichte toestemming (artikelen 5 en 6 van de GDPR) gelet op het formulier gevoegd bij de aanmaning tot betaling.

De foutparkeerder vraagt in zijn klacht bovendien dat de parkeerwachter en de gerechtsdeurwaarder veroordeeld worden tot een straf die in verhouding is met de ernst van de feiten, waarbij rekening moet gehouden worden met het doel en de omvang van hun beroepsactiviteit, welke een groot aantal burgers treft.

Daarnaast vordert de foutparkeerder dat de beslissing op niet-anonieme wijze bekendgemaakt wordt om zo de illegale praktijken i.v.m. het beheer van de parkeergelden aan het publiek duidelijk te maken.

Soevereine beoordeling geschillenkamer

Voorafgaandelijk benadrukt en herinnert de Geschillenkamer eraan dat zij niet gebonden is door de vaststelling van de inspectiedienst. Zij heeft de mogelijkheid om op basis van alle documenten en argumenten die zijn voorgelegd in het tegensprekelijk debat. Zo kan de geschillenkamer oordelen over inbreuken die niet per se in het inspectieverslag aan bod kwamen.

Voorts benadrukt de geschillenkamer dat zij in de loop van de procedure de juridische kwalificatie uit de klacht kan wijzigen of nieuwe feiten kan onderzoeken, mits partijen de kans hebben gehad om over deze juridische kwalificatie of feiten standpunt hebben kunnen innemen.

Hoedanigheid van parkeerwachter en gerechtsdeurwaarder

De Geschillenkamer bepaalt zeer duidelijk dat zowel de parkeerwachter als de gerechtsdeurwaarder te kwalificeren zijn als verwerkingsverantwoordelijken. Zij komen elks op een onderscheiden moment in de minnelijke invordering tussen. Zij kunnen niet als gezamenlijke verwerkingsverantwoordelijke gezien worden aangezien dit een gezamenlijke bepaling van zowel het doel als de middelen van de verwerking noodzaakt, wat hier niet zo is. Zij voeren opeenvolgende verwerkingen uit waarbij een deel van de gegevens overlappen, maar nooit het doel en de middelen gezamenlijk worden vastgesteld. De Geschillenkamer snapt wel de verwarring bij de foutparkeerder gelet op de werkwijze en communicatie vanwege de parkeerwachter en de gerechtsdeurwaarder waaruit dit niet duidelijk blijkt.

Beoordeling t.a.v. de parkeerwachter

  • Informatieplicht

In  zijn  hoedanigheid  van  verwerkingsverantwoordelijke  moet  de  parkeerwachter  de artikelen 12, 13 en  14  van de GDPR ten uitvoer leggen en deze effectieve tenuitvoerlegging  kunnen aantonen (artikel 5.2 en 24 van de GDPR). Overeenkomstig artikel 12.1 van de GDPR is de eerste verweerder immers verantwoordelijk voor het nemen van passende maatregelen om de in de artikelen 13 en 14 van de GDPR bedoelde informatie op beknopte,  transparante,  begrijpelijke  en  gemakkelijk  toegankelijke  wijze  in  duidelijke  taal te verstrekken.

In casu was de eerste verweerder, aangezien de gegevens niet rechtstreeks bij  de  foutparkeerder  werden  verzameld,  verplicht  hem  informatie  te  verstrekken  over  de  verwerking  van gegevens die op hem betrekking hadden in het kader van de inning van de verschuldigde vergoeding. Aangezien het privacy beleid van de eerste verweerder geen betrekking heeft op de invordering van schulden schendt deze laatste zijn informatieplicht uit artikel 14 GDPR. Bovendien werden de termijnen uit artikel 12.3 GDPR niet gerespecteerd, net als de verplichting om de contactgegevens van de DPO ter beschikking te stellen aan de betrokkenen (artikel 12.1 GDPR).

  • Recht van inzage

Krachtens artikel 15 van de GDPR heeft elke betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te  verkrijgen  over  het  al  dan  niet  verwerken van hem betreffende  persoonsgegevens  en,  wanneer  dat  het  geval  is,  om  inzage  te  verkrijgen  van  die persoonsgegevens en van de opgesomde informatie in artikel 15.13. a) tot h) van de GDPR.

De Geschillenkamer kwam in dit verband tot het besluit dat de parkeerwachter het verzoek van de foutparkeerder niet op een bevredigende manier heeft ingewilligd doordat hij zijn verantwoordelijkheid steevast trachtte door te schuiven naar de gerechtsdeurwaarder, wat blijkbaar een vaste praktijk was vanaf dat een dossier aan de gerechtsdeurwaarder werd overgemaakt. Hij kan zo echter niet ontsnappen aan zijn verantwoordelijkheden als verwerkingsverantwoordelijke om tijdig en volledig te antwoorden op het verzoek. Bovendien kwam hij zijn verplichting niet na om de uitoefening van de rechten van betrokkenen te vergemakkelijken (artikel 12.3 GDPR), er was geen duidelijke en eenvoudige procedure voor dit verzoek in voege.

  • Minimale gegevensverwerking

Gezien het feit dat de parkeerwachter de DIV heeft geraadpleegd vóór het verstrijken van de termijn voor de spontane betaling van het gevorderde bedrag van de vergoeding, begaat de eerste verweerder een inbreuk op het beginsel van de minimale gegevensverwerking conform artikel 5.1.c) GDPR. Volgens dit principe dienen persoonsgegevens toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het voortijdig raadplegen van de DIV door de parkeerwachter was met helemaal niet noodzakelijk aangezien de foutparkeerder nog steeds binnen de termijn kon betalen.

Wat betreft de praktijk dat de werknemers van de parkeerwachter foto’s nemen van het voertuig, de nummerplaat als ook de vooruit (om aan te tonen dat er geen parkeerbewijs voorhanden is), wijst de Geschillenkamer erop dat op deze praktijk met aandacht voor de GDPR moet gebeuren en niet de minimale gegevensverwerking te buiten moet gaan. Zonder vast te stellen dat dit beginsel met het oog op de bewijsvoering dat door de parkeerwachter bij discussies moet gebeuren, benadrukt de Geschillenkamer dat de gegevens niet het relevante doel mogen overschrijden.

  • Passende technische en organisatorische maatregelen

Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.

Gezien de voorgaande inbreuken van de parkeerwachter, besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen. Er waren niet de nodige procedures in plaats opdat de foutparkeerder zijn rechten efficiënt kon uitoefenen, noch waren er voldoende maatregelen zodat de voortijdige raadpleging van het DIV kon worden voorkomen.

Beoordeling t.o.v. de gerechtsdeurwaarder:

  • Informatieplicht

De foutparkeerder verwijt gerechtsdeurwaarder dat hij hem niet overeenkomstig de vereisten van artikel 14 GDPR heeft ingelicht toen hij voor het eerst contact met hem opnam. De gerechtsdeurwaarder tracht zich echter op de uitzondering van artikel 14.5.c) van de GDPR te beroepen. Deze uitzondering bestaat erin dat de de verwerkingsverantwoordelijke wordt vrijgesteld van zijn informatieplicht voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke  van  toepassing  is, en voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

Hij baseert zich hiervoor op het gemeentelijk reglement.

De Geschillenkamer besluit dat de gerechtsdeurwaarder zich niet kan beroepen op de vrijstelling aangezien het gemeentelijk regelement waarop deze laatste zich steunt, op geen enkele wijze ingaat op aspecten van gegevensbescherming. Het rechtskader van het beroep van gerechtsdeurwaarder en de eerbiediging van de ethische regels zijn op zich niet voldoende om passende garanties te bieden op het gebied van gegevensbescherming in de zin van artikel 14.5.c) van de GDPR. De gerechtsdeurwaarder schendt met andere woorden zijn informatieplicht in strijd met artikel 14.1 en 2. j° 12.3 GDPR.

  • Toestemming

Een toestemming kan maar geldig worden gegeven als deze vrij, specifiek, geïnformeerd en ondubbelzinnig plaatsvindt. Het betalingsformulier van de gerechtsdeurwaarder verweerder was echter zo opgesteld dat er een duidelijk machtsonevenwicht bestond. De indruk werd opgewekt dat dit formulier ingevuld moest worden. De toestemming kan met andere woorden niet als vrij worden gekwalificeerd waardoor deze in strijd is met artikel 4.11 GDPR. Bijgevolg kan de gerechtsdeurwaarder zich onder die omstandigheden hierop niet beroepen als de rechtmatigheidsgrond voor de verwerking (artikel 6.1.a) GDPR).

Met betrekking tot de naleving van het beginsel van de minimale gegevensverwerking (artikel 5.1. c),  van  de  GDPR)  merkt  de  Geschillenkamer  ook  op  dat  met  betrekking  tot  de verschillende gegevens die onder “Uw contactgegevens” worden gevraagd in het formulier, nergens met een sterretje of andere aanduiding staat aangegeven dat de betrokkene vrij is om een van de communicatiemiddelen  te  kiezen  (telefoonnummer,  mobiel  telefoonnummer,  e-mailadres)  en  dat sommige  gegevens  dus  facultatief  zijn. Ook artikel 5.1.c)  (minimale gegevensverwerking) van de GDPR werd niet nageleefd.

  • Passende technische en organisatorische maatregelen

Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.

Gezien de voorgaande inbreuken van de gerechtsdeurwaarder besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen.

Overwegingen in verband met de sancties

De Geschillenkamer gaat er prat op dat zij bij het opleggen van de sancties altijd alle relevante omstandigheden in overweging neemt.

T.o.v. de parkeerwachter zijn die overwegingen als volgt:

  • Er gebeurden reeds voorafgaand aan de beslissing toezeggingen om aan de inbreuken te verhelpen;
  • Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
  • De parkeerwachter is deel van een grote groep van ondernemingen, deze omzet wordt in aanmerking genomen;
  • Groot aantal personen zijn getroffen door de inbreuken aangezien deze tot de dagelijkse praktijk van de parkeerwachter behoren;
  • De inbreuken hebben minstens sinds 25 mei 2018, met uitzondering van inbreuk op artikel 5.1.c) GDPR;
  • Gedurende de gehele procedure heeft de parkeerwachter met de GBA samengewerkt;
  • Geen opzettelijke inbreuken.

T.o.v. de gerechtsdeurwaarder zijn die overwegingen als volgt;

  • Gerechtsdeurwaarder heeft voorgesteld bepaalde wijzigingen in praktijk aan te brengen;
  • Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
  • Gerechtsdeurwaarder zou zwaar getroffen zijn door covid-19 en toekomstige omzet 2020 en 2021 zou niet in verhouding staan met voorgaande omzet;
  • Groot aantal personen zijn getroffen door de inbreuken;
  • De voorbeeldfunctie van een gerechtsdeurwaarder;
  • Inbreuken duren minstens sinds januari 2019;
  • Geen opzettelijke inbreuken;
  • De gerechtsdeurwaarder heeft meegewerkt tijdens de procedure.

 

Uitspraak   

T.a.v. de parkeerwachter:

Volgende inbreuken worden vastgesteld:

  • Niet nakomen informatieplicht;
  • Niet nakomen van verplichting gevolg te geven aan recht op inzage/toegang;
  • Niet nakomen van verplichting van minimale gegevensverwerking bij voorbarige raadpleging van DIV;
  • Niet nakomen van verplichting om passende technische en organisatorische maatregelen te nemen;

Volgende sancties worden opgelegd:

  • Een berisping;
  • Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en inzage/toegang. Hierbij moet de parkeerwachter de GBA binnen een termijn van drie maanden in kennis stellen van zowel zijn privacybeleid dat van toepassing is als zijn informatieclausule(s) en de procedure die is ingesteld om te reageren op de uitoefening van het recht op inzage/toegang;
  • Een administratieve boete van € 50.000.

T.a.v. de gerechtsdeurwaarder:

Volgende inbreuken worden vastgesteld:

  • Niet nakomen informatieplicht;
  • Het ontbreken van een rechtsgrondslag voor het verzamelen van gegevens via het formulier bij de aanmaning tot betaling en niet in acht nemen beginsel van minimale gegevensverwerking;
  • Niet naleven van artikelen 5.2 en 24.1-2 GDPR

Volgende sancties worden opgelegd:

  • Een berisping;
  • Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en de rechtsgrondslag voor het formulier bij de aanmaning tot betaling. Hierbij moet de gerechtsdeurwaarder de GBA in kennis stellen binnen een termijn van drie maanden van zowel zijn privacy beleid dat van toepassing is, als zijn informatieclausule(s) en van de wijze waarop hij voornemens is te reageren op de inbreuken in verband met het formulier;
  • Een administratieve boete van € 15.000.

Onze mening        

Terecht oordeelt de Geschillenkamer dat de parkeerwachter en de gerechtsdeurwaarder beide verwerkingsverantwoordelijken zijn voor hun opeenvolgend optreden in verband met de inning en invordering van de boete.

De parkeerwachter kan dan ook niet volstaan met te verwijzen naar de gerechtsdeurwaarder voor de uitoefening van de rechten van de betrokkene.

Omwille van de gebrekkige transparantie en het ontbreken van een duidelijke procedure voor de uitoefening van de rechten, is de concrete opeenvolgende rol van beide ook niet duidelijk t.o.v. de betrokkene.

Beide maken verschillende inbreuken op de GDPR, waaronder een aantal basisbeginselen; minimale gegevensverwerking, transparantie, voorzien van passende en technische en organisatorische maatregelen..

De boetes lijken ons dan ook terecht gelet op eerdere rechtspraak van de Geschillenkamer en de parkeerwachter en gerechtsdeurwaarder zullen hun procedures aanzienlijk moeten aanpassen om GDPR-proof te zijn. Het blijkt echter dat het marktenhof in hoger beroep milder is en herinnert aan de vereiste proportionaliteit van sancties. (zie onder)

Beslissing

Beslissing 81/2020

Definitief?  

Nee, arrest marktenhof dd. 26.05.2021.

Arrest Hof van beroep, afdeling marktenhof van 26 mei 2021

 

De gerechtsdeurwaarder tekende hoger beroep aan tegen de beslissing van 23 december 2020 bij het Marktenhof (afdeling van het hof van beroep te Brussel).

De gerechtsdeurwaarder vorderde hierbij in hoofdorde dat wat betreft haar veroordeling de beslissing vernietigd wordt én dat de GBA wordt veroordeeld om de administratieve boete van € 15.000 die werd betaald, terug te betalen. Ondergeschikt vorderde de gerechtsdeurwaarder om indien de veroordeling bevestigd zou worden, de boete om te vormen tot een loutere berisping.

Algemene overweging

Het Marktenhof herinnert er in eerste instantie aan dat het beroep ingesteld bij haar geen “gewoon hoger beroep” is. Het Marktenhof kan enkel de regelmatigheid en wettelijkheid toetsen. Wat betreft de grond van de zaak beperkt het Marktenhof haar onderzoek dan ook tot het nagaan of de feiten correct zijn voorgesteld en indien er geen sprake is van een kennelijke beoordelingsfout of indien de juridische kwalificatie van de feiten juist is.

Bepaalde grieven die werden aangevoerd, kunnen dan ook geen gevolg aan gegeven worden aangezien ze niet binnen de beoordelingsbevoegdheid van het Marktenhof vallen.

Vernietiging boete

Het Marktenhof oordeelt dat de beslissing van de GBA enkel op het punt van het opleggen van een boeten van € 15.000,00 vernietigd dient te worden.

Het Marktenhof herinnert eraan dat het fundamentele doel van de Europese wetgeving niet is om sancties op leggen onder de vorm van boetes voor de geringste inbreuk. Het werkelijke doel is de bescherming van persoonsgegevens.

Het loutere feit dat de vastgestelde inbreuken de fundamentele beginselen betreffen waarvoor de hoogste boetes opgelegd kunnen worden, volstaat niet om de proportionaliteit hiervan te verantwoorden. Het loutere feit dat in het verleden als verzwarende factor de publieke hoedanigheid van een verweerder werd opgenomen, verantwoordt niet op zich waarom dit hier ook zo zou zijn. Er bestaat geen bindende precedentenleer voor de GBA. Er moet steeds geval per geval een beoordeling gebeuren.

Het Marktenhof wijst op het feit dat het een eenmalig voorval betrof dat beperkt is in duur. Daarnaast is de inbreuk theoretisch aangezien het niet betwist wordt dat de betrokkene het formulier waarop de klacht betrekking heeft, niet heeft teruggestuurd.

De GBA heeft verscheidene elementen vastgesteld die erop wijzen dat de gerechtsdeurwaarder op geen enkele wijze een intentie tot het miskennen van de principes van de GDPR heeft gemanifesteerd en de inbreuk die begaan werd louter een  gevolg is van nalatigheid of zelfs maar een eenvoudige onoplettendheid.

De ingesteldheid die leunt naar het opleggen van een boete bij de eerste inbreuk stemt niet overeen met de principes van de GDPR. De sanctionering dient gradueel te gebeuren in functie van de zwaarte van de inbreuken. Het Marktenhof geeft als voorbeeld volgende gradatie:

  1. Een berisping of een aanmaning aan het overtredende bedrijf, waarin het wordt herinnerd aan zijn plicht om ervoor te zorgen dat de verwerking van gevoelige gegevens in overeenstemming is met de GDPR;
  2. Bevel om inbreuk te staken;
  3. (in bepaalde gevallen): tijdelijke beperking of opschorting van gegevensverwerking;
  4. administratieve sancties voor niet-naleving van de GDPR-regels.

Het Marktenhof oordeelt dat de GBA door het opleggen van een boete vanaf de eerste inbreuk het principe van proportionaliteit van de sancties miskent. Hoewel de geschillenkamer van de GBA in haar motivering had gewezen op het ontbreken van opzet bij de inbreuken en de reële bereidheid om haar praktijken in overeenstemming te brengen met de GDPR, laat zij na laat om rekening te houden met de noodzaak van proportionaliteit die namelijk inhoudt dat rekening gehouden moet worden met het vermoeden van goede trouw, waarvan de gerechtsdeurwaarder had moeten kunnen genieten.

Er zijn geen aanwijzingen dat de berisping en bevel tot naleving opgelegd aan de gerechtsdeurwaarder niet voldoende zou zijn geweest. Het fundamentele beginsel van proportionaliteit van de sanctie werd miskend.

Het Marktenhof vernietigt dan ook de bestreden beslissing, doch énkel wat betreft het opleggen van een geldboete van € 15.000.

 

Arrest

Arrest marktenhof 26 mei 2021

WE ARE HIRING: STUDENTEN RECHTEN OF RECHTSPRAKTIJK

Wij zijn op zoek naar gemotiveerde en enthousiaste studenten rechten of rechtspraktijk die ons team van advocaten tijdelijk kunnen ondersteunen en versterken bij het onthaal en telefonie van ons kantoor.

Dit biedt je de gelegenheid om kennis te maken met het reilen en zeilen van een advocatenkantoor.

Wij bieden je een zeer dynamische werkplek waar collegialiteit en teamspirit hoog in het vaandel worden gedragen.

Contacteer ons voor meer informatie op
03 216 70 70 of
[email protected]

#werk #vacature #job #hiring #werkwerkwerk #student #studentrechten #rechtspraktijken #advocatenkantoor #dictaat #klantvriendelijk #fulltime #interim #ikzoekwerk #werken #antwerpen #wilrijk #antwerpenzuid #nieuwzuid #provincieantwerpen

META: BETALEN MET GELD OF MET PERSOONLIJKE DATA?

 

Sinds kort legt Meta gebruikers van Facebook en Instagram de keuze op: betalen in geld of betalen met uw persoonsgegevens. Maar kan dit wel zomaar?  Dit komt de facto neer op betalen in geld of betalen met persoonsgegevens.

De boodschap die bij Europese gebruikers op de schermen verscheen was duidelijk: “Je moet de keuze maken om Facebook te blijven gebruiken”. De keuze dient daarbij gemaakt te worden tussen:

  1. Abonneren om de platformen te gebruiken zonder advertenties aan een tarief van 12,99 euro per maand; of
  2. Gratis gebruiken met advertenties.

Waar META zich in het verleden reeds op verschillende rechtvaardigingsgronden trachtte te baseren om persoonsgegevens te gebruiken voor commerciële doeleinden, wordt het deze keer opnieuw via de rechtvaardigingsgrond van toestemming geprobeerd.[1]

Ondanks dat de nieuwe vooropgestelde keuze minder “radicaal” is, wringt het schoentje o.i. op dezelfde plaats: ook in het geval van de keuze tussen abonneren of het aanvaarden van gepersonaliseerde advertenties, kan er geen sprake zijn van een vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming.[2]

Meta baseert zich voor deze “nieuwe aanpak” op een zin uit het “obiter dictum”[3] bij de uitspraak van de CJEU C-252/21 waarin staat dat er in een alternatief moet worden voorzien voor reclame, indien nodig voor een passende vergoeding.[4]

Onder welke voorwaarden mogen persoonsgegevens verwerkt worden?

Het verwerken van persoonsgegevens kan enkel rechtmatig zijn indien ten minste aan één van de onderstaande voorwaarden is voldaan:

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  1. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  1. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  1. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  1. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  1. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

In het geval van de verwerking van persoonsgegevens door META, komt enkel de rechtmatigheidsgrond gebaseerd op de toestemming van de betrokkene in aanmerking.

Dit werd reeds bevestigd in voormeld arrest C-252/21 van 4 juli 2023.[5]

Hieronder wordt verder toegelicht wat ‘toestemming geven’ exact inhoudt:[6]

De GDPR definieert de toestemming van de betrokkene als volgt: “elke vrije, specifieke geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt.”

  1. Vrij gegeven

Eerst en vooral dient de toestemming vrij gegeven te zijn. Dit houdt in dat de betrokkene een keuze moet hebben én de controle over de keuze bezit.

Dit betekent dat indien de betrokkene eigenlijk niet écht de keuze heeft, bijvoorbeeld omdat het alternatief nadelige gevolgen voor hem zou hebben, de keuze niet vrij gegeven kan zijn.

Ook in geval de toestemming komt in de vorm van niet-onderhandelbare algemene voorwaarden, is de toestemming niet vrij gegeven.

Daarbij komt ook dat voor het beoordelen van vrij gegeven toestemming de (wan)verhouding tussen de betrokkene en de verwerker in acht wordt genomen. [7]

  1. Specifiek

Daarnaast moet de gegeven toestemming ook specifiek zijn. Hiermee wordt bedoeld dat de betrokkene voor elk stuk van de verwerking van zijn persoonsgegevens zijn toestemming moet geven. In geval uw persoonsgegevens dus worden gebruikt voor X, Y en Z zal u voor X, Y en Z apart uw toestemming moeten geven en zullen X, Y en Z allemaal uitdrukkelijk moeten worden omschreven.

  1. Geïnformeerd

Vervolgens moet de toestemming ook geïnformeerd gegeven worden. Dit houdt in dat de betrokkene over voldoende informatie moet beschikking i.v.m. de verwerking van zijn persoonsgegevens zodat hij of zij een geïnformeerde keuze kan maken over het al dan niet verlenen van zijn of haar toestemming.

  1. Ondubbelzinnige wilsuiting

Ook moet de toestemming ondubbelzinnig worden gegeven. Dit houdt in dat de toestemming een ondubbelzinnige actieve handeling of verklaring vereist van de betrokkene.

Een impliciete toestemming door stilzitten of inactiviteit zal dus nooit een geldige toestemming kunnen uitmaken onder de GDPR-wetgeving.

  1. Bijkomende voorwaarden

Ten slotte geldt een geldig gegeven toestemming niet voor eeuwig. Enerzijds moet de gegeven toestemming eenvoudig kunnen worden ingetrokken.[8] Anderzijds zal de gegeven toestemming niet meer gelden in geval de verwerkingsactiviteit aanzienlijk verandert.

Besluit

In dit specifieke geval waar Meta de betrokkene de “keuze” laat tussen het geven  van toestemming om uw persoonsgegevens te gebruiken voor gepersonaliseerde reclame of het betalen van 12,99 euro per maand, kan het o.i. geen vrij gegeven toestemming uitmaken. Niet enkel de verhouding Meta vs. betrokkene, gelet op het monopolie van META, maar ook het feit dat betalen het enige alternatief is, maken dat deze toestemming geenszins een vrij gegeven toestemming is. Veel mensen zullen 12,99 te duur vinden en bij gebrek aan een alternatief social media kanaal zodus gedwongen worden te betalen in data.

Enkel in geval Meta de persoonsgegevens van betrokkene énkel zou gebruiken voor gepersonaliseerde reclame, zou deze toestemming specifiek zijn. In geval bijvoorbeeld ook specifieke nieuwsberichten zouden kunnen worden gepusht (zoals althans in de versie voor deze keuze ons werd aangereikt werd gedaan), zal deze toestemming niet specifiek zijn.

Zonder twijfel wordt dit nauw opgevolgd door privacy/GDPR specialisten en activisten. BV. NOYB die met hun klachten aan de basis lagen van het arrest tegen META.

Daarnaast kan nog de bedenking gemaakt worden hoe en of die betaling in data niet fiscaal belast zou moeten worden.

Verder dient nog in vraag gesteld te worden, mede omwille van het monopolie van META, of met deze “keuze” het recht tot toegang (tot een neutraal en open) internet niet geschonden wordt. Zeker nu zelfs de lijst van onbeslagbare goederen in die zin is aangepast dat toegang tot het internet verzekerd moet blijven en social media een wezenlijk deel van het internet gebruik uitmaakt..[9]

Het wordt dus zeer interessant of en hoelang deze nieuwe “oplossing” van META stand houdt.

Voor meer informatie omtrent GDPR, kan u het STUDIO|LEGALE team contacteren via [email protected] of op 03/216.70.70

Nieuwsbronnen:

 

Juridische bronnen:

  • Verordening nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
  • VANDENBUSSCHE, D., Wat is geldige toestemming volgend de GDPR?.
  • 29 Data protection working party, Guidelines on consent under Regulation 2016/679.
  • HVJ 4 juli 2023, C-252/21- META Platforms and Others;
  • Court of Justice of the European Union, “Press release n° 113/23.

[1] CJEU declares Meta/Facebook’s GDPR approach largely illegal, https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal; art. 6(1)B GDPR, art. 6(1)F GDPR.

[2] Art. 4, 11 GDPR

[3] Een niet bindende redenering bij een uitspraak van het Hof.

[4] Meta (facebook/Instagram) to move to a “Pay for your Rights” approach, https://noyb.eu/en/meta-facebook-instagram-move-pay-your-rights-approach

[5] HVJ 4 juli 2023, C-252/21- META Platforms and Others; Court of Justice of the European Union, “Press release n° 113/23.

[6] D., VANDENBUSSCHE, “Wat is geldige toestemming volgens de GDPR?”

[7] Art. 29 Data protection working party, Guidelines on consent under Regulation 2016/679.

[8] Art. 7 GDPR

[9] Art. 1408 Ger.W.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 81/2023 VAN 22 JUNI 2023

Betreft       

Er werden camera’s geplaatst bij een glasbak  van een gemeente teneinde sluikstorten tegen te gaan.

Context

Bewakingscamera’s geplaatst door een gemeente.

Rechtsgrond

Artikel 5 lid 1, a), artikel 6 lid 1, artikel 24 en artikel 30 GDPR.

Artikel 65 Camerawet en artikelen 1 en 4 Koninklijk Besluit van 10 februari 2008 tot vaststelling van de wijze waarop wordt aangegeven dat er camerabewaking plaatsvindt.

Feiten en beoordeling

N.a.v. het laten staan van enkele lege flessen naast de glasbak, ontving de sluikstorter een brief van de tweede verweerder, waarin stond dat hij hiermee een overtreding begaan zou hebben. Tweede verweerder is de camera-beheerder die op instructie van eerste verweerder, de gemeente, deze bewakingscamera heeft geplaatst en het beheer hiervan heeft. In dit kader treedt de tweede verweerder op als verwerker in het kader van het uitschrijven van een GAS-boete op basis van de camerabeelden.

Op 1 februari 2021 werd door de sluikstorter een klacht ingediend tegen de camerabeheerder. Daarbij stelt hij o.a. in vraag of de bewakingscamera rechtsgeldig werd geplaatste. Op basis van dit beeldmateriaal werd hem namelijk een GAS-boete opgelegd.

De Geschillenkamer komt op basis van de klacht en het antwoord van de klager op de vragen van de inspectiedienst, tot de vaststelling dat deze gericht zijn tegen de camerabeheerder. De inspectiedienst besluit echter dat de gemeente de verwerkingsverantwoordelijke is voor de bewakingscamera en de camerabeheerder optreedt als verwerker i.v.m. het uitschrijven van GAS-boetes op basis van de camerabeelden. Dit werd niet betwist door de partijen en de gemeente moet dan ook als verwerkingsverantwoordelijke en de camerabeheerder als de verwerker gekwalificeerd worden.

Door de Geschillenkamer wordt geoordeeld dat de verwerking van persoonsgegevens door deze bewakingscamera aan de glasbak op rechtmatige wijze gebeurt.

Deze verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag van de verwerkingsverantwoordelijke. Meer specifiek bestaat deze taak van algemeen belang uit het voorkomen en bestrijden van sluikstorten, zwerfvuil en de bescherming van de openbare netheid en gezondheid. Op artikel 9.3 van de algemene politieverordening van de gemeente wordt gewezen, waarin wordt bepaald dat een houder van een kentekenplaat steeds kan aantonen wie werkelijk met het voertuig reed op moment van de overtreding. Bij afwezigheid van dergelijk verweer, wordt de boete opgelegd aan de houder van de kentekenplaat. Tot slot zou de privacyverklaring van de gemeente alle betrokkenen voldoende informeren over het feit dat persoonsgegevens in het kader van het algemeen belang verwerkt kunnen worden. Er is dus geen schending van artikel 5 en 6 GDPR.

De inspectiedienst onderzocht verder nog of er conform artikel 24 GDPR passende technische en organisatorische maatregelen worden genomen om te kunnen waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de GDPR gebeurt. De inspectiedienst besluit hier eenvoudigweg dat aangezien er geen inbreuk van artikel 5 en 6 GDPR is, er ook geen sprake kan zijn van inbreuk op dit vlak.

Wat betreft de Camerawet en het KB stelt de inspectiedienst vast dat de verplichtingen hieromtrent (bv. beslissing door openbare overheid, plaatsing pictogrammen) werden nageleefd. Mede gelet op het opnieuw uitblijven tegenargumenten door de sluikstorter, oordeelt de Geschillenkamer dat geen schending van artikel 5 Camerawet en artikelen 1 en 4 van het KB zijn.

Het laatste aspect dat onderzocht werd en ter discussie stond is de naleving van de verplichting tot het correct bijhouden van een register van de verwerkingsactiviteiten door de camerabeheerder. (artikel 30 GDPR)

Dit register blijkt niet te voldoen:

  • De contactgegevens van de camerabeheerder zijn onvolledig;
  • De beschrijving van de categorieën van betrokkenen is onvolledig;
  • De beschrijving van de categorieën van persoonsgegevens is onvolledig;
  • De naam en contactgegevens van iedere verwerkingsverantwoordelijke voor rekening waarvan de tweede verweerder als verwerker handelt, worden niet vermeld.

De Geschillenkamer benadrukt in dit verband dat het van essentieel belang is dat deze verplichtingen correct worden nageleefd aangezien het register een instrument is om de verwerkingsverantwoordelijke of verwerker te helpen bij de naleving van de GDPR en zo essentieel is bij het naleven van de verantwoordingsplicht (“accountability”).

De camerabeerder bezorgde op 7 december 2022 een aangepast register, welke door de Geschillenkamer beoordeeld werd als tegemoetkomend aan verschillende van voormelde onvolledigheden. Echter bleek de vermelding van de naam en contactgegevens van de verwerkingsverantwoordelijken nog te ontbreken.
Een inbreuk op artikel 30 lid 2, a )GDPR wordt dan ook vastgesteld.

Uitspraak   

De Geschillenkamer legt een berisping op aan de camerabeheerder voor de inbreuk op artikel 30 lid 2, a) GDPR.

Wat betreft de overige grieven wordt de klacht geseponeerd.

Onze mening        

De inspectiedienst en geschillenkamer oordelen o.i. nogal snel dat het plaatsen van de bewakingscamera noodzakelijk is om sluikstorten tegen te gaan. Nochtans valt te overwegen dat er minder verregaande maatregelen zouden kunnen volstaan om dit doel te bereiken.

Voorts oordeelt de geschillenkamer eenvoudigweg dat er passende technische en organisatorische maatregelen voorhanden zijn, omdat de verwerking een voldoende rechtmatigheidsgrond zou hebben en in dit kader noodzakelijk is. Niettemin kan er o.i. wel een inbreuk zijn op de technische en organisatorische maatregelen wanneer er een rechtmatigheidsgrond voorhanden is. Het is namelijk niet omdat een verwerking een rechtmatig doel heeft en proportioneel zou zijn, er geen gebrekkige concrete uitvoering of technische ondersteuning kan zijn.

De Geschillenkamer stoelt zich op het ontbreken van tegenargumenten van de klager om de inspectiedienst te volgen in haar vaststelling, terwijl wij in andere beslissingen vaststellen dat de Geschillenkamer haar autonomie nét benadrukt.

Beslissing

Beslissing 81/2023

PREDIKEN VAN DEUR-TOT-DEUR EN GEGEVENSBESCHERMING: GETUIGEN VAN JEHOVA T. FINLAND (EHRM 09.05.2023)

Getuigen van Jehova werden in Finland op hun vingers getikt voor de verwerking van persoonsgegevens bij hun deur-tot-deur prediken, wat resulteerde in een procedureslag. Het Europees Hof voor de Rechten van de Mens oordeelde in haar beslissing dd. 09.05.2023 uiteindelijk over de afweging tussen het recht op godsdienstvrijheid en het recht op privacy, meer bepaald databescherming.

Feiten en voorgaanden

De “Data Protection Ombudsman” (hierna: “de Ombudsman”), de Finse toezichthouder op het vlak van gegevensbescherming, onderzocht reeds in 2000 het prediken van deur tot deur van de Getuigen van Jehova en uitte haar bezorgdheid omtrent de verwerking van persoonsgegevens die hierbij plaatsvond en adviseerde dat dit enkel kon met de toestemming van de betrokkenen.

De Getuigen van Jehova namen immers notities bij deze praktijk en dit zou wel eens als een bestand van persoonsgegevens beschouwd kunnen worden. Na bevraging in dit kader bevestigde de gemeenschap van Getuigen van Jehova dat lokale congregaties een handmatig archiefsysteem hanteerden met de namen en adressen van personen die wensten niet bezocht te worden door Getuigen van Jehova. Volgens de gemeenschap gebeurde dit  op basis van de bewuste en vrijwillige toestemming tot verwerking van hun persoonsgegevens door het loutere feit dat ze vroegen niet bezocht te worden en dat de lokale congregaties hier geen gevolg aan konden geven zonder de naam en het adres te verzamelen. Volgens de gemeenschap zouden de individuele leden niet onder enige verplichting staan om de gegevens bij te houden. Deze gegevens zouden niet gezien worden door, in bezit komen van of bewaard worden door de gemeenschap of lokale congregaties en zouden in principe uiteindelijk door het individuele lid verwijderd worden.

De gemeenschap of de lokale congregaties zouden geen lijsten, indexen of folders bijhouden van geïnteresseerden. De congregatie handelt enkel als een informeel mailingssysteem waarbij een oudere van de congregatie persoonlijke notities van een individu doorstuurden naar een andere individuele Getuige van Jehova. Noch de oudere, noch de gemeenschap zouden kopieën bewaren of de persoonsgegevens op enige wijze gebruiken.

Aangezien dit niet door de beugel kon volgens de Ombudsman, diende deze een verzoek in bij haar Data Protection Board om de gemeenschap te verbieden persoonsgegevens te verzamelen en op andere wijze te gebruiken in het kader van haar deur-tot-deur prediken, zonder de toestemming van de betrokkenen.

De Data Protection Board legde de gemeenschap het verbod op tot verzamelen en verwerken van persoonsgegevens in verband met het deur-tot-deur prediken indien er geen ondubbelzinnig akkoord van de betrokkene bekomen is. Binnen een periode van 6 maanden moest de gemeenschap dit in orde brengen.

Bij het noteren van namen, adressen en andere persoonlijke gegevens – zij het als geheugensteuntje bij het opnieuw bezoeken van geïnteresseerden volgens de gemeenschap – worden wel degelijk persoonsgegevens, die kunnen worden teruggevonden, verzameld. Wanneer de betrokkene zijn religieuze gezindheid of gezondheidstoestand wordt genoteerd, wordt er zelfs gevoelige data verzameld. De Data Protection Board oordeelde dat zowel de gemeenschap als de leden verwerkingsverantwoordelijken zijn in dit verband.

De gemeenschap en twee individuele Getuigen van Jehova gingen hiertegen in beroep bij het “Administrative Court” van Helsinki. Ze verzochten om de beslissing te wijzigen zodat noch de gemeenschap, noch de individuele leden als verwerkingsverantwoordelijken bestempeld worden. De private notities in het kader van het deur-tot deur prediken zouden kaderen in louter persoonlijke doeleinden voor vergelijkbare gewoonlijke en private doeleinden. Er werd ook een mondelinge hoorzitting verzocht. Dit laatste werd geweigerd.

Het Adminstrative Court oordeelde eveneens dat de verzameling van persoonsgegevens in dit kader niet gezien kon worden als uitgevoerd ten louter persoonlijke doeleinden, maar dat dit kaderde binnen de activiteiten van de gemeenschap en de manifestatie van haar geloof en dat van haar individuele leden. De expliciete toestemming van de betrokkenen is dan ook noodzakelijk voor de verzameling en verwerking van hun persoonsgegevens. Er werd evenwel  geoordeeld dat de gemeenschap niet als verwerkingsverantwoordelijke gezien kon worden aangezien ze enkel instructies in verband met de verwerking van persoonsgegevens had gegeven. Het werd namelijk niet aangetoond dat de persoonsgegevens in een dossier voor de gemeenschap werd bijgehouden waarover deze enige bevoegdheid zou uitoefenen.

De Ombudsman ging hierop in beroep bij het “Supreme Adminstrative Court”.

Het Supreme Administrative Court verzocht een prejudiciële beslissing van het Hof van Justitie van de Europese Unie met betrekking tot de kwestie of de gemeenschap als verwerkingsverantwoordelijke beschouwd moet worden. Hierbij werd verwezen naar het feit dat de gemeenschap en haar lokale congregaties territorium kaarten bijhield met als doel de territoria te verdelen tussen de leden die deelnemen aan het deur-tot-deur prediken, alsook een “prohibition register” waarin werd opgenomen welke personen verzocht hadden niet bezocht te worden.

In haar arrest stelde het Hof van Justitie allereerst dat de activiteiten van de gemeenschap en haar leden bij het deur-tot-deur prediken door haar eigen aard, bedoeld is om het geloof van de gemeenschap van de Getuigen van Jehova te verspreiden en dus naar buiten toe, weg van de private sfeer van de persoon die de persoonsgegevens verwerkt in dat kader.

Het Hof van Justitie stelde daarnaast vast dat de gemeenschap van Getuigen van Jehova wel degelijk als gezamenlijke verwerkingsverantwoordelijke met haar leden beschouwd moet worden aangezien zij het doel en de middelen van het deur-tot-deur prediken en dus ook minstens indirect van de gegevensverwerking in dit kader bepaalde door het organiseren, coördineren en aanmoedigen van het prediken en de dataverzameling in dat verband.

Het Supreme Administrative Court vernietigde hierop de beslissing van de Administrative Court in zover dat deze laatste de beslissing van de Board vernietigde. Het verzoek tot een mondelinge hoorzitting werd hierbij eveneens afgewezen aangezien de schriftelijke verklaringen van de getuigen ervoor zorgde dat het Hof voldoende geïnformeerd dit kon beoordelen en een hoorzitting niet noodzakelijk was.

Het arrest van het Europees Hof voor de Rechten van de Mens

Op 10 juni 2019 werd door de gemeenschap van Getuigen van Jehova de zaak voor het Europees Hof voor de Rechten van de Mens (hierna: “EHRM”) gebracht. Er werd door hen een schending aangevoerd van zowel artikel 6 als artikel 9 van het Europees Verdrag voor de Rechten van de Mens (hierna: “EVRM”).

Artikel 6 EVRM – Recht op een eerlijk proces

De gemeenschap voerde aan dat haar recht op een eerlijk proces geschonden werd door het gebrek aan mondelinge hoorzittingen in de nationale procedures.

Artikel 6 § 1 EVRM bepaalt in dat verband als volgt:

“1. Bij het vaststellen van zijn burgerlijke rechten en verplichtingen of bij het bepalen van de gegrondheid van een tegen hem ingestelde vervolging heeft een ieder recht op een eerlijke en openbare behandeling van zijn zaak, binnen een redelijke termijn, door een onafhankelijk en onpartijdig gerecht dat bij de wet is ingesteld. (…)”

Er werd geen enkele mondelinge hoorzitting gehouden in de nationale procedures. Het dient wel opgemerkt te worden dat hierom enkel verzocht werd door de Gemeenschap in de administratieve procedures.

Door het EHRM wordt opgemerkt dat in de procedure voor het Administrative Court de Gemeenschap niet gespecifieerd had welk bewijs zij wenste te voor te leggen op de gevraagde mondelinge hoorzitting. Dit is vereist door artikel 38 (3) van de toepasselijke Administrative Judicial Procedure Act. Daarnaast werd eveneens niet verduidelijkt waarom het noodzakelijk zou zijn om dat bewijs in een hoorzitting en niet schriftelijk voor te leggen.

Het EHRM kan zich vinden in de beoordeling van de Administrative Court waarbij zij ten eerste geen nood zagen voor een hoorzitting voor de klachten van de individuele leden die afgewezen worden zonder onderzoek ten gronde en ten tweede, bij de zaken die wel ten gronde werden beoordeeld, de hoorzitting manifest onnodig was in het licht van de uitkomst van de zaak, welk in het voordeel van de Gemeenschap was.

Wat betreft de procedure voor het Supreme Administrative Court wordt het relevant geacht dat de Gemeenschap niet in haar eerste procedurestukken verzocht om de mondelinge hoorzitting, maar slechts in de laatste ronde na de prejudiciële beslissing van het Hof van Justitie. De Gemeenschap vond dat de relevante feitelijke problemen met betrekking tot de aard van het deur-tot-deur prediken, het concept van archiefsysteem en de deelname in de verwerken van de persoonsgegevens niet beantwoord zou zijn geweest door de prejudiciële beslissing. Hierbij werd de schriftelijke getuigenverklaring van 24 getuigen van Jehova gevoegd, welke zij wensten gehoord te zien in de hoorzitting.

Het horen van de getuigen werd niet noodzakelijk bevonden en de schriftelijke verklaringen werden in de beslissing in overweging genomen.

Verder benadrukt het EHRM dat de afwezigheid voor een tweede of derde aanleg-rechtscollege beoordeeld moet worden in het licht van de gehele procedures. De praktijk van verzamelen en verwerken van persoonsgegevens door individuele Getuigen van Jehova was het onderwerp van debat op nationaal niveau voor vele jaren en de Gemeenschap heeft dan ook gebruik gemaakt van de mogelijkheid om bewijs en argumenten aan te voeren met betrekking tot alle feitelijke en juridische punten. Het EHRM is dan ook overtuigd dat er geen beslissende feiten zijn die enkel in een hoorzitting naar voren gebracht konden worden, waarover nog discussie bestond. Daarnaast noodzaakten de juridische problemen aan de kern van de procedures geen mondelinge hoorzitting.

Het EHRM besluit dat er geen schending is van artikel 6 van het EVRM omwille van het ontbreken van een mondelinge hoorzitting in de nationale procedures.

Artikel 9 EVRM – Vrijheid van gedachte, geweten en godsdienst ↔ Artikel 8 EVRM –Recht op eerbiediging van privé-, familie- en gezinsleven

De kern van de hele kwestie bevindt zich op de balans tussen enerzijds de vrijheid van godsdienst (artikel 9 EVRM) en anderzijds het recht op eerbiediging van privéleven (recht op Privacy – artikel 8 EVRM).

Artikel 9 EVRM:

“1. Een ieder heeft recht op vrijheid van gedachte, geweten en godsdienst; dit recht omvat tevens de vrijheid om van godsdienst of overtuiging te veranderen, alsmede de vrijheid hetzij alleen, hetzij met anderen, zowel in het openbaar als privé zijn godsdienst te belijden of overtuiging tot uitdrukking te brengen in erediensten, in onderricht, in practische toepassing ervan en in het onderhouden van geboden en voorschriften.

2. De vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen kan aan geen andere beperkingen worden onderworpen dan die die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

In rechtspraak van het EVRM werd reeds bevestigd dat dit behoort tot een van de fundamenten van een democratische samenleving. Het behoort tot een van de meest cruciale elementen die bijdragen tot het vormen van de identiteit van gelovigen en hun levensopvatting, alsook is het zeer belangrijk voor de atheïsten, agnosten, sceptici en de onbekommerde. De vrijheid om al dan niet een religieuze overtuiging te hebben en al dan niet een godsdienst te belijden wordt beschermd door artikel 9 EVRM. Meer bepaald is het verspreiden van informatie over een bepaalde geloofsovertuiging aan anderen die deze geloofsovertuiging niet hebben, ook bekend als missionariswerk, beschermd.

Artikel 8 EVRM:

“1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

 

Het concept privéleven is zeer breed. Rechtspraak van het EHRM heeft duidelijk gemaakt dat het recht om privé te leven, weg van ongewenste aandacht wordt hieronder wordt geplaatst. Het werd eveneens reeds bevestigd en herhaald in dit arrest, dat het recht tot bescherming van persoonsgegevens door artikel 8 wordt gewaarborgd. Dit laatste is van fundamenteel belang voor een individu zijn genot van het recht tot eerbiediging van privé-en familieleven zoals vervat in artikel 8 EVRM.

Concrete afweging in deze zaak

Artikel 9 §2 EVRM laat ruimte voor een inmenging indien dit voorgeschreven is per wet, voor een legitiem doel en noodzakelijk is in een democratische samenleving.

Teneinde te oordelen of er aan schending van artikel 9 EVRM plaatsvond door het verbod dat door de Data Protection Board werd opgelegd om persoonsgegevens zonder expliciete toestemming te verwerken, beoordeelde het Hof achtereenvolgend:

  1. Het bestaan van een inmenging;
  2. Of de inmenging voorgeschreven is bij wet;
  3. Een legitiem doel wordt nagestreefd;
  4. De inmenging noodzakelijk in een democratische samenleving is.

Allereerst stelt het EHRM vast dat de toepassing van de vereiste van toestemming voor de verzameling en verwerking van persoonsgegevens en gevoelige gegevens door de Getuigen van Jehova in het kader van het deur-tot-deur prediken een inmenging uitmaakt van het recht op privéleven van de Gemeenschap.

Vervolgens staat het vast dat de inmenging een wettelijke basis had in de Personal Data Act.

Het legitiem doel bestaat uit het beschermen van de rechten en vrijheden van andere, betrokkenen in het licht van hun persoonsgegevens in dit geval.

Wat betreft de noodzaak in een democratische samenleving, verduidelijkt het EHRM dat de betrokkenen een redelijke verwachting van privacy hadden en mochten verwachten dat de bepalingen i.v.m. verwerking persoonsgegevens nageleefd werden bij de persoonsgegevens en gevoelige gegevens die verzameld en verwerkt werden bij het van deur-tot-deur prediken. Het vereisen van toestemming door de betrokkene is een gepaste en noodzakelijke waarborg teneinde te voorkomen dat enige communicatie of bekendmaking van persoonlijke en gevoelige gegevens in deze context voorvalt. Het EHRM ziet niet in hoe het vragen en verkrijgen van toestemming  het recht op vrijheid van godsdienst van de Gemeenschap en haar leden zou verhinderen. Enige bewijs van het tegendeel werd niet geleverd.

De nationale rechtbanken hebben dan ook een evenwichtige balans (“fair balance”) gevonden tussen beide rechten en er is geen schending van artikel 9 van het EVRM.

 

 

De Getuigen van Jehova hadden steeds (en zullen dus in de toekomst ook) de bepalingen en principes i.v.m. verwerking van persoonsgegevens moeten naleven en hebben nood aan de duidelijke en expliciete toestemming van de betrokkenen om de verwerking uit te voeren.

Indien u nog vragen heeft kan u steeds het Studio Legale team bereiken via het telefoonnummer 03/216.70.70 of via mail: [email protected].

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 48/2021 VAN 8 APRIL 2021

Betreft

Een notaris raadpleegde de gegevens van haar ex-medewerker in het rijksregister voor het verzenden van eco-cheques. Beging zij hierbij een inbreuk?

Context

Raadpleging gegevens rijksregister van ex-medewerker door notaris.


Rechtsgrond

Artikel 5.1.a) en c) GDPR: “1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

(…)

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”

 

Artikel 6 GDPR:

“1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

 


a) Unierecht; of

b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

 

4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

 


a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

 

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. (hierna Rijksregister-wet)

Artikel 100 WOG:

Ҥ 1

De geschillenkamer heeft de bevoegdheid om:

1° een klacht te seponeren;

2° de buitenvervolgingstelling te bevelen;

3° de opschorting van de uitspraak te bevelen;

4° een schikking voor te stellen;

5°  waarschuwingen en berispingen te formuleren;

6° te bevelen dat wordt voldaan aan de verzoeken van de betrokkene om zijn rechten uit te oefenen;

7° te bevelen dat de betrokkene in kennis wordt gesteld van het veiligheidsprobleem;

8° te bevelen dat de verwerking tijdelijk of definitief wordt bevroren, beperkt of verboden;

9° te bevelen dat de verwerking in overeenstemming wordt gebracht;

10° de rechtzetting, de beperking of de verwijdering van gegevens en de kennisgeving ervan aan de ontvangers van de gegevens te bevelen;

11° de intrekking van de erkenning van certificatie-instellingen te bevelen;

12° dwangsommen op te leggen;

13° administratieve geldboeten op te leggen;

14° de opschorting van grensoverschrijdende gegevensstromen naar een andere Staat of een internationale instelling te bevelen;

15° het dossier over te dragen aan het parket van de procureur des Konings te Brussel, die het in kennis stelt van het gevolg dat aan het dossier wordt gegeven;

16° geval per geval te beslissen om haar beslissingen bekend te maken op de website van de Gegevensbeschermingsautoriteit.

 §2

Wanneer na toepassing van § 1, 15°, het openbaar ministerie er van afziet een strafvervolging in te stellen, een minnelijke schikking of een bemiddeling in strafzaken bedoeld in artikel 216ter van het Wetboek van strafvordering voor te stellen, of wanneer het openbaar ministerie geen beslissing heeft genomen binnen een termijn van zes maanden te rekenen van de dag van ontvangst van het dossier, beslist de Gegevensbeschermingsautoriteit of de administratieve procedure moet worden hernomen.”

 

Feiten

De medewerker was in dienst bij de notaris en volgens zijn arbeidscontract alsook het contract i.v.m. de toekenning van ecocheques was hij woonachtig in Wallonië. In tegenstelling tot het contract waarin de maandelijkse bijschrijving van de ecocheques op de ecochequerekening van de medewerker werd opgenomen, werden de ecocheques steeds per post verzonden.

Om de reistijd te beperken verhuisde de medewerker naar Vlaanderen. Hij behield zijn woonplaats in Wallonië.

In 2020 kwam het ontslag van de medewerker, welke in een gespannen sfeer zou hebben plaatsgevonden waarbij alle vertrouwen tussen de notaris en de medewerker zoek was.

Er bleef nog € 56,07 aan ecocheques verschuldigd door de notaris aan de medewerker. Pas na twee herinneringen heeft de notaris deze ecocheques aan de medewerker verzonden na, volgens de eigen verklaring van de notaris, het Rijksregister te hebben geraadpleegd voor het correcte adres.

De medewerker hekelde deze raadpleging van het Rijksregister.

De notaris verklaarde in dit verband dat hij had willen nagaan wat het correcte adres was om de ecocheques naar te verzenden aangezien hij niet zeker was omwille van het feit dat de medewerker een adres in Vlaanderen en Wallonië had.

De Geschillenkamer benadrukt allereerst de omvang van haar eigen bevoegdheid om aan te tonen dat de klacht hierbinnen valt.

De controletaak van de GBA betreft de naleving van de GDPR in haar geheel. Haar bevoegdheid beperkt zich dus niet tot de “fundamentele beginselen van gegevensbescherming”. Evengoed omvat de bevoegdheid van de GBA ook bepalingen met betrekking tot gegevensbescherming vervat in specifieke wetgeving, zoals in casu de Rijksregisterwet alsook bv. de Camerawet zoals reeds in eerdere beslissingen is gebleken.[1]

Het verweer van de notaris dat de GBA onbevoegd is aangezien deze bevoegdheid zich beperkt tot de “fundamentele beginselen  van gegevensbescherming” wordt dan ook door de Geschillenkamer van tafel geveegd.

Daarnaast tracht de notaris te beweren dat de controle i.v.m. de toegang tot het rijksregister een bevoegdheid is van de minister van Binnenlandse Zaken.

De machtiging vervat in artikel 5.1 van de Rijksregisterwet aan de notarissen om toegang te krijgen tot het Rijksregister  wordt inderdaad door de minister van Binnenlandse Zaken uitgereikt.

Het onderzoek of de toegang rechtmatig was, behoort volgens de Geschillenkamer ongetwijfeld tot de bevoegdheid van de GBA. De toezichthoudende bevoegdheid werd namelijk niet bij wet aan de minister van Binnenlandse Zaken toegekend. Een minister voldoet overigens per definitie niet aan de voorwaarden om de taken van een onafhankelijke gegevensbeschermingsautoriteit onder de GDPR uit te oefenen. (artikel 51 GDPR)

Artikel 17 van de Rijksregisterwet verwijst overigens zelf naar de bevoegdheid van de GBA.

De klacht is dus ontvankelijk.

De Geschillenkamer oordeelt dat de raadpleging van het Rijksregister van de medewerker door de notaris niet beperkt werd tot de specifieke uitoefening van het beroep.

Het feit dat de notaris ook via een andere bron (Kruispuntbank van de Sociale Zekerheid) toegang tot de adresgegevens zou hebben gehad, doet hier geen afbreuk aan. Dit kan enkel in acht genomen worden bij de beoordeling van de sanctie.

De notaris heeft het Rijksregister zonder passende rechtsgrondslag geraadpleegd en aldus een gegevensverwerking verricht waarbij hij zich niet kon beroepen op een van de rechtmatigheidsgronden in artikel 6 GDPR. Hij schendt hierdoor artikel 6 als ook artikel 5.1.a) GDPR dat bepaalt dat de verwerking rechtmatig moet zijn.

Volgens de GBA was de raadpleging bovendien niet noodzakelijk aangezien de adressen in de overeenkomsten vervat waren en de notaris steeds de kans had om in reactie op de herinneringen van de medewerker, de vraag naar het correcte adres aan hem te stellen. Hierbij herinnert de Geschillenkamer aan het minimaliseringsbeginsel vervat in artikel 5.1.c) GDPR.

Met betrekking tot de sanctie maakt de Geschillenkamer een uitgebreide overweging van alle concrete omstandigheden:

  • De schending betreft de grondbeginselen van de GDPR waarvoor een hogere maximale boete kan opgelegd worden;
  • De notaris heeft als openbaar ambtenaar en strikt gereglementeerd vrij beroep een voorbeeldfunctie waardoor vereist wordt dat hij een voorbeeldige houding aanneemt m.b.t de naleving van de wet, inclusief regelgeving inzake gegevensbescherming;
  • Het betreft een alleenstaande schending m.b.t. één werknemer in de specifieke en eenmalige context van vertrouwensbreuk. Daarnaast zorgde de covid-19-pandemie en de opkomende lockdown voor bijkomende moeilijkheden voor de verzending. Er is geen enkele reden om aan te nemen dat de schending deel is van een structureel gebrek bij de werking van de notaris;
  • De notaris is van mening dat adresgegevens betrekkelijk onbeduidend zijn en niet bijzonder gevoelig. Hij heeft geen mogelijkheid om bij de raadpleging van het Rijksregister de zoekopdracht enkel hiertoe te beperken;
  • De notaris heeft verschillende maatregelen genomen om aan zijn verplichtingen als verwerkingsverantwoordelijke te voldoen (bv. benoeming DPO, register van verwerkingsactiviteiten, beleid inzake bescherming van persoonsgegevens voor burgers…);

Op basis van al deze elementen volstaat volgens de Geschillenkamer een berisping.

Uitspraak

De geschillenkamer stelt een inbreuk van artikel 6 GDPR juncto artikel 5.1.a) GDPR vast en legt een berisping op als sanctie.

Onze mening

Net zoals we in eerdere beslissingen met betrekking tot burgemeesters en schepenen hebben kunnen vaststellen, blijft de GBA terecht belang echten aan de voorbeeldfunctie van de notaris in haar beoordeling van de inbreuken.

De toegang tot het Rijksregister is een bevoegdheid van de notaris die énkel wordt verstrekt in het kader van de uitoefening van zijn specifieke beroep. De notaris ging in casu deze bevoegdheid te buiten.

De sanctie van berisping lijkt ons gepast gelet op het feit dat blijkt dat dit een eenmalig voorval is waarbij de notaris geleid werd door de vertrouwensbreuk en de moeilijke omstandigheden in het kader van de pandemie en in dit kader zich wou verzekeren van de correcte adressering teneinde geen verder geschil met de voormalige medewerker te bewerkstelligen.

Beslissing

Beslissing 48/2021

 

[1] Zie bv. Beslissing ten gronde nr. 80/2020 (https://studio-legale.com/rechtspraak-gba-beslissing-ten-gronde-nr-80-2020-van-17-december-2020/ ).

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 27/2023 VAN 13 MAART 2023

Betreft

Een verhuurder reageert niet tijdig, noch volledig op een verzoek tot inzage van een voormalige huurder. De Geschillenkamer laat hier haar licht over schijnen.

Context

Uitoefening recht op inzage door voormalige huurder t.a.v. voormalige verhuurder.

Rechtsgrond

Artikel 12, lid 3 en 4 GDPR:

“3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

 

Artikel 15, lid 1 GDPR:

“1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

a) de verwerkingsdoeleinden;

b) de betrokken categorieën van persoonsgegevens;

c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”

Feiten

De voormalige huurder stelde op 2 december 2019 een verzoek tot inzage in bij zijn voormalige verhuurder. Op 31 december 2019 wordt hij door zijn voormalige verhuurder verwittigd dat hij de antwoordtermijn met twee maanden verlengt.

Dat antwoord bleef uit en op 3 maart 2020 diende de voormalige huurder een klacht in.

De voormalige huisbaas ontkent niet dat het antwoord uitgebleven is. Hij zou advocaten hebben geraadpleegd om een afdoende antwoord voor te bereiden. Omwille van onderbemanning, werd dit blijkbaar vergeten en nooit verzonden.

Op 2 september 2020, in de loop van de procedure, werd een antwoord geboden. Volgens de voormalige huurder is dat antwoord onvolledig. De voormalige huisbaas beweert dat de vragen die onbeantwoord zijn gebleven niet onder het recht op inzage vallen en hij hier dus niet op moest antwoorden.

De Geschillenkamer verduidelijkt dat het recht van inzage uit drie componenten bestaat.

Als eerste heeft de betrokkene het recht om uitsluitstel te krijgen over het al dan niet verwerken van zijn persoonsgegevens door de verwerkingsverantwoordelijke.
Vervolgens, wanneer er een verwerking is, heeft hij het recht om inzage te krijgen van die persoonsgegevens en meer bepaald ook de informatie vermeld in artikel 15 lid 1, a) tot en met h).[1]

Tot slot heeft hij het recht om een kopie van die persoonsgegevens te verkrijgen.

Bij de uitoefening van het recht op inzage kan een verwerkingsverantwoordelijke inderdaad de initiële antwoord termijn van één maand verlengingen met twee maanden indien hij dit meedeelt binnen deze initiële termijn. Echter, indien hij niet van plan is om gevolg hieraan te geven, moet hij dit meedelen binnen de initiële termijn van één maand én de betrokkene informeren over de mogelijkheid om beroep in te stellen bij de GBA.

Het is duidelijk, en wordt niet ontkend, dat de voormalige verhuurder niet binnen de termijn heeft gereageerd. Hij reageerde pas op 2 september 2020 (kort nadat hij door de GBA geïnformeerd was van procedure ten gronde) terwijl het verzoek dateerde van 2 december 2019.

De voormalige huurder voert aan als reden de langdurige afwezigheid van de behandelende werknemer en volhardt wel degelijk voornemens te zijn geweest een antwoord te formuleren.

De Geschillenkamer oordeelt dat dergelijke omstandigheid hem niet ontslaat van zijn verplichtingen en er een schending is van artikel 15, lid 1 en artikel 12, leden 3 en 4 GDPR.

De Geschillenkamer stelt wel rekening te zullen houden met het feit dat aangetoond werd dat er inderdaad door advocaten begonnen werd met het opstellen van een antwoord en dat de voormalige verhuurder intussen organisatorische maatregelen heeft genomen om dergelijk voorval te vermijden naar de toekomst toe.

Drie vragen bleven echter onbeantwoord door de voormalige huisbaas en de voormalige huurder stelt dat dit ook een inbreuk uitmaakt op basis van het recht op inzage.

Het betreft vragen met betrekking tot 1) het bestaan van mogelijke lekken van de gegevens van de voormalige huurder wegens gebrekkige beveiliging, 2) de beveiligingsprotocollen van de voormalige verhuurder en 3) de beveiligings- en organisatorische maatregelen met betrekking tot de verwerking van persoonsgegevens door de werknemers of medecontractanten van de voormalige verhuurder

De Geschillenkamer oordeelt dat deze inderdaad buiten het bereik van het recht op inzage vallen en de voormalige verhuurder niet verplicht was hierop te antwoorden.

In het kader van een datalek dient slechts een melding gemaakt te worden aan een betrokkene wanneer deze “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Niets toont aan dat dit hier het geval zou zijn.

In het verband met de beveiligingsprotocollen en beveiligings- en organisatorische maatregelen stelt de Geschillenkamer vast dat deze niet in de lijst met informatie van artikel 15 zijn opgenomen.

Uitspraak

Een inbreuk op artikel 15, lid1 en artikel 12, leden 3 en 4 GDPR wordt vastgesteld en er wordt slechts een berisping opgelegd.


Onze mening

Terecht wordt een inbreuk vastgesteld door de Geschillenkamer op het recht op inzage gelet op de laattijdigheid van het antwoord door de voormalige huisbaas.

Een berisping kan volstaan gelet op de verzachtende omstandigheid dat wel degelijk de intentie is gebleken om te antwoorden én dat de voormalige huisbaas maatregelen heeft genomen om dit naar de toekomst toe te vermijden.

Beslissing

Beslissing 27/2023

[1] Zie in dit verband ons eerder artikel over het recht op inzage: https://studio-legale.com/recht-op-inzage/

BIOMETRISCHE GEGEVENS: AANBEVELING BETREFFENDE DE VERWERKING VAN BIOMETRISCHE GEGEVENS

Steeds vaker worden biometrische gegevens gebruikt voor allerhande doeleinden. Denk maar aan het scannen van een vingerafdruk van een werknemer om toegang te kunnen krijgen tot een kantoorgebouw[1] of, verregaander, het scannen van gezichten om op die manier hun aankoopgedrag te monitoren.[2] Uiteraard zijn dit verregaande verwerkingen die niet zomaar mogen worden gedaan onder de GDPR. Daarom lichten wij toe waaraan, volgens de Gegevensbeschermingsautoriteit, voldaan moet zijn om biometrische gegevens op een correcte manier te verwerken.

 

Wat?

In eerste plaats dient vastgesteld te worden wat biometrische gegevens juist zijn. De GDPR definieert het begrip in art. 4.14 als volgt:

Biometrische gegevens: “Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kernmerken van een natuurlijk persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.”

Met het geven van de twee voorbeelden op het einde, geeft de GDPR meteen ook de meest gekende, en begrijpelijke vormen van biometrische gegevens weer, namelijk gezichtsafbeeldingen en vingerafdruk gegevens.

De GDPR deelt de biometrische gegevens in twee categorieën in:

  • Fysieke, of ook wel lichamelijke kenmerken;
  • Gedragsgerelateerde kenmerken

Fysieke kenmerken zijn zeer eenvoudig. Dit zijn namelijk de fysische of fysiologische eigenschappen van een persoon, zoals gezichtsinformatie, irisscans, vingerafdrukken…

Gedragsgerelateerde kenmerken zijn moeilijker te omschrijven. De technologie staat niet stil waardoor dit in de toekomst waarschijnlijk beter uitgewerkt en vaker van toepassing zal zijn.

Een reeds bestaand voorbeeld hiervan is de identificatie aan de hand van het unieke stappatroon van personen.

 

Hoe?

Verwerking

Biometrische gegevens worden in twee verschillende fasen verwerkt, namelijk de inzamelingsfase en de vergelijkingsfase.

De inzamelingsfases bestaan uit twee delen:

  • De eerste inzamelingsfase: hierbij wordt de referentie-informatie (bijvoorbeeld een vingerafdruk) geregistreerd. Deze informatie wordt omgezet in een template. Dit template zorgt ervoor dat in de toekomst verwerkte gegevens geverifieerd kunnen worden ten opzichte van de referentie-informatie.
  • De tweede inzamelingsfase: de gegevens worden verwerkt en vergeleken met de template. Indien deze overeenstemmen oordeelt het systeem dat dit dezelfde persoon is als wie de referentie-informatie verwerkt werd (bijvoorbeeld de vingerafdruk komt overeen met deze in het systeem).

De tweede fase is de vergelijkingsfase. Hierbij wordt  de ingezamelde informatie vergeleken met alle biometrische informatie die beschikbaar is in het systeem. Op deze manier kan de gebruiker geïdentificeerd worden tussen alle geregistreerde personen.

 

Opslag van gegevens

Er zijn drie manieren om biometrische informatie op te slaan:

  • Type 1: Beheer van het template door de betrokkene zelf. De betrokkene bewaart de template waarbij er geen koppeling mogelijk is met andere informaticasystemen. Dit kan bijvoorbeeld een badge zijn om toegang te krijgen tot een gebouw. Dit is de werkwijze die principieel aangewend dient te worden. Er kan slechts zeer uitzonderlijk van afgeweken worden.
  • Type 2: Gedeeld beheer. Er is een centrale template databank die door de verwerkingsverantwoordelijke beheerd wordt zonder dat deze er gebruik van kan maken zonder toestemming van de betrokkene.
  • Type 3: exclusief beheer door de verwerkingsverantwoordelijke. Dit is de meest verregaande optie. Hiervoor dienen dan ook de meest strenge voorwaarden in acht genomen te worden.

Rechtsgrond

Voor het verwerken van biometrische gegevens is het belangrijk dat er, net zoals bij iedere verwerking, een rechtsgrond is op basis waarvan de gegevens verwerk worden.

In de praktijk zal de rechtsgrond meestal de uitdrukkelijk toestemming van de betrokkene zijn. Hierbij is het zeer belangrijk dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig wordt gegeven.

In uitzonderlijke gevallen zal de rechtsgrond het zwaarwegend algemeen belang zijn. Dit dient echter zeer restrictief toegepast te worden. Enkel wanneer het gebruik van biometrische gegevens onvermijdelijk is, zal er hiervan sprake kunnen zijn indien dit bij wet voorzien wordt.

Algemeen

Net zoals bij iedere verwerking zijn ook de volgende algemene zaken belangrijk:

  • Doelbinding;
  • Proportionaliteit;
  • Beveiliging;
  • Opslagbeperking;
  • Transparantieverplichting;

Gegevensbeschermingseffectbeoordeling

In geval er sprake is van een verwerking van biometrische gegevens met oog op de unieke identificatie van personen in een privéruimte  die toegankelijk is voor het publiek of in een openbare ruimte, zal er steeds een gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. Het is dan ook aangeraden, gelet op het inherente risico voor de rechten en vrijheden van de betrokkenen dat komt kijken bij het verwerken van biometrische gegevens om een gegevenseffectenberschermingsbeoordeling uit te voeren omdat het uitlaten hiervan slechts in uitzonderlijke gevallen gerechtvaardigd zal zijn.[3]

 

Besluit

Voor het verwerken van biometrische gegevens zal men dus steeds de beschermingsregels van de GDPR in acht moeten houden.

Indien u na het lezen van dit artikel vragen hebt omtrent de verwerking van biometrische gegevens, of de verwerking van persoonsgegevens in het algemeen, kan u contact opnemen via [email protected] of op 03 216 70 70.

Gebruikte bronnen

Juridische bronnen:

  • Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
  • Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens;
  • Beslissing 01/2019 van 16 januari 2019 van de Gegevensbeschermingsautoriteit.

Nieuws:

  • CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.

[1] Autoriteit Persoonsgegevens, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers, 30 april 2020, https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers.

[2] X., “Face Recognition in retail”, https://www.raydiant.com/blog/everything-about-facial-recognition-in-retail

[3] Punt 6 van beslissing nr. 01/2019 van de gegevensbeschermingsautoriteit; Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens, 36-37,

https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf

RECHTSPRAAK GBA: BESLISSING NR. 181/2022 VAN 9 DECEMBER 2022

Betreft       

Een koeriersbedrijf bezorgt een pakketje van haar bestemmeling bij de buren zonder toestemming. Mag dat zomaar?

Context      

Levering pakketje bij buren zonder toestemming

Rechtsgrond

Artikel 2.1. GDPR: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

Artikel 95, §1, 3° WOG: “De geschillenkamer beslist over de opvolging die het geeft aan het dossier en is bevoegd:

(…)

3° de klacht te seponeren;”

Feiten en beoordeling

De bestemmeling van een pakketje diende op 7 november 2022 een klacht in bij de GBA tegen de koeriersdienst die het pakketje bij de buren leverde zonder toestemming hiertoe. De buren bezorgde het pakketje aan de bestemmeling.

De bestemmeling baseert de klacht op dat de buren, door de bezorging van het pakketje aan hun adres, kennis hebben kunnen nemen van zijn persoonsgegevens, nl. naam en adres.

De Geschillenkamer beslist over te gaan tot technisch sepot.

De feiten vallen naar oordeel van de Geschillenkamer niet onder het materieel toepassingsgebied van de GDPR zoals vervat in artikel 2.1.

Overwegingen 6 en 7 van de GDPR verduidelijken het kader waaromtrent de invoering van de GDPR noodzakelijk werd geacht:

“(6) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.

 

 

(7) Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.”

Het toepassingsgebied van de GDPR kadert zich dus volgens de Geschillenkamer in het licht hiervan op de verwerking van gegevens in een digitale omgeving.

De levering van het postpakket aan de buren houdt dan ook geen geheel of gedeeltelijk geautomatiseerde verwerking in, noch een verwerking van persoonsgegevens die in bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.

Een behandeling van de klacht is dan ook niet mogelijk.

Uitspraak   

Op grond van Artikel 95, §1, 3° WOG wordt de klacht geseponeerd.

Onze mening        

Terecht wordt het loutere bezorgen van een postpakket aan buren die dit pakket aan de bestemmeling bezorgden niet geacht een verwerking van persoonsgegevens onder de GDPR uit te maken op zich.

Volgens ons is het wel niet zo evident om te stellen dat er sowieso in heel dit gebeuren geen persoonsgegevens verwerkt worden. Uiteraard verwerkt de koeriersdienst wel persoonsgegevens voor de levering en mogelijks ook deze van de buren bij de levering. Alleszins worden persoonsgegevens gebruikt van en bekendgemaakt aan de buren die mogelijk wel degelijk een verwerking uitmaken.

In casu, waarbij er geen melding is van een bijzonder gevoelig pakje en dat de buren dit onmiddellijk hebben rechtgezet, lijkt het ons een gepaste oplossing van de GBA om hier verder geen gevolg aan te geven. Er zijn echter wel situaties denkbaar waarin dit problematischer is. Bijvoorbeeld bij de levering van “gevoelige/niet-onschuldige” pakketjes (bv. medicatie, seksspeeltjes…).

De koeriersdiensten moeten (voorlopig) hiervoor dus geen GDPR-repercussies vrezen. Niettemin lijkt het ons aangewezen om steeds de leveringsvoorkeuren van klanten te respecteren en niet op eigen initiatief pakketjes bij de buren aan te bieden om verdere klachten te voorkomen.

Beslissing

Beslissing 181/2022

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 80/2020 VAN 17 DECEMBER 2020

Betreft       

Er wordt een klacht ingesteld door een persoon zonder persoonlijk belang, die anoniem wenst te blijven, m.b.t. camerabewaking in een carwash. Volstaat een publiek belang om te doen blijken van een voldoende belang bij de GBA?

Context      

Anonieme klacht tegen het gebruik van bewakingscamera’s in een carwash

Rechtsgrond

Art. 6. Camerawet: “De beslissing tot het plaatsen van een of meer bewakingscamera’s in een voor het publiek toegankelijke besloten plaats wordt genomen door de verantwoordelijke voor de verwerking.

 

De verantwoordelijke voor de verwerking deelt de in § 1 bedoelde beslissing mee aan de Commissie voor de bescherming van de persoonlijke levenssfeer en de korpschef van de politiezone waar die plaats zich bevindt. Hij doet dat uiterlijk de dag vóór die waarop de bewakingscamera of -camera’s in gebruik worden genomen.

(…)

 

De verantwoordelijke voor de verwerking plaatst bij de toegang tot de voor het publiek toegankelijke besloten plaats een pictogram dat aangeeft dat er camerabewaking plaatsvindt. Het model van dat pictogram en de erop te vermelden inlichtingen worden door de Koning bepaald, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

(…)”

Art. 9. Camerawet: “Uitsluitend de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, heeft toegang tot de beelden.

 

De verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, neemt alle nodige voorzorgsmaatregelen teneinde de toegang tot de beelden te beveiligen tegen toegang door onbevoegden.

 

De personen die toegang hebben tot de beelden, hebben een discretieplicht omtrent de persoonsgegevens die de beelden opleveren, met dien verstande dat de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, de beelden : 1° kan overdragen aan de politiediensten of de gerechtelijke overheden indien hij feiten vaststelt die een misdrijf kunnen vormen en de beelden kunnen bijdragen tot het bewijzen van die feiten en het identificeren van de daders;2° moet overdragen aan de politiediensten indien zij hierom verzoeken in het kader van hun opdrachten van bestuurlijke of gerechtelijke politie en de beelden het vastgestelde misdrijf betreffen. Indien het een private plaats betreft, kan de verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, evenwel eisen dat er een gerechtelijk mandaat in het kader van een opsporingsonderzoek of gerechtelijk onderzoek wordt voorgelegd.”

Art. 17 Ger.W: “De rechtsvordering kan niet worden toegelaten, indien de eiser geen hoedanigheid en geen belang heeft om ze in te dienen.

(…)”

Art. 100 §1, 1°:

“De geschillenkamer heeft de bevoegdheid om:

         1° een klacht te seponeren;

         (…)”

Feiten

Een klant hekelt het feit dat er in een carwash gebruikt wordt gemaakt van bewakingscamera’s zonder vermelding dat de klanten worden gefilmd d.m.v. pictogrammen zoals de camerawetgeving voorschrijft. Er wordt ook met geen woord gerept over het gebruik van bewakingscamera’s in de privacyverklaring zoals gepubliceerd op de website van de carwash. Bovendien werden videobeelden en foto’s gebruikt op de facebookpagina van mevrouw Z door de carwash om haar ongelijk aan te tonen. De klant – die anoniem wenst te blijven – vermoedt eveneens dat het beeldmateriaal onbeperkt wordt bijgehouden.

Hoewel de geschillenkamer haar bevoegdheid bevestigt om kennis te nemen van klachten i.v.m. inbreuken op de Camerawet en inbreuken op de GDPR  nadat de Inspectiedienst terecht een aantal ernstige aanwijzingen i.v.m. inbreuken op de Camerawet en GDPR vaststelde, besluit de Geschillenkamer dat zij genoodzaakt is de klacht te seponeren omwille van een gebrek aan voldoende concreet belang.

Hoewel artikel 17 Ger. W., dat een vereiste van hoedanigheid en belang aan procespartijen oplegt, volgens de Geschillenkamer niet rechtstreeks van toepassing is op een procedure binnen de GBA, lijkt deze toch minstens naar analogie toepassing te vinden. In hoger beroep bij het Marktenhof zal dit hoe dan ook wel van toepassing zijn. De Geschillenkamer bevestigt dat een klager blijk moet geven van een voldoende belang.

De anonieme klager heeft uitdrukkelijk aangegeven dat hij niet over een persoonlijk belang beschikt en stoelt zich louter op het publiek belang voor de klacht. Gelet op het feit dat de klant niet aantoont of zelfs geen element aanvoert dat hem in verband brengt met de verwerking van persoonsgegevens door de carwash, toont hij geen afdoende belang, noch hoedanigheid aan.

Uitspraak   

Gelet op het gebrek aan belang en hoedanigheid in hoofde van de anonieme klager wordt besloten om voorliggende klacht te seponeren.

Onze mening        

Net zoals in ons burgerlijke procesrecht oordeelt de Geschillenkamer dat de klager dient te beschikken over enerzijds een voldoende persoonlijk belang en anderzijds een hoedanigheid. Het nastreven van een publiek belang is onvoldoende.

De concrete rechtsgrond die de Geschillenkamer hiervoor gebruikt blijft onduidelijk aangezien zij eerst aangeeft dat artikel 17 Ger. W. niet van toepassing is, om vervolgens alsnog een gebrek aan belang en hoedanigheid als reden voor seponering aan te voeren.  Eerder besloot de Geschillenkamer reeds om een klacht na intrekking door de betrokkene nog verder te behandelen. Het is ons niet geheel duidelijk waarom van deze mogelijkheid in dit verband geen gebruik gemaakt werd.

Er lijkt op zeer technisch punt door de Geschillenkamer beroep gedaan om geen beslissing te moeten vellen, terwijl we lezen dat de inspectiedienst wel degelijk verscheidene inbreuken, minstens ernstige aanwijzingen op inbreuken op zowel de Camerawet als de GDPR heeft vastgesteld.

 

Beslissing

 

Beslissing 80/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 71/2020 VAN 30 OKTOBER 2020

Betreft       

Het uploaden van een video op YouTube met vermelding van naam en adres van een buurtbewoner. Mag dat zomaar?

Context      

YouTube video waarbij de identiteit van een persoon zonder zijn toestemming wordt kenbaar gemaakt

Rechtsgrond

Artikel 4.1 GDPR: (Definities – Persoonsgegevens);

Artikel 6.1.d) & e) GDPR: (Rechtmatigheid van de verwerking);

Feiten

Op een gegeven ogenblik uploadt een buurtbewoner een video op YouTube waarbij de woning – en meer bepaald de schouw van een andere buurtbewoner die een houtvuur gebruikt – te zien is. Hierbij wordt ook de naam en het adres van de bewoner van de betreffende woning vermeld. De houtstoker maakt de zaak vervolgens aanhangig bij de GBA.

Voorafgaand aan de beoordeling en beslissing van de GBA

Op 17 april 2019 beslist de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde. Een week later ontvangt de Geschillenkamer vanwege de buurtbewoner die de video op Youtube zette, de mededeling dat hij de tussenkomst van de Geschillenkamer niet aanvaardt en hij in beroep wenst te gaan bij het Marktenhof tegen de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde.

Hij zou onder druk worden gezet door de Eerstelijnsdienst door het dreigen met het opleggen van een hoge geldboete zonder in kennis te zijn gesteld van enige inhoudelijke klacht. Hierdoor zou blijk zijn gegeven van partijdigheid en zou zijn gehandeld in strijd met het reglement van interne orde van de GBA. Ten tweede zou er tevens voor dezelfde feiten een klacht zijn ingediend bij  het Openbaar Ministerie waardoor de buurtbewoner vraagt om beide dossiers samen te voegen en te laten behandelen door een rechtbank ten gronde.

Op 10 mei 2019 verzoekt het Marktenhof bij Hof van Beroep te Brussel voor de toezending van het rechtsplegingsdossier overeenkomstig artikel 723 Ger.W. Het Marktenhof bekijkt het dossier en oordeelt dat een beslissing van de Geschillenkamer uitvoerbaar bij voorraad is en derhalve de procedure voor de Geschillenkamer moet worden voortgezet. De buurtbewoner blijft zich verzetten en op 29 mei 2019 vindt er een inleidingszitting plaats bij het Marktenhof waarbij de GBA verstek laat.

Het arrest van het Marktenhof[1] kan als volgt worden samengevat:

  • Vereiste van onpartijdigheid van de Geschillenkamer van de GBA

De situatie waarbij bepaalde personeelsleden van de GBA enerzijds adviezen geven en mailverkeer voeren met personen die denken gegriefd te zijn en dat dezelfde personeelsleden nadien, in dezelfde zaak, desgevallend fungeren als adviseur van de Geschillenkamer van de GBA of in een andere hoedanigheid, is vatbaar voor kritiek en sanctie.

Ook het feit dat dat de GBA reeds een inhoudelijk standpunt ten gronde heeft ingenomen door te dreigen met torenhoge boetes bij gebreke aan verwijdering van de video’s, én waar later één van haar organen te weten de Geschillenkamer als administratieve rechter zal moeten oordelen over het al dan niet bewezen zijn van een beweerde inbreuk, getuigt volgens het Marktenhof niet van een naleven van alle rechten van verdediging

  • Beslissing Geschillenkamer dat dossier gereed is voor behandeling

Aangaande de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde en daartoe een conclusiekalender heeft bepaald, stelt het Marktenhof dat het ontvankelijk verklaren van een klacht niet vooruit loopt op de beoordeling ervan.

  • Bedreiging van de burger met mogelijke veroordeling tot het betalen van hoge boetes

Het Marktenhof stelt dat, hoewel de bedreiging die wordt gericht aan de burger en waarbij hem voorgespiegeld wordt dat hij tot het betalen van hoge boetes zal kunnen worden veroordeeld door de GBA, deze niet in strijd is met een wettelijke bepaling, doch de GBA door de gehele wijze van handelen wel minstens de schijn wekt niet onpartijdig te zullen optreden.

Het Marktenhof beslist dat nieuwe conclusietermijnen dienen te worden bepaald waarbij de eerste termijn voor de houtstoker ten vroegste vervalt op de laatste dag van de maand die aanvangt nadat de procespartijen kennis hebben gekregen van het arrest. Het Marktenhof is hic et nunc niet gevat van een verhaal tegen een ‘beslissing’ ten gronde van de Geschillenkamer van de GBA en kan dienvolgens niet (bij voorbaat) oordelen over de wijze waarop de Geschillenkamer van de GBA dan wel het geschilpunt zou moeten oplossen.

Beoordeling GBA

Een video-opname van enkel en alleen een schouw waarop de uitstoot van rook te zien is zonder dat deze de identificatie van een persoon mogelijk maakt, is geen persoonsgegeven in de zin van artikel 4.1 GDPR. Echter, gezien de naam en het adres wel werd vermeld, maakt deze wel een verwerking uit van persoonsgegevens. De video-opname, alsmede de naam en het adres van de buurtbewoner zijn immers gepubliceerd met het oogmerk om te kunnen overgaan tot identificatie. De maker van de video erkent dit uitdrukkelijk doordat hij zelf aangeeft dat hij derden daarmee de gelegenheid  wil  bieden  om  te  achterhalen  wie de houtrookhinder veroorzaakt om zich vervolgens eventueel tegen die persoon burgerlijke partij te kunnen stellen…

Volgens artikel 6 van de GDPR is een  verwerking  van  persoonsgegevens  slechts  rechtmatig  indien  daartoe  een  rechtsgrond bestaat. Om de rechtmatigheid van de publicatie van het filmpje samen met de naam en het adres van de buurtbewoner aan te tonen, beroept de videomaker zich op artikel 6.1. d) GDPR (de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen) en artikel 6.1. e) GDPR (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen).

Voor wat betreft de rechtsgrond uit artikel 6.1.d) GDPR dient de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, voorop te staan. De videomaker voert echter niet aan dat de publicatie van de gegevens van de houtstoker van belang zouden zijn voor het leven van hemzelf, maar daarentegen wel van belang zou zijn voor de bescherming van de gezondheid van derden, meer bepaald de omwonenden door hen te beschermen tegen de hinder van houtrookemissie.

Uit overweging (46) van de GDPR volgt dat dat de verwerking van persoonsgegevens op grond van het vitale belang voor een  andere  natuurlijke  persoon  in  beginsel  alleen  is  toegestaan  indien  de  verwerking  kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Bijgevolg gaat de Geschillenkamer na of er desgevallend een andere rechtsgrond kan worden ingeroepen.

De videomaker beroept zich naast artikel 6.1.d) verder nog op artikel 6.1.e) GDPR. Volgens hem is  de  publicatie  noodzakelijk  voor  de  vervulling  van  een  taak  van algemeen belang Vermits uit zijn argumentatie niet blijkt dat  hij  zich  op  enige  rechtsgrond vastgesteld bij Unierecht of lidstatelijk recht beroept waaruit hij het recht zou kunnen putten om in het kader van het algemeen belang over te gaan tot de publicatie van de videobeelden met naam en adres van de houtstoker, is de Geschillenkamer van oordeel dat hij  zich niet kan beroepen op artikel 6.1. e) GDPR om de betreffende publicatie als rechtmatig te bestempelen.

Uit eigen initiatief onderzoekt de Geschillenkamer nog of de videomaker zich zou kunnen beroepen op de rechtsgrond van gerechtvaardigd belang in artikel 6.1. f) GDPR. Hiervoor herhaalt de Geschillenkamer zijn eerdere rechtspraak omtrent de voorwaarden die door het Hof van Justitie zijn vastgesteld, namelijk moet er voldaan worden aan 1) de doeltoets, 2) de noodzakelijkheidstoets en 3) de afwegingstoets.

  • Het aantonen van de ernst van de hinder en de impact van de rookemissie op de gezondheid van de omwonenden kan aangemerkt worden als een gerechtvaardigd doel;
  • Het feit dat de houtstoker met naam vermeld werd bij de video is niet als noodzakelijk te beschouwen voor het bereiken van het doeleinde. Hiermee wordt enkel bereikt dat deze als vervuiler aangemerkt wordt zonder enige mogelijkheid tot verweer. Zonder vermelding van de naam, kon het doeleinde ook bereikt worden.
  • Ook de afwegingstoets kan niet voldaan worden aangezien de houtstoker zich op geen enkel moment kon verwachten aan de publicatie van de beelden met zijn naam en adres. Enkel indien de toestemming werd gevraagd had dit mogelijk geweest onder de GDPR.

Uit het geheel van de uiteengezette elementen is de Geschillenkamer van oordeel dat de videomaker zich op geen enkele rechtsgrond kan beroepen waaruit de rechtmatigheid blijkt van de gegevensverwerking. De inbreuk op artikel 6.1. GDPR is aldus bewezen. De Geschillenkamer besluit hem hiervoor enkele een berisping te geven rekening  houdend  met  het  feit  dat  de videobeelden met vermelding van de naam en het adres van de houtstoker zijn verwijderd,  alsmede dat de inbreuk slechts voor een eerste keer werd begaan. Op het verzoek van de videomaker om hem een schadevergoeding toe te kennen, kan de Geschillenkamer niet ingaan vermits zij niet over die bevoegdheid beschikt.

Uitspraak   

  • Een berisping op te leggen voor wat betreft de inbreuk op artikel 6.1. GDPR.

Onze mening        

Gegevens zijn slechts persoonsgegevens in zoverre identificatie van een bepaalde persoon mogelijk is. Door het plaatsen van de naam en adres van de betrokkene bij de video op YouTube, kwalificeert de video als een persoonsgegeven.

De rechtmatigheidsgrond van vitaal belang voor andere natuurlijke personen is enkel mogelijk indien er geen beroep gedaan kan worden op andere rechtsmatigheidsgronden. De GDPR stelt m.a.w. een strenge voorwaarde om gebruik te kunnen maken van deze rechtmatigheidsgrond. Reden waarom zij in de praktijk maar sporadisch wordt gebruikt.

Het feit dat er slechts een berisping wordt opgelegd, lijkt ons voldoende gemotiveerd door de Geschillenkamer. Een eerste inbreuk vanwege de videomaker, die ook nog eens de beelden in de loop van de procedure heeft verwijderd, hoeft geen aanleiding te geven tot een boete. Een terechte beslissing, je mag niet zomaar beelden maken zonder toestemming en deze verspreiden.

 

Beslissing

Beslissing 71/2020

[1] De integrale tekst van het arrest is beschikbaar op de website van de Gegevensbeschermingsautoriteit via volgende link: https://www.gegevensbeschermingsautoriteit.be/publications/arrest-van-12-juni-2019-van-het-marktenhof.pdf

MAG U ALS WERKGEVER HET E-MAILVERKEER VAN UW WERKNEMERS CONTROLEREN?

Diverse media berichtten over een strafklacht tegen ING België.[1] De kredietinstelling zou het e-mailverkeer van zo’n 2.000 werknemers hebben gecontroleerd. Dit roept de vraag op of men als werkgever überhaupt het e-mailverkeer van werknemers mag controleren. Mag dit of gelden er specifieke voorwaarden? Wij zochten het voor u uit.

Privacyrecht vs. controlerecht

Het recht op privacy is een grondrecht waardoor het de werkgever principieel niet toegestaan is om uw e-mailverkeer te controleren. Inbreuken hierop zijn m.a.w. strafbaar. Maar op het principieel verbod gelden weliswaar enkele uitzonderingen waardoor in uitzonderlijke omstandigheden en onder strikte voorwaarden het de werkgever wel toegelaten is om de e-mails van haar werknemers te checken. De werkgever beschikt van zijn kant namelijk over een controlerecht en het zijn deze twee principes die in de praktijk steeds in de weegschaal moeten worden gelegd om een juiste inschatting te maken over de toelaatbaarheid om het e-mailverkeer van de werknemer na te gaan.

Werkgevers kunnen verschillende redenen hebben om e-mailverkeer te controleren, zoals het handhaven van de bedrijfsbeleidsregels, het beschermen van bedrijfsinformatie, het voorkomen van ongepast gedrag of het voldoen aan wettelijke verplichtingen.

Wat zegt de Gegevensbeschermingsautoriteit?[2]

De Gegevensbeschermingsautoriteit (hierna: GBA) is het onafhankelijke toezichtsorgaan dat toezicht houdt op alles wat te maken heeft met de verwerking van persoonsgegevens onder de GDPR en kan aanzien worden als de privacy waakhond van België.

Samengevat hebben werkgevers volgens de GBA in beginsel het recht om toezicht te houden op de elektronische communicatie die werknemers verrichten met de middelen die hen voor hun werk ter beschikking zijn gesteld. Dit onder voorwaarde dat bepaalde principes zoals het recht op privacy en vertrouwelijkheid van de correspondentie worden gewaarborgd. Om de privacy van de werknemer te beschermen, moet de werkgever rekening houden met de volgende basisprincipes:

  • Finaliteitsbeginsel

De werkgever moet steeds een rechtmatig doel nastreven zoals bijvoorbeeld de opvolging van de professionele correspondentie met cliënteel. Een werkgever mag dus niet uit nieuwsgierigheid controles uitvoeren, mar wel om de belangen van het bedrijf te vrijwaren.

  • Evenredigheidsbeginsel

Ten tweede moet de werkgever de controle beperken tot het strikt noodzakelijke. De controle moet noodzakelijk zijn om die doelstelling te bereiken. Als een e-mail bestemd is voor de personeelsdienst, is het niet de bedoeling dat andere afdelingen deze e-mail kunnen lezen. Dit betekent dat de gegevensverzameling in principe globaal moet blijven en dat individualisering (dus de identificatie van een specifieke werknemer) in principe niet is toegestaan. De werkgever mag daarbij geen toegang hebben tot persoonlijke e-mails van de werknemer, tenzij de werknemer deze gebruikt voor zakelijke doeleinden.

  • Transparantiebeginsel

Ten slotte moet de werknemer op de hoogte worden gebracht van een eventuele elektronische controle en van de wijze waarop deze wordt uitgevoerd. De GBA beveelt aan deze informatie te verspreiden via het arbeidsreglement, maar een transparant ICT-beleid, een specifieke bepaling in de individuele arbeidsovereenkomst of een cao behoren ook tot de mogelijkheden. Een werkgever mag nooit achter de rug van zijn medewerkers controles uitvoeren.

Wat zegt de GDPR[3]?

Overeenkomstig artikel 6 van de General Data Protection Regulation (hierna: GDPR) dient elke verwerking van persoonsgegevens te steunen op een rechtmatigheidsgrond. Het wettelijk recht van de werkgever om gezag uit te oefenen, kan een rechtmatigheidsgrond zijn voor de werkgever om elektronisch toezicht uit te oefenen op internet en e-mailverkeer van haar werknemers. De toestemming van de werknemer kan volgens de GBA dan weer niet als wettelijke basis dienen aangezien de werknemer zich noodzakelijkerwijs in een ondergeschikte positie bevindt ten opzichte van zijn werkgever, en dus geen toestemming kan geven uit vrije wil.

CAO nr. 81[4]

Het doel van deze CAO nr. 81 is ervoor te zorgen dat de privacy van de werknemer wordt gerespecteerd wanneer de werkgever gegevens van de elektronische netwerkcommunicatie verzamelt om die te controleren en omvat de drie grondbeginselen van de privacywetgeving, zoals hierboven besproken, het finaliteits-, evenredigheids- en transparantiebeginsel.

Daarnaast speelt nog het principe van individualisering, dat stelt dat de controle van de werkgever normaal gesproken alleen kan op een globale en niet op een individuele manier. In bepaalde gevallen kan de werkgever echter controles uitvoeren bij een bepaalde werknemer, namelijk:

  • Preventie van illegale of lasterlijke feiten, feiten in strijd met de goede zeden of feiten die de waardigheid van anderen kunnen aantasten;

  • Bescherming van de economische, commerciële en financiële belangen van de onderneming waaraan een vertrouwelijkheidsaspect is verbonden;

  • Veiligheid en/of de goede technische werking van de netwerkcomputersystemen van de onderneming en de fysieke bescherming van de installaties van de onderneming.

Conclusie

De regeling die de werkgever in staat stelt legaal toegang te krijgen tot de elektronische communicatie van zijn werknemer is vatbaar voor interpretatie. Het recht op privacy van de werknemer en het recht op controle van de werkgever dienen telkens tegen elkaar te worden afgewogen. Volgens de GBA heeft de werkgever onder bepaalde voorwaarden het recht om toezicht te houden op de elektronische communicatie van haar werknemers. Hierbij dienen het finaliteits-, evenredigheids-, en transparantiebeginsel steeds in acht te worden genomen.

Het is raadzaam om specifiek juridisch advies in te winnen bij een professional op het gebied van privacyrecht om te begrijpen hoe de regels specifiek van toepassing zijn op uw situatie. Studio Legale Advocaten beschikt over drie erkende DPO’s die gespecialiseerd zijn in het privacyrecht en u hierbij kunnen begeleiden.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

Juridische bronnen:

  • VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

  • Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Media links:

[1]https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html

[2]https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail

[3] VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[4] Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 72/2020 VAN 9 NOVEMBER 2020

Betreft       

Het verwerken van gegevens over een vakbondslidmaatschap van haar werknemers door een ziekenhuis wordt door een vakbondsafgevaardigde niet goed onthaald. 

Context      

Verwerking vakbondsgegevens door een ziekenhuis

Rechtsgrond

Artikel 5.1.b) GDPR: “Persoonsgegevens moeten:

(…)

  1. b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig.”

Artikel 7.3 GDPR: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.”

Artikel 9.2.a) GDPR: “Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

 

  1. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

 

  1. a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven.”

Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

Feiten

Een vakbondsafgevaardigde van vakbond A vraagt op een gegeven moment het advies van de Gegevensbeschermingsautoriteit (GBA) in verband met het door zijn werkgever – zijnde een ziekenhuis – rechtstreeks op het salaris inhouden van de vakbondsbijdrage van de leden van vakbond B. De inhouding zou gebeuren onder onduidelijke omstandigheden en zonder daarbij de wil van de werknemers en de vertrouwelijkheid van hun gegevens te eerbiedigen. Hij stelt zich in het algemeen de vraag waarom een werkgever gegevens over het vakbondslidmaatschap van zijn werknemers zou verzamelen.

Na mailverkeer hierover met vraag  voor advies naar de GBA dient de vakbondsafgevaardigde een klacht in  en de Inspectiedienst van de GBA wordt gevat. Niet veel later laat de vakbondsafgevaardigde weten aan de Inspectiedienst dat het ziekenhuis een einde heeft gesteld aan het systeem van inhouding op het salaris. Deze beslissing kwam er op basis van het advies van haar functionaris voor gegevensbescherming (DPO).

Voorafgaand advies door GBA

We verwijzen naar de vorige beslissing nr. 71/2020 waarin het Marktenhof tussenkwam en reeds de GBA op de vingers tikte voor het feit dat mogelijks zowel mailverkeer en adviesverlening, als latere beoordeling van een klacht kan gebeuren door dezelfde personeelsleden van de GBA vatbaar is voor kritiek en eventueel sanctie.

In huidige beslissing ontbreekt meer diepgaande informatie om een concrete beoordeling toe te laten. Dit blijft toch een aandachtspunt.

De toestemming als rechtmatigheidsgrond

In principe is de verwerking van  gegevens over een vakbondslidmaatschap verboden  (artikel 9.1 GDPR).  Lid 2 van datzelfde artikel voorziet  echter  in  een  aantal  uitzonderingen,  waaronder  de  “uitdrukkelijke  toestemming  van  de betrokkene voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden”.

Volgens artikel 4.11) van de GDPR dient toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. Artikel 9.2.a) voegt daar nog aan toe dat voor een gegevensverwerking in verband met vakbondslidmaatschap de toestemming eveneens uitdrukkelijk moet zijn.

(i)      Vrije karakter van de toestemming

De toestemming werd bij schriftelijke machtiging gegeven als een door de werkgever aan de werknemer verleende faciliteit. Echter dient bij een arbeidsverhouding steeds extra aandacht te worden besteed aan het vrije karakter van de toestemming. Bij  wijze  van  uitzondering  kan de  toestemming  van  de  werknemer  wel worden beschouwd  als  geldig  verleend,  wanneer het al dan niet toestemming geven geen negatieve gevolgen kan hebben voor zijn persoon. In casu had het ziekenhuis geen voordeel bij de toestemming van de werknemer waardoor er van mag worden uitgegaan dat de werknemer zijn toestemming vrijelijk heeft gegeven.

(ii)     Specifieke karakter van de toestemming

Door het feit dat aan elke werknemer werd gevraagd een individueel machtigingsformulier in te vullen is voldaan aan de voorwaarde van het specifieke karakter van de toestemming. De machtiging vraagt immers de toestemming van de werknemer voor één gegevensverwerking, namelijk de verwerking die is verbonden aan de rechtstreeks inhouding op het salaris van de vakbondsbijdrage.

(iii)    Geïnformeerde karakter van de toestemming

Om toestemming met kennis van zaken te geven, moet de betrokkene onder meer de volgende informatie hebben ontvangen:

–         de identiteit van de verwerkingsverantwoordelijke;

–         het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;

–         welk(e) (soort) gegevens worden verzameld en gebruikt;

–         het bestaan van het recht om zijn toestemming in te trekken.

De eerste drie elementen worden relatief duidelijk op het verstrekte machtigingsformulier vermeld, maar aangezien nergens melding wordt gemaakt van het feit dat de werknemer zijn toestemming te allen tijde kan intrekken is niet voldaan aan artikel 7.3 van de GDPR waardoor de toestemming niet kan worden beschouwd als op geïnformeerde wijze gegeven. Hierdoor werd artikel 9.2.a) GDPR dan ook niet nageleefd.

(iv)       Uitdrukkelijke karakter van de toestemming

Aan deze voorwaarde werd voldaan aangezien de door de betrokkene ondertekende schriftelijke machtiging op uitdrukkelijke wijze bepaalt welke gegevensverwerking zal worden uitgevoerd.

Doeleinde van de verwerking

Wat betreft het doeleinde van de verwerking bepaalt artikel 5.1.b) 24.1 GDPR dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en  mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Aangezien het doeleinde van de verwerking slechts duidelijk werd na het verdere onderzoek en verzoek door inlichtingen door de Geschillenkamer, kan dit niet beschouw worden als zijnde uitdrukkelijk vermeld en besluit de Geschillenkamer dat de verwerkingsverantwoordelijke artikel 5.1.b) 24.1 GDPR heeft geschonden.

Uitspraak   

In verband met de effectieve uitspraak in het beschikkend gedeelte lijkt ons dat er een materiële vergissing gebeurde in de beslissing. Er wordt voorheen immers duidelijk vermeld in de beslissing dat:

  • er een schending van de artikelen 5.1.b) j° artikel 24.1, en artikel 9.2.a) j° artikel 7.3 van de GDPR heeft plaatsgevonden;
  • het niet nodig is om een van de maatregelen te nemen aangezien de verwerkingsverantwoordelijke om advies heeft gevraagd aan zijn functionaris voor gegevensbescherming en dat hij heeft besloten het advies op te volgen in die zin dat er aan de verwerking definitief een einde werd gesteld op 30 juni 2019, waardoor hij bewijst dat de verplichtingen die voortvloeien uit de GDPR ernstig zijn genomen.

Echter vermeldt het beschikkend gedeelte dat er geen schending van voormelde artikelen heeft plaatsgevonden. Aangezien evenwel nog steeds vermeld wordt bijkomend dat het toch niet nodig is om een van de maatregelen als bedoeld in artikel 100 §1 WOG te nemen, blijkt volgens ons duidelijk dat dit een materiële vergissing betreft.

Onze mening

Uit deze beslissing blijkt dat de voorwaarden voor het geven van een geldige toestemming zeer strikt worden toegepast. Hoewel immers de toestemming geacht wordt vrij te zijn gegeven, ondanks de werknemer-werkgever relatie en deze uitdrukkelijk werd gegeven, wordt alsnog een schending vastgesteld omwille van het gebrek aan voldoende informatie over de mogelijkheid tot intrekking van de toestemming te allen tijde.

In het kader van het belangrijke doelbindingsbeginsel, wordt eveneens strikt toegezien op het feit of het doeleinde van de verwerking vermeld uitdrukkelijk vermeld wordt, wat in deze eveneens niet het geval was aangezien slechts na onderzoek duidelijk werd wat het doeleinde is.

O.i. houdt de geschillenkamer terecht rekening met het feit dat duidelijk blijkt dat het ziekenhuis op ernstige wijze bezig is met GDPR in haar organisatie. Het won immers advies in te bij haar DPO en volgde dit advies ook op door middel van de definitieve stopzetting van de verwerking. Dit toont aan dat de GDPR serieus wordt genomen, wat in deze zaak ook heeft geleid tot uitblijven van enige sanctie. Accountability is namelijk een zeer belangrijk beginsel in het kader van de GDPR.

 

Integrale beslissing

Beslissing 72/2020

VIJF JAAR GDPR!

Vandaag blaast de General Data Protection Regulation (hierna: GDPR)[1] vijf kaarsjes uit. Naar aanleiding van dit jubileum zetten we graag onze drie erkende DPO’s in de kijker die dag in, dag uit bezig zijn met het recht op privacy en gegevensbescherming. Daarnaast willen wij u graag ook warm maken voor onze GDPR websites[2] waarin u alle relevante informatie vindt over de GDPR met een wekelijkse update over de rechtspraak van de Gegevensbeschermingsautoriteit.

Drie erkende DPO’s

Een Data Protection Officer (hierna: DPO) is een functionaris voor gegevensbescherming die in principe toezicht houdt over hoe een onderneming persoonsgegevens verwerkt. De DPO zal de onderneming informeren en adviseren zodat zij te allen tijde compliant zijn met principes van GDPR. Daarnaast fungeert de DPO als eerste aanspreekpunt voor de Gegevensbeschermingsautoriteit.

STUDIO | LEGALE is reeds enkele jaren de vaste advocaat van verschillende ondernemingen in verband met privacy aangelegenheden en de GDPR. STUDIO | LEGALE beschikt over 3 gecertificeerde Data Protection Officers (DPO) die verschillende ondernemingen bijstaan inzake de tenuitvoerlegging van de GDPR.

  • Joost Peeters

Meester Joost Peeters, medeoprichter en partner bij STUDIO | LEGALE vergaarde  een brede waaier aan expertise in alles wat te maken heeft me het recht op privacy, in het bijzonder de GDPR en treedt hij op als functionaris voor gegevensbescherming voor verschillende ondernemingen. In 2018 behaalde Mr. Joost Peeters het diploma van DPO aan het Data Protection Institute (hierna: DPI).

  • Ruben Brosens

Meester Ruben Brosens behaalde in 2021 het certificaat van DPO bij het DPI. De materies inzake privacy en databescherming zijn intussen voor Mr. Brosens onderdeel geworden van een doorgedreven knowhow. Een expertise die in de hedendaagse digitale maatschappij uiterst relevant is geworden.

  • Yannick Lauwers

Meester Lauwers behaalde tevens in 2021 het certificaat van DPO aan het DPI. Tijdens zijn studies ontwikkelde hij een uitgebreide interesse in verschillende rechtstakken zoals het recht op privacy en in het bijzonder de GDPR. Intussen begeleide hij verschillende ondernemingen met als doel volledig compliant te werken conform de principes van de GDPR.

Websites

Naast drie erkende DPO’s beschikt STUDIO | LEGALE ook over twee websites die volledig gewijd zijn aan het reilen en zeilen van de GDPR:

Op onze website leggen wij kort uit wat de GDPR net inhoudt, voor wie zij van toepassing is, wat de belangrijkste begrippen zijn, wat uw rechten zijn als betrokkene, wat u moet doen als u te maken krijgt met een datalek, maar ook een stappenplan naar een GDPR conforme organisatie. Ook worden er regelmatig privacy gerelateerde artikels gepubliceerd door STUDIO | LEGALE.

Tot slot publiceren wij ook frequent een samenvatting van een beslissing van de Gegevensbeschermingsautoriteit (GBA). De GBA is voor België de toezichthoudende autoriteit op het vlak van gegevensbescherming. Op die manier blijft onze kennis steeds up to date en zijn wij steeds op de hoogte van de laatste nieuwe ontwikkelingen in het privacy landschap.

Indien u na het lezen nog vragen hebt, aarzel niet om ons te contacteren via [email protected] of 03 216 70 70.

 

[1] Ook wel bekend als de Algemene Verordening Gegevensbescherming (hierna AVG): Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

[2] https://studio-legale.com/website-vakgebied/studio-gdpr/ & https://www.generaldataprotection.be/

Einde anonieme crypto

Europa stelt een einde aan anonieme crytpotransfers. Volgens het akkoord zal er bij elke transactie informatie van de initiator van de transactie moeten worden meegestuurd, de hele wereld rond

Met als doel het risico op witwassen en terrorismefinanciering aan te pakken hebben de onderhandelaars van het Raadvoorzitterschap en van het Parlement op 29 juni 2022 een voorlopig akkoord bereikt over het voorstel om de regels over informatie bij geldovermakingen uit te breiden naar overmakingen van cryptoactiva. Hierna gaat dit akkoord naar het Europees Parlement met de bedoeling de tekst aan te nemen. Van zodra het nieuwe kader is aangenomen, zal die 18 maanden later van kracht gaan. Hiermee blijkt dus ook een einde aan anonieme crypto transacties te komen.[1]

Dit voorstel is deel van een reeks wetgevingsvoorstellen van de Commissie ter versterking van de EU-regels ter bestrijding van witwassen van geld en financiering van terrorisme.[2]

De nieuwe tekst komt er na een aanbeveling van de Financial Action Task Force (FATF) over elektronische overmakingen. Deze aanbeveling is echter minder streng dan de tekst waarover op 29 juni 2022 een akkoord werd bekomen.[3]

De nieuwe regels verplichten cryptoactivadiensten om informatie over de initiator en de begunstigde van de transacties crypto-activa te bekomen en toegankelijk te maken. Hierdoor worden transacties van crypto-activa traceerbaar en zal de EU het risico op witwassen en terrorismefinanciering via nieuwe technologieën kunnen aanpakken.[4]

In de praktijk houdt dit in dat bij elke transactie privé-gegevens zullen worden meegestuurd, die de hele wereld rondgaan. Bij elke transactie zal informatie over de initiator bij de overmaking  worden gevoegd, ongeacht het bedrag.[5]

Opvallend is dat er geen minimumgrens werd vastgesteld vanaf wanneer de zogenaamde “travel-rule” geldt, terwijl dit voor niet crypto-transacties pas geldt vanaf € 1000.[6]

Ook werd overeengekomen dat voor het verwerken van persoonsgegevens de Algemene Verordening voor Gegevensbescherming (hierna AVG) van toepassing is.[7] Desondanks klinkt luid protest uit de cryptowereld zelf omtrent schending van gegevens beschermde- en privacyregels.[8]

Ook wij stellen ons vragen bij een eventuele schending van privacywetgeving en gegevensbeschermingsregels. Ondanks de uitdrukkelijk van toepassing verklaarde AVG door de Europese wetgever dient aan een aantal voorwaarden voldaan te zijn vooraleer er sprake kan zijn van een rechtmatige verwerking van persoonsgegevens. Naast het bestaan van een wettelijke basis, zal er op grond van art. 6 AVG ook moeten voldaan zijn aan een noodzakelijkheidsvereiste om de gekozen maatregel toe te passen om het gewenste doel te bereiken. Enkel in de mate dat deze maatregel noodzakelijk is om het doel te bereiken, zal aan deze voorwaarde voldaan zijn. Dit lijkt, volgens ons niet het geval te zijn, daar het wereldwijd doorsturen van persoonsgegevens onzen inziens disproportioneel is ten aanzien van het te bereiken doel: nl. het tegengaan van witwassen en terrorismefinaniciering. Dit mede omdat er bijvoorbeeld voor gewone –  niet-crypto-activa transacties –  wél een minimumgrens bestaat waaronder er niet aan de travel-rule moet worden voldaan.

Hierbij komt ook dat de aanbieders van cryptoactivadiensten als meldingsplichtige entiteiten in de zin van 4de antiwitwasrichtlijn worden aangemerkt.

Besluit

De EU is tot een akkoord gekomen om anti-witwaspraktijken en terrorismefinanciering door crypto tegen te gaan. Ondanks het nobele doel, lijkt het nieuwe akkoord echter niet voldoende rekening te houden met de vigerende regels van de AVG.

Indien u na het lezen van dit artikel met vragen zit of u wenst meer informatie, kan u steeds contact opnemen met Studio Legale op [email protected] of 03 216 70 70.

 

Gebruikte bronnen:

Juridische bronnen

  1. Report on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets;
  2. Aanbevelingen 15 en 16 van de Financial Action Task Force;
  3. KOLINSKA, D., “Crypto assets: deal on new rules to stop illicit flows in the EU” https://www.europarl.europa.eu/news/en/press-room/20220627IPR33919/crypto-assets-deal-on-new-rules-to-stop-illicit-flows-in-the-eu;

Media bronnen:

  1. Persmededeling Raad van de EU, “Witwasbestrijding: voorlopig akkoord over transparantie bij overmakingen van cryptoactiva”, https://www.consilium.europa.eu/nl/press/press-releases/2022/06/29/anti-money-laundering-provisional-agreement-reached-on-transparency-of-crypto-asset-transfers/;
  2. LEMMENS, K., “ Europa maakt komaf met anonieme cryptotransfers”, https://www.standaard.be/cnt/dmf20220630_97608473;
  3. NEIRYNCK, P., “Europese cryptowetgeving viseert verdachte transacties”, https://www.tijd.be/markten-live/analyse/europese-cryptowetgeving-viseert-verdachte-transacties/10399565.html;
  4. VAN HAVER, K., “Europa verbiedt anonieme overdrachten van cryptomunten”, https://www.tijd.be/politiek-economie/europa/economie/europa-verbiedt-anonieme-overdracht-van-cryptomunten/10320815.html.
  5. PAUSH-HOMBLE, K., “Digitaal geld: akkoord over Europese cryptoactiva-verordening (MiCA), https://www.consilium.europa.eu/nl/press/press-releases/2022/06/30/digital-finance-agreement-reached-on-european-crypto-assets-regulation-mica/.

[1] Persmededeling Raad van de EU, “Witwasbestrijding: voorlopig akkoord over transparantie bij overmakingen van cryptoactiva”, https://www.consilium.europa.eu/nl/press/press-releases/2022/06/29/anti-money-laundering-provisional-agreement-reached-on-transparency-of-crypto-asset-transfers/.

[2] Ibid; https://www.tijd.be/ondernemen/banken/wankele-cryptobank-silvergate-duikt-voor-miljard-in-het-rood/10440930.html.

[3] Aanbevelingen 15 en 16 van de Financial Action Task Force.

[4] Ibid.

[5] Art. 14 of the Report on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets.

[6] D., KOLINSKA, “Crypto assets: deal on new rules to stop illicit flows in the EU” https://www.europarl.europa.eu/news/en/press-room/20220627IPR33919/crypto-assets-deal-on-new-rules-to-stop-illicit-flows-in-the-eu

[7] Recital 17 of the Report on the proposal for regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets.

[8] K., LEMMENS, “ Europa maakt komaf met anonieme cryptotransfers”, https://www.standaard.be/cnt/dmf20220630_97608473; P., NEIRYNCK “Europese cryptowetgeving viseert verdachte transacties”, https://www.tijd.be/markten-live/analyse/europese-cryptowetgeving-viseert-verdachte-transacties/10399565.html; K., VAN HAVER, “Europa verbiedt anonieme overdrachten van cryptomunten”, https://www.tijd.be/politiek-economie/europa/economie/europa-verbiedt-anonieme-overdracht-van-cryptomunten/10320815.html.

 

UBO-register mag dan toch niet openbaar gemaakt worden voor het publiek

Het UBO-register mag dan toch niet openbaar gemaakt worden voor het publiek

Met het arrest van 22 november 2022 stelt het Hof van Justitie dat het UBO-register mag blijven, maar dat aan de openbaarheid voor het grote publiek ervan een einde komt. Dit arrest volgt na prejudiciële vragen die door een Luxemburgse rechter werden gesteld.

Wat is het UBO-register?

Het UBO-register is een register voor uiteindelijke begunstigden in België voorzien door de Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten.

Deze wet is de omzetting van de Europese Richtlijn 2015/849 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme.

Op basis hiervan zijn lidstaten van de EU verplicht om maatregelen te nemen zodat enerzijds vennootschappen en andere juridische entiteiten die binnen hun juridisch grondgebied zijn opgericht toereikende, accurate en actuele informatie over hun uiteindelijke begunstigden inwinnen en bijhouden. Anderzijds moet er een centraal register met informatie over de uiteindelijke begunstigden van die entiteiten zijn om de toegang tot die informatie te vereenvoudigen.[1]

Wat veranderde er met het arrest

In het arrest dd. 22 november 2022 werd de ongeldigheid vastgesteld van de bepaling uit de Antiwitwasrichtlijn waardoor lidstaten verplicht werden ervoor te zorgen dat de informatie over de uiteindelijke begunstigden van binnen hun grondgebied opgerichte vennootschappen en andere juridische entiteiten in alle gevallen voor het grote publiek toegankelijk is.

Het Hof van Justitie stelde dat de eerbiediging van het privéleven uit artikel 7 en de bescherming van persoonsgegevens uit artikel 8 van het Handvest van de Grondrechten van de Europese Unie hierdoor ernstig geschonden worden.

Met de invoering van deze regel was de wetgever van mening hiermee bij te dragen tot de verwezenlijking van doelstelling van algemeen belang doordat de maatregel beoogt om het witwassen van gelden de financiering van terrorisme te voorkomen.

Het Hof van Justitie oordeelde echter dat de maatregel niet beperkt is tot wat strikt noodzakelijk is. Daarnaast is deze ook niet evenredig met het nagestreefde doel, én worden er te weinig waarborgen ingebouwd ter bescherming van de persoonsgegevens van de betrokkenen.[2]

In België konden burgers het UBO-register tot voor kort publiek raadplegen door voorafgaand een verzoek om raadpleging in te dienen. Bij het verzoek moest u als burger een formulier invullen dat het KBO-nummer bevat van de entiteit die het voorwerp is van uw raadpleging, de gegevens van de aanvrager en een verantwoording van het verzoek indienen. Een aanvraag kon dan geweigerd worden indien er geen legitieme redenen werden opgegeven ter consulatie van het register.[3]

Naar aanleiding van het arrest van het Hof van Justitie  van de Europese Unie publiceerde de FOD financiën een bericht op hun website met de boodschap dat ingevolge het arrest van 22 november 2022 de toegang van leden van het grote publiek tot informatie over uiteindelijke begunstigden tijdelijk is opgeschort. Het bericht bevestigde ook dat de toegang voor bevoegde en onderworpen autoriteiten gehandhaafd blijft.[4]

Ondertussen werd op de website van de FOD financiën een bericht gepost waar te lezen staat dan in afwachting van IT-ontwikkelingen om het UBO-register aan te passen aan de nieuwe wettelijke bepalingen, raadplegingsverzoeken kunnen worden verzonden per e-mail naar: [email protected]

Of er nu met het arrest van het Hof van Justitie een grote stap terug is genomen op het vlak van bestrijden van witwaspraktijken, valt te nuanceren daar het enkel gevolgen heeft op de toegang voor het grote publiek tot gegevens van uiteindelijke begunstigde van vennootschappen. Voor alle andere juridische structuren zijn de gegevens van de uiteindelijke begunstigde al sinds voor dit arrest enkel toegankelijk voor leden van het brede publiek die een legitiem doel voorhanden hebben.[5]

Nieuw is dat het UBO-KB een lijst heeft opgenomen met wat als een legitiem doel kan worden beschouwd.[6]

GDPR

In dit arrest werd als derde prejudiciële vraag een vraag gesteld met betrekking tot overeenstemming met de bepalingen van de gegevensbeschermingsrichtlijn. Omdat werd besloten dat de bepaling die de verplichting oplegt dat de registers publiek raadpleegbaar moeten zijn, nietig is, achtte het HvJ het niet meer nodig om de vraag met betrekking tot de overeenstemming met de gegevensbeschermingsrichtlijn te beantwoorden.

Gezien het Hof reeds voor de toets aan de eerste vraag vaststelde dat de maatregel niet beperkt is tot wat strikt noodzakelijk is, kan gesteld worden dat het wellicht niet om een rechtmatige verwerking van persoonsgegevens kan gaan op grond van art. 6 GDPR.

In het verleden werd de publieke toegang tot het Belgisch UBO-register reeds bekritiseerd door de Gegevensbeschermingsautoriteit.[7]  In het advies nr. 246 2022 van 9 november 2022 werd reeds opgemerkt dat de toegang of weigering van toegang tot het UBO-register onderworpen dient te zijn aan striktere criteria en voorwaarden. Tot op heden was het onduidelijk in welke gevallen het verlenen van toegang disproportioneel zou zijn voor de grondrechten van de uiteindelijke begunstigde, met name het recht op privacy en bescherming van persoonsgegevens.

Om tegemoet te komen aan de vereisten van gegevensbescherming, heeft de wetgever ten eerste de vier verschillende doeleinden van het UBO-register opgenomen:

  • De bescherming van het financiële stelsel door middel van preventie, opsporing en onderzoek van witwassen en terrorismefinanciering en de daarmee verban houdende basismisdrijven,
  • Het faciliteren van de toepassing en de controle van de verplichtingen inzake embargo’s, bevriezingen van tegoeden en ander beperkende maatregelen;
  • Het verhogen van transparantie van juridische constructies en entiteiten;
  • Het register moet een nuttig instrument vormen in strijd tegen witwasparktijken voor de actoren en instanties die toegang krijgen tot het register.

Ten tweede heeft de wetgever met de wet van 8 februari 2023 de categorieën persoonsgegevens die het UBO-register verwerkt, in de wet zelf opgenomen. Het gaat met name over:

  • Identificatiegegevens;
  • Contact- en verblijfsgegevens;
  • De categorie(ë)n van uiteindelijke begunstigde waartoe de natuurlijke persoon behoort;
  • De aard en de omvang van de door de natuurlijke persoon aangehouden economische belang of zeggenschap in de entiteiten en constructies die rapportering plichtig zijn;
  • De datum waarop de natuurlijke persoon uiteindelijke begunstigde is geworden en in geval van een onrechtstreekse uiteindelijke begunstigde ook de identificatiegegevens van de tussenpersonen.

Besluit

Naar aanleiding van het arrest wordt nu ook van het grote publiek een legitiem belang vereist indien zij het UBO-register wensen te raadplegen voor vennootschappen. Dit was voordien reeds vereist voor uiteindelijke begunstigden van alle andere juridische structuren.

Concreet kan het grote publiek nu in afwachting van IT-ontwikkelingen om het UBO-register aan te passen aan de nieuwe wettelijke bepalingen, raadplegingsverzoeken sturen per e-mail naar: [email protected]. Belangrijk daarbij is dat wordt toegelicht op welk legitiem belang u zich denkt te beroepen.

Daarnaast kwam de wetgever tegemoet aan de vereisten van gegevensbescherming door enerzijds de verschillende doeleinden van het UBO-register op te nemen in de wet, en anderzijds de categorieën van persoonsgegevens die het UBO-register verwerkt in de wet op te nemen.

Gebruikte juridische bronnen:

  • Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme, BS 6 oktober 2017;
  • Koninklijk besluit van 8 februari 2023 tot wijziging van het koninklijk besluit van 30 juli 2018 betreffende de werkingsmodaliteiten van het UBO-register;
  • HvJ 22 november 2022, nr. C-37/20 , ECLI:EU:C:2022:912;
  • Handvest van de Grondrechten van de Europese Unie;
  • Gebruikshandleiding van de toepassing UBO versie “burger”, https://financien.belgium.be/sites/default/files/thesaurie/20220502_Handleiding_Burger_NL.pdf;
  • Advies van de Gegevensbeschermingsautoriteit nr. 246/2022 van 9 november 2022;
  • DESMYTTERE, F., “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 6-29.

Gebruikte media bronnen:

[1] Artikel 73-75 Wet 18 september tot voorkoming van het witwassen van geld en de financiering van terrorisme, BS 2017.

[2] HvJ 22 november 2022, nr. C-37/20 , ECLI:EU:C:2022:912.

[3] Gebruikshandleiding van de toepassing UBO versie “burger”, https://financien.belgium.be/sites/default/files/thesaurie/20220502_Handleiding_Burger_NL.pdf

[4] Nieuwsoverzicht FOD financiën, https://financien.belgium.be/nl/E-services/Ubo-register; F., DESMYTTERE, “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 6-29.

[5] R., GOOSSENS, “Een presentje voor de oliarchen”,  https://www.standaard.be/cnt/dmf20221202_98057145 , F., DESMYTTERE, “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 28. (met de nuance voor uiteindelijke begunstigen van (internationale) vzw’s en stichtingen); P., VAN MALDEGEM, “UBO-register raadpleegbaar door grote publiek onder voorwaarden”, https://www.tijd.be/netto/analyse/belastingen/ubo-register-raadpleegbaar-door-grote-publiek-onder-voorwaarden/10449524.html.

[6] Art. 10, §3 UBO-KB.

[7] Advies nr. 246/2022 van 9 november 2022, overweging 35-44.

RECHT OP INZAGE

Als betrokkene waarvan de persoonsgegevens verwerkt worden, hebt u steevast het recht op inzage. Dit recht op inzage is echter niet absoluut. Wij verduidelijken wat dit inhoudt, hoe u dit recht uitoefent en welk gevolg hieraan  gegeven moet worden.

Allereerst is de gebruikte terminologie ietwat misleidend aangezien dit de indruk schept dat u werkelijk de verwerking zélf kan inzien, terwijl de werkelijkheid toch genuanceerder is. Het betreft eerder een recht om van de verwerking van uw persoonsgegevens kennis te krijgen. U kan dit recht op ieder moment uitoefenen, ongeacht of u omtrent de verwerking van uw persoonsgegevens werd geïnformeerd bij de aanvang hiervan.

Artikel 15 GDPR verduidelijkt op welke informatie u recht hebt, buiten de concrete persoonsgegevens zelf, bij het uitoefenen van uw recht op inzage:

  • de verwerkingsdoeleinden;
  • de betrokken categorieën van persoonsgegevens;
  • de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  • de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
  • dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
  • dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
  • wanneer de persoonsgegevens niet bij de betrokkene zelf worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  • het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • Wanneer er doorgifte gebeurt aan een derde land of internationale organisatie, de passende waarborgen die genomen worden.

U hebt in principe recht op één gratis kopie, voor bijkomende kopieën mag de verwerkingsverantwoordelijke een redelijke vergoeding in verhouding met de administratieve kosten aanrekenen.

Indien u uw verzoek tot inzage doet in elektronische vorm (bv. per e-mail) dan volstaat het voor de verwerkingsverantwoordelijke om u de kopie eveneens in elektronische vorm over te maken, tenzij u uitdrukkelijk anders verzoekt.

Uw recht op inzage is echter niet absoluut. Artikel 15.4 GDPR verduidelijkt dat dit geen afbreuk mag doen aan de rechten en vrijheden van anderen.

Indien u bijvoorbeeld uw recht op inzage uitoefent t.a.v. uw (ex-)werkgever, heeft deze het recht en eigenlijk zelfs de plicht om de evaluatieformulieren te anonimiseren/censureren aangezien de persoonsgegevens van anderen (bv. de evaluator, collega’s) ook beschermd moeten worden onder de AVG. In deze optiek heeft de verwerkingsverantwoordelijke eveneens het recht om een precisering van uw verzoek te vragen. Indien u reeds gedurende lange tijd tewerkgesteld staat, kan het immers disproportioneel zijn en buitensporige last opleggen om alle gegevens over de gehele periode te moeten anonimiseren/censureren en kopie van maken om gevolg te geven aan uw verzoek. Er moet in dit verband steeds een concrete afweging gemaakt worden.[1]

In het recente arrest van het Hof van Justitie van 4 mei 2023 verduidelijkte het Hof dat het recht van inzage zeer ruim kan gaan in die zin dat ook kopie van de achterliggende documenten of uittreksels verstrekt moet worden, nooit mogen echter de rechten en vrijheden van anderen hierbij uit het oog verloren worden:

“het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.”[2]

Uw verzoek zelf is niet aan enige vormvoorwaarden onderworpen. Met het licht op efficiënte behandeling hiervan, doet u er wel goed aan zichzelf reeds duidelijk te identificeren aangezien iedere verwerkingsverantwoordelijkheid uiteraard de plicht heeft over te gaan tot identificatie alvorens enige informatie te verschaffen.

Vervolgens heeft de Verwerkingsverantwoordelijke in principe één maand de tijd om gevolg te geven aan uw verzoek. Binnen deze periode moet hij ofwel de gegevens verschaffen ofwel u meedelen om welke reden hij meent dit niet te moeten/kunnen doen en u informeren omtrent uw mogelijkheid om klacht in te dienen bij de toezichthoudende autoriteit (GBA) en mogelijkheid tot navolgend beroep bij de rechter (Marktenhof). De termijn kan wél verlengd worden met een bijkomende twee maanden indien de verwerkingsverantwoordelijke u hiervan verwittigd voor het verstrijken van de oorspronkelijke termijn.

Indien u nog vragen hebt over (de uitoefening van) uw recht op inzage kan u ons steeds contacteren per email: [email protected] of telefonisch op het nummer 03/216.70.70.

Juridische bronnen

  • DE BOT, De toepassing van de Algemene Verordening Gegevensbescherming in de Belgische context. Commentaar op de AVG, de Gegevensbeschermingswet en de Wet Gegevensbeschermingsautoriteit, Wolters Kluwer Belgium, Mechelen, 2020.
  • DE SMEDT en M. CAPRONI, Praktische gids privacy in de onderneming, Wolterw Kluwer Belgium, Mechelen, 2019.

Rechtspraak

 

  • Geschillenkamer GBA 9 februari 2021, RABG 2021/12-13, 1272-1293.
  • HvJ 4 mei 2023, C-487/21,

[1] Zie bijvoorbeeld Beslissing ten gronde 15/2021 van 9 februari 2021 van de geschillenkamer van de GBA

[2] HvJ 4 mei 2023, C-487/21, nr. 45.

HOE KAN MEN PHISHING OF SMISHING VOORKOMEN?

In onze vorige bijdrage[1] kon u al lezen dat phishing in 2020 en 2021 een echte plaag vormde. Deze vorm van digitale inbraak lijkt in 2023 nog steeds bijzonder populair te zijn. Phishers blijken zeer vindingrijk en bedenken geregeld nieuwe kunstgrepen om mensen geld of gegevens afhandig te maken.  

Phishing is een vorm van cybercriminaliteit waarbij het potentiële slachtoffer wordt benaderd via e-mail, sms, sociale media of telefoon. De oplichter doet zich daarbij voor als iemand anders in een poging toegang te krijgen tot de vertrouwelijke gegevens van slachtoffers.

Smishing vormt de sms-variant van phishing. Zo kan het zijn dat een verzonden sms een link bevat die de browser op de telefoon naar een website stuurt die kwaadaardige software (malware) installeert. Door op deze link te klikken, kunnen bankgegevens worden ontfutseld om zo iemands rekening te plunderen.

Deze oplichtingsmethodes zijn door de jaren heen ook steeds moeilijker te herkennen. Het onderscheid maken tussen valse e-mails en betrouwbare berichten, lijkt haast een onmogelijke opdracht geworden. Desondanks willen we u met een aantal tips wapenen om het risico op phishing of shmishing tot een minimum te beperken.

Twijfel je of een bericht verdacht is? Beantwoord dan kort voor jezelf deze vragen:[2]

  • Is het bericht onverwacht?
  • Is het bericht dringend geformuleerd?
  • Ken je de afzender?
  • Vind je de vraag die wordt gesteld vreemd?
  • Naar waar leidt de link waar je moet op klikken? (Tip: beweeg over de link (maar door deze nooit open!) en kijk waar deze u naartoe stuurt. Een verdachte link doet u best niet open.)
  • Word je persoonlijk aangesproken?
  • Bevat het bericht veel taalfouten?
  • Zit het bericht in je Spam?
  • Probeert iemand je nieuwsgierig te maken?

Besluit

Phishing of smishing is een fenomeen dat elk jaar op grote schaal toeneemt. Met de verdere digitalisering van de samenleving lijkt het probleem zich op de korte termijn dan ook niet zomaar op te lossen. Het beste advies dat we u als lezer kunnen meegeven is dan ook om steeds aandachtig te zijn voor ‘vreemde’ berichten die u binnenkrijgt via e-mail of sms. Een bericht dat te mooi is om waar te zijn, zal dit meestal ook zijn.

Zit er een reukje aan een bepaalde transactie die je hebt verricht? Contacteer zo snel mogelijk Card Stop om je kaart te laten blokkeren. Dit kan op het nummer 070 344 344. Weet dat Card Stop nooit mensen zal opbellen. Geeft iemand zich aan de telefoon uit als een medewerker van Card Stop, dan is dit 100% een oplichter.

Krijgt u een verdacht bericht via mail of per sms, aarzel dan zeker niet om dit bericht door te sturen per mail naar [email protected]. Zij controleren de links en bijlages van deze doorgestuurde berichten waarbij ze in staat zijn om verdachte links te laten blokkeren. Op die manier zijn minder oplettende internetgebruikers die op de link geklikt hebben, ook beschermd. Door snel te ageren, verkleint de kans dat cybercriminelen slachtoffers maken. Een gewaarschuwd man is er twee waard.

Indien u na het lezen van dit artikel nog vragen hebt omtrent phishing, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

 

[1]https://www.studio-legale.be/phishing-het-nieuwe-inbreken-anno-2021/?lang=nl ; https://www.jubel.be/phishing-het-nieuwe-inbreken-anno-2021/

[2] https://www.safeonweb.be/nl/leer-valse-mails-herkennen

CAP-REGISTER: HET OORDEEL VAN HET GRONDWETTELIJK HOF OVER DE TOEGANG VAN DE FISCUS TOT DE REKENINGSALDO’S VAN DE BELG

In onze vorige bijdrage[1] kon u al lezen dat sinds 31 januari 2022 het CAP-vermogensregister gevoelig werd uitgebreid. Zo kan de fiscus voortaan de rekeningsaldo’s van de Belg in het bankenregister inkijken, wat op hevig verzet stuitte. Onder meer de vzw ‘Ministry of Privacy’ vocht de uitbreiding aan bij het Grondwettelijk Hof, dat met haar arrest van 08 december 2022 nu klare wijn schenkt.

Het CAP-register, of voluit het Centraal Aanspreekpunt van rekeningen en financiële contracten van de Nationale bank werd in 2011 opgericht om fiscale fraude efficiënter te monitoren en bestraffen.[2] Het CAP is een elektronische databank bij de Nationale Bank van België met een overzicht van allerhande financiële gegevens, rekeningen, of nog, contracten die in België worden aangehouden bij financiële instellingen van zowel inwoners als niet-inwoners.[3]

Met de programmawet van 20 december 2020[4] trachtte de wetgever het werk van de belastingcontroleur gevoelig te vereenvoudigen door deze toe te laten om de financiële gegevens van de belastingplichtige op te zoeken in het CAP-register. Op die manier zou men fiscale fraude nog efficiënter kunnen aanpakken.

Een nobele doelstelling die weliswaar niet overal op bijval kon rekenen. Zo waarschuwde de Gegevensbeschermingsautoriteit (hierna: GBA) al dat de uitbreiding van het vermogensregister een onnodige, bijzonder verregaande en risicovolle centralisatie van financiële (persoons)gegevens is, die niet in verhouding staat tot de beoogde doeleinden.[5] Ook sommige fiscalisten vreesden dat met de uitbreiding de weg wordt geplaveid voor nieuwe vermogensbelasting.[6]

In juni 2021 trokken enkele fiscalisten en privacy activisten naar het Grondwettelijk Hof om de uitbreiding aan te vechten. De uitbreiding zou strijdig zijn met (i) het recht op bescherming van de persoonlijke levenssfeer en de bescherming van de persoonsgegevens, (ii) het recht op toegang tot de rechter en (iii) het gelijkheidsbeginsel.[7]

Met haar arrest van 8 december 2022 heeft het Grondwettelijk Hof het beroep vernietigd. “Hoewel de uitbreiding een inmenging is in het privéleven van de belastingplichtigen en van de personen met wie zij een financiële verrichting hebben gedaan, beantwoordt ze aan een legitiem doel en is ze evenredig.”  Zo is het legitiem doel volgens het Hof onder meer om de strijd tegen fiscale fraude op te drijven door het verhogen van de transparantie inzake de gegevens van de belastingplichtige.

Volgens het Hof zijn er voldoende procedurele en inhoudelijke waarborgen ingebouwd tegen willekeurige inmengingen in het privéleven van de in het CAP geregistreerde personen en van de personen met wie zij financiële verrichtingen hebben gedaan.[8]

Besluit

Volgens de indieners van het vernietigingsberoep bij het Hof zou de uitbreiding van de financiële gegevens niet strikt noodzakelijk zijn omdat de doelstellingen ook op een andere, minder privacygevoelige manier zouden kunnen worden bereikt. Het Hof ging hier niet mee akkoord en verwierp het beroep.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

 

[1] https://www.jubel.be/het-centraal-aanspreekpunt-van-de-nationale-bank-gevoelig-uitgebreid/

[2] Zie art. 322 § 3 WIB 92

[3] Zie B.3.1. GwH 08.12.2022, Arrest nr. 162/2022, Rolnummer: 7612

[4] https://www.ejustice.just.fgov.be/eli/wet/2020/12/20/2020044541/justel#LNK0010

[5] https://www.gegevensbeschermingsautoriteit.be/publications/advies-nr.-122-2020.pdf

[6] https://moneytalk.knack.be/geld-en-beurs/belastingen/eerst-het-vermogensregister-dan-de-belasting/article-longread-1824241.html

[7] Zie B.5.1. GwH 08.12.2022, Arrest nr. 162/2022, Rolnummer: 7612

[8] Zie B.11.10 GwH 08.12.2022, Arrest nr. 162/2022, Rolnummer: 7612

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 53/2020 VAN 1 SEPTEMBER 2020

Betreft       

Een ex-burgemeester gebruikt gegevens verzameld tijdens zijn mandaat voor het sturen van een e-mail met verkiezingspropaganda voor zijn kandidatuur voor de Provincieraad.

Context      

Gebruik e-mail voor verkiezingspropaganda

Rechtsgrond

Artikel 5.1 a) en b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – rechtmatigheid, behoorlijkheid en transparantie & doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking);

Artikel 25 GDPR: (Gegevensbescherming door ontwerp en door standaardinstellingen);

Artikel 32 GDPR: (Beveiliging van de verwerking);

Artikel 33 GDPR: (=Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Feiten

Op 22 mei 2019 verstuurt een ex-burgemeester onderstaand verkiezingsbericht naar een inwoner van een bepaalde gemeente: “beste dames, heren en vrienden, ik ben er trots op als (Xde) kandidaat op de lijst (Y) te staan voor ons arrondissement (lijst van de betrokken gemeenten… ) Sta mij toe om uw stem te vragen. Met een goed resultaat zal ik met onze ploeg van het College en de Provincieraad nog doeltreffender kunnen zijn. Ik wil mijn uiterste best doen om ook onze lokale vertegenwoordigers en hun projecten te steunen.”

De betrokken inwoner is hier absoluut niet mee gediend en vraagt zich luidop af hoe het komt dat hij dergelijke berichten ontvangt op zijn persoonlijk e-mailadres. Dat het bericht werd verstuurd met talrijke ontvangers in kopie, maakt de frustratie des te groter. Na verder onderzoek is aan het licht gekomen dat het e-mailadres van de betrokkene is verzameld naar aanleiding van een verzoek om informatie die de betrokkene in 2014 aan het secretariaat van de ex-burgemeester had verzonden om een openbare netheidskwestie te signaleren. Hierdoor werd zijn e-mailadres opgenomen in de lijst om verkiezingsberichten uit te sturen. Op het moment van de verzending van het bericht was de ex-burgemeester echter geen burgemeester meer.

Aangezien de ex-burgemeester op het moment van het verzamelen van het betreffende e-mailadres (in 2014) de verwerkingsverantwoordelijke was, was het ook zijn verantwoordelijkheid om ervoor te zorgen dat de persoonsgegevens op een passende rechtsgrondslag en in strikte overeenstemming met de in de GDPR vastgestelde beginselen werden verwerkt. Hij is ook verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens niet verder worden verwerkt voor een doel dat onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld en verwerkt (artikel 5.1.f), artikel 6.4, en artikel 32 van de GDPR).

Het finaliteitsbeginsel is een cruciaal beginsel van de gegevensbescherming. Persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor zij zijn verzameld. Het persoonlijk e-mailadres werd in 2014 verzameld omdat de burger destijds een melding deed over een stortplaats waarvoor hij een opkuis vroeg. Nu werd zijn e-mailadres gebruikt voor verkiezingsdoeleinden. Het hoeft dan ook geen betoog dat er geen verband is tussen de twee verwerkingsdoeleinden. Iets wat de GBA dan ook terecht opmerkte.

Sterker nog, de GBA is van mening dat het hergebruik door een ex-burgemeester van persoonsgegevens die in de loop van zijn ambtstermijn zijn verzameld voor onverenigbare doeleinden, de grondslagen van de democratie en de gelijkheid tussen de kandidaten ondermijnen. Een terechte visie van de GBA volgens ons.

Wat betreft de ongewenste verspreiding van het e-mailadres aan derde personen, geeft de ex-burgemeester toe een behandelingsfout te hebben begaan. Ongeacht of er al dan niet sprake is van een behandelingsfout, blijft er op dit vlak een schending bestaan van artikel 32.1. en 32.4. van de GDPR. Weliswaar accepteert de Geschillenkamer het niet-opzettelijk karakter van de inbreuk als een verzachtende omstandigheid.

Ook artikel 33 van de GDPR werd geschonden nu de kandidaat-burgemeester deze inbreuk niet binnen de termijn van 72 uur heeft gemeld aan de toezichthoudende overheid.

De Geschillenkamer heeft al eerder te maken gekregen met klachten in verband met de onrechtmatige gegevensverwerking voor verkiezingsdoeleinden.[1] Toen werd er in de meerderheid van de gevallen een administratieve boete opgelegd.

De GBA tilt zwaar aan het feit dat de kandidaat-burgemeester op het tijdstip van het verzamelen van de gegevens burgemeester en parlementslid was. Gezien zijn rol in het openbare leven, zou van hem verwacht mogen worden dat hij er zorgvuldig op  toeziet dat de verzamelde gegevens niet ten persoonlijke titel worden hergebruikt, en dat hij een verkiezingscampagne voert met inachtneming van alle toepasselijke regels (inclusief de regels inzake gegevensbescherming). Elke overheidsmandataris heeft immers een voorbeeldfunctie inzake het naleven van de wetgeving.

Uitspraak   

De schendingen van artikel 5.1. b) (onverenigbare verdere verwerking), artikel 5.1. a) (rechtmatigheid) en artikel 6.1 van de GDPR (onrechtmatige verwerking) die in deze beslissing worden vastgesteld, vormen een schending van de fundamentele beginselen van gegevensbescherming. In feite zijn dit inbreuken waarvoor de maximum boetes het hoogst zijn. De Geschillenkamer legt dan ook een administratieve boete op van € 5.000,00.

Onze mening        

Het finaliteitsbeginsel is een van de belangrijkste beginselen uit de GDPR. Het is dan ook zeer belangrijk dat dit basisbeginsel wordt nageleefd. In de eerste gepubliceerde beslissing (over verkiezingen) was de Geschillenkamer nog mild gelet op de toen nog nieuwe GDPR-wetgeving. In latere beslissingen waarbij gegevens onrechtmatig werden verwerkt voor verkiezingsdoeleinden, werd wel steevast een boete opgelegd. Dat is ook in deze zaak het geval. Er wordt terecht strenger opgetreden. Ook het feit dat de betrokkene een openbare functie uitoefende op het ogenblik van de gegevensverwerking, is een verzwarende omstandigheid.

Net zoals  eerdere beslissingen wordt geoordeeld dat een openbaar ambtenaar extra voorzichtig dient omgegaan met het verwerken van persoonsgegevens. Hieromtrent citeerde de Gegevensbeschermingsautoriteit het Europees Comité voor gegevensbescherming als volgt:

“de naleving van de regels inzake gegevensbescherming, ook in het kader van verkiezingsactiviteiten en -campagnes, is essentieel voor de bescherming van de democratie. Het is ook een middel om het vertrouwen van de burgers en de integriteit van de verkiezingen te behouden.”

Deze uitspraak is in lijn met de eerdere uitspraken waarin persoonsgegevens misbruikt werden voor verkiezingsdoeleinden. De GBA blijft op dit vlak onverbiddelijk.

 

Vernietiging door arrest Marktenhof van 27 januari 2021

Nadat de ex-burgemeester in hoger beroep is gegaan bij het Marktenhof van het hof van beroep te Brussel besluit het Marktenhof tot de vernietiging van de beslissing van de GBA en beveelt de opschorting van de beslissing.

Het Marktenhof oordeelt immers dat de sanctie bestaande uit de administratieve geldboete van € 5.000 disproportioneel is.

Het Marktenhof gaat helemaal niet akkoord met de verantwoording van de geschillenkamer dat een basisbeginsel geschonden zou zijn en dat dit zou bijdragen aan de verantwoording van de proportionaliteitseis. Iedere zaak moet in concreto beoordeeld worden en het Marktenhof wijst erop dat elementen uit eerdere beslissingen/zaken geen invloed mogen hebben op deze concrete beoordeling. De boete van € 5.000 wordt dan ook te vanzelfsprekend opgelegd volgens het Marktenhof, wat een disproportioneel karakter heeft.

Bovendien kan het eventuele niet-naleven van de formele schriftelijke procedure door de ex-burgemeester onder geen beding een verzwarende omstandigheid uitmaken.

Tot slot hecht het Marktenhof belang aan het feit dat duidelijk blijkt dat de ex-burgemeester op geen enkel ogenblik de intentie heeft getoond om de principes van gegevensbescherming te schenden, maar dat de schending een gevolg is van nalatigheid of onachtzaamheid, welke situatie onmiddellijk werd rechtgezet en waarvoor de ex-burgmeester zijn excuses aanbood.

Het Marktenhof stelt zich dan ook uitdrukkelijk de vraag of een berisping niet kon volstaan. De geschillenkamer zou nagelaten hebben om het vermoeden van goede trouw in acht te nemen.

Onze mening

 

Het Marktenhof ziet streng toe op de motivering en beoordeling door de Geschillenkamer van haar beslissing.

Hoewel uiteraard iedere zaak inderdaad concreet behandeld moet worden en alle elementen in overweging genomen dienen te worden, zijn wij van oordeel dat het Marktenhof dan weer onterecht geen aandacht spendeert aan het feit dat een ex-burgemeester en huidig parlementslid een voorbeeldfunctie heeft en in dat licht het opportunistische gebruik van gegevens waartoe hij toegang uit zijn voorbeeldfunctie o.i. toch aanleiding dient te geven tot het opleggen van een boete.

 

Beslissing en arrest

Beslissing 53/2020

Arrest marktenhof 27 januari 2021

[1] Beslissing 11-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-11-2019-van-25-november-2019/) ; Beslissing 10-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-10-2019-van-25-november-2019/);  Beslissing 04/2019 van 28 mei 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-04-2019-van-28-mei-2019/);  en beslissing 30/2020 van 8 juni 2020 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-30-2020-van-8-juni-2020/).

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 63/2020 VAN 22 SEPTEMBER 2020

Betreft       

Een klacht werd ingesteld tegen Google wegens de weigering om tot verwijdering/wissing van bepaalde links over te gaan. De klacht werd in de loop van de procedure echter ingetrokken door de klager…

Context      

Recht op gegevenswissing , recht op vergetelheid

Implicaties van een afstand van klacht voor de bevoegdheid van de GBA

Rechtsgrond

Artikel 12.4 GDPR: “Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.”

Artikel 17 GDPR: “1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

 

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

 

b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

 

c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

 

d) de persoonsgegevens zijn onrechtmatig verwerkt;

 

e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

 

f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

 

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

 

 a) voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b) voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c) om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;

d) met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.”

 

Feiten

Een persoon richt zich tot de Gegevensbeschermingsautoriteit omdat Google zou weigeren om de URL’s die verschijnen op “Google.be” en “Google.com” in de resultaten na een zoekopdracht op naam van de persoon te verwijderen. Nog voor er een zitting kan plaatsvinden, laat de persoon weten dat hij afstand wenst te doen van zijn klacht aangezien de URL’s waren verwijderd. Beide partijen geven aan de zaak niet verder te willen zetten.

Desondanks beslist de Geschillenkamer het onderzoek van de klacht voort te zetten. De Geschillenkamer stelt namelijk, net zoals in haar beslissing nr. 17/2020, dat eenmaal zij is gevat, zij bevoegd is om in volledige onafhankelijkheid  de  naleving  van  de  GDPR  te  onderzoeken  en  te  waken  over  de  effectieve toepassing  ervan,  en  dit  ongeacht  de  intrekking  van  de  klacht  door  de  klager  of  het  zonder voorwerp worden ervan. Het beslechten van geschillen is maar een van de taken van de Geschillenkamer. Zij moet meer in het algemeen toezicht houden op de naleving van de regels inzake gegevensbescherming.

Omwille van gebrek aan feitelijke elementen in deze zaak, beide partijen hadden na melding van afstand van de klacht namelijk geen verdere conclusies of documenten neergelegd, is het de Geschillenkamer niet mogelijk om verdere vaststellingen te doen omtrent een eventuele inbreuk op de GDPR en seponeerde zij alsnog de klacht.

 

Uitspraak   

De voorliggende klacht wordt geseponeerd bij gebrek aan feitelijke elementen.

Onze mening        

Onverminderd het feit dat partijen afstand hebben gedaan van de klacht, verklaart de Geschillenkamer van de Gegevensbeschermingsautoriteit zich nadat zij gevat is bevoegd om in onafhankelijkheid het onderzoek naar inbreuken verder zetten. Dit is logisch aangezien indien zij niet meer bevoegd zou zijn na dergelijke afstand van klacht, verwerkingsverantwoordelijken zouden kunnen volstaan met slechts gevolg te geven aan de verzoeken tot uitoefening van de rechten van de betrokkenen tijdens de procedure zelf. Iets wat de bescherming van persoonsgegevens niet ten goede zou komen en alleszins niet de bedoeling van de GDPR-beginselen is.

 

Definitief?  

Ja

Beslissing

Beslissing 63/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE 35/2020 VAN 30 JUNI 2020

 

 

Betreft:

Teneinde een toegangsverbod ten uitvoer te brengen werd door een griffier van de Sportrechtbank een screenshot van de profielfoto van de Klager, na bewerking, overgemaakt de sportcommissarissen van een event, alsook in CC aan de organiserende instelling.

Context:

Hergebruik van een profielfoto beschikbaar op facebook en GDPR door de Sportrechtbank m.h.o.o. de uitvoering en handhaving van een opgelegd toegangsverbod

Rechtsgrond:

Artikel 4. 7) GDPR: Voor de toepassing van deze verordening wordt verstaan onder:
[…]
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen
voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Artikel 6. 1) AVG:

  1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[…]

  1. f) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Feiten:

Een screenshot van een op facebook beschikbare foto werd verspreid via e-mail gericht aan derden, waaronder vrijwilligers en medewerkers van verweerster zonder dat de persoon in kwestie hiervoor zijn toestemming zou gegeven hebben.

De welbepaalde foto werd van facebook gehaald nadat de Sportrechtbank een aanwezigheidsverbod had opgelegd aan Klager.

In gevolge een vonnis van de Sportrechtbank werd klager veroordeeld tot “een algemeen verbod om aanwezig te zijn op trainingen, kampioenschappen of enige andere wedstrijd van om het even welke aard, georganiseerd onder de sportieve autoriteit van Y, dit voor een periode van 1 jaar. Dit verbod strekt zich uit tot elke plaats waar de competitie zich afspeelt, […]”.

Eerste verweerder is werknemer (griffier) van tweede verweerder, de Sportrechtbank.

Om het aanwezigheidsverbod te kunnen handhaven  werd in opdracht van de Sportrechtbank door de griffier een e-mail met de profielfoto van klager in bijlage uitgestuurd aan de sportcommissarissen van een welbepaald nakend event, alsook in cc aan de organiserende instelling.

Vooraleer deze profielfoto werd verspreid, werd deze ook bewerkt. De tweede persoon die op de foto te zien was, werd onzichtbaar gemaakt zodat enkel klager nog zichtbaar was.

De Geschillenkamer stelt vast dat de eerste verweerder het doel en de middelen voor de uitvoering van het vonnis van de Sportrechtbank heeft bepaald doordat de e-mail met foto in bijlage in haar naam en opdracht werd verzonden door de tweede verweerder die louter optrad in zijn functie van werknemer van de eerste verweerder.

De eerste verweerder, de werkgever wordt dus aangemerkt als verwerkingsverantwoordelijke in de zin van art. 4.7) GDPR.

Vervolgens is de geschillenkamer van oordeel dat er weldegelijk sprake is van een verwerking in de zin van artikel 4. 2) GDPR, gezien de foto op geautomatiseerde wijze aan de hand van bepaalde technologieën werd geraadpleegd om vervolgens te worden gebruikt en doorgezonden aan derden.

De Geschillenkamer oordeelt vervolgens dat verweerders zich terecht op art. 6.1 f) GDPR beroepen als grondslag voor de verwerking. Ten eerste stelt ze dat het feit dat een foto vrij toegankelijk werd gemaakt door de betrokkene zelf, geenszins het vrije hergebruik toelaat van de foto door derden die deze raadplegen. De Geschillenkamer benadrukt hiermee het principe dat het feit dat iemands profielfoto vrij toegankelijk is voor het publiek, niet betekent dat anderen deze vrij mogen gebruiken. Het gebruik is slechts mogelijk in geval van de aanwezigheid van een rechtsgrond zoals in casu art. 6.1 f) GDPR.

Op grond van rechtspraak van het Hof van Justitie dient aan drie cumulatieve voorwaarden voldaan te zijn opdat een verwerkingsverantwoordelijke zich rechtsgeldig kan beroepen op deze rechtmatigheidsgrond:

  1. De belangen die de verwerkingsverantwoordelijke met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (= de “doeltoets”);
  2. De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (= de noodzakelijkheidstoets”); en
  3. De afweging van deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen doorweegt in het voordeel van de verwerkingsverantwoordelijke (= de “afwegingstoets”).

Volgens de Geschillenkamer is aan de doeltoets voldaan omdat het belang dat de verweerder als verwerkingsverantwoordelijke nastreefde overeenkomstig overweging 47 GDPR als een gerechtvaardigd belang kan worden beschouwd. Het doeleinde dat erin bestaat uitvoering te geven aan het vonnis van de Sportrechtbank kan worden aangemerkt met oog op een gerechtvaardigd belang.

Ook de aan de noodzakelijkheidstoets is voldaan. Allereerst omwille van het feit dat door de foto te bewerken op zo een manier dat de andere persoon die op de profielfoto stond niet meer zichtbaar was, het beginsel van minimale gegevensverwerking werd gerespecteerd. Daarnaast stelt de Geschillenkamer vast dat de foto van de klager noodzakelijk was voor zijn identificatie om het aanwezigheidsverbod te kunnen handhaven. De wijze waarop de foto ter beschikking werd gesteld, hetzij via bijlage bij de betreffende e-mail, hetzij door rechtstreekse raadpleging via de Facebook pagina van klager, acht de Geschillenkamer irrelevant. Daardoor is ook op dit punt het beginsel van minimale gegevensverwerking gerespecteerd.

Ten slotte is volgens de Geschillenkamer ook voldaan aan de afwegingstoets tussen de belangen van de verwerkingsverantwoordelijke enerzijds en de fundamentele vrijheden en grondrechten van betrokkene anderzijds. De vraag die hiervoor dient gesteld te worden is: “mocht betrokkene op het tijdstip en in het kader van de verzameling van persoonsgegevens redelijkerwijze verwachten dat verwerking met dat doel kan plaatsvinden?”. Doordat de klager zelf de foto heeft gepubliceerd op zodanige wijze dat deze vrij toegankelijk is voor eenieder, is de Geschillenkamer van oordeel dat het binnen de redelijke verwachtingen van de klager valt dat derden zich toegang verschaffen tot de publiek gedeelde informatie en deze gebruiker. Doordat de Sportrechtbank naast het aanwezigheidsverbod ook stipuleert dat de griffier van het secretariaat van verweerder 1 wordt verzocht om dit verbod ter kennis te brengen van alle organisatoren van wedstrijden op Belgisch grondgebied, stelt de Geschillenkamer dat verweerders zich terecht beroepen op art. 6.1 f) GDPR.

Uitspraak:

Op basis van deze redenen en de informatie die de Geschillenkamer ter beschikking had, werd besloten de voorliggende klacht te seponeren.

Onze mening:

Doordat verweerders het beginsel van minimale gegevensverwerking hebben gerespecteerd door de foto op zo een manier te bewerken dat de andere persoon niet meer zichtbaar was én dat het vonnis van de Sportrechtbank verzocht  aan de griffier van het secretariaat van verweerder om het aanwezigheidsverbod ter kennis te stellen van alle organisatoren van wedstrijden op Belgisch grondgebied, werden ook volgens ons voldoende maatregelen genomen om te stellen dat er geen schending heeft plaatsgevonden van de GDPR regelgeving.

Deze klacht werd terecht geseponeerd.

 Definitief?

Ja.

Beslissing

 

 

Beslissing 35/2020

EEN BASISBANKDIENST VOOR ALLE ONDERNEMINGEN – EEN REALITEIT SINDS 16 JANUARI 2023

In onze vorige bijdrage[1] kon u al lezen dat sommige ondernemingen in bepaalde sectoren moeilijkheden ondervinden om een bankrekening te openen. Een bankrekening is echter noodzakelijk om behoorlijk deel te kunnen nemen aan het economisch rechtsverkeer. Via de wet van 8 november 2020 voerde de wetgever dan ook een basisbankdienst in voor ondernemingen, maar de inwerkingtreding liet lang op zich wachten met een veroordeling[2] van de Belgische Staat tot gevolg. Intussen werden een aantal aanpassingen verricht aan de wet van 8 november 2020 en werd de nieuwe wet, samen met haar uitvoeringsbesluit, gepubliceerd in het Belgisch Staatsblad op 16 januari 2023.

Uit de praktijk bleek dat verschillende ondernemingen in bepaalde sectoren moeilijkheden ondervonden om een bankrekening te verkrijgen bij bepaalde kredietinstellingen. Zo weigerde een bank onlangs nog een lening toe te kennen aan een kmo die actief is in de tabakshandel (die al tientallen jaren cliënt is bij die bank) omdat de bank besloten had tabaksondernemingen uit te sluiten van alle financieringsmogelijkheden.[3] Om die uitsluiting van bankdiensten tegen te gaan, werd de basisbankdienst voor ondernemingen ingevoerd. Die legt de banken een gegarandeerde dienstverlening op.

Maar de inwerkingtreding liet zeer lang op zich wachten waardoor de Belgische Staat op 6 december 2021 werd veroordeeld door de Nederlandstalige rechtbank van eerste aanleg Brussel tot een schadevergoeding van € 2.500,00. Zelfs uit een advies van de Raad van State en een advies van de Gegevensbeschermingsautoriteit bleek dat de wet van 8 november 2020 in zijn huidige versie niet kon worden toegepast, omdat hij niet in overeenstemming was met de Algemene Verordening Gegevensbescherming (AVG).  Er wachtte de wetgever een hoop werk om snel een oplossing te vinden zodat de Belgische Staat meer veroordelingen zou kunnen vermijden.

Deze oplossing vond de wetgever met de wet van 25 september 2022 houdende diverse bepalingen inzake economie[4] en haar uitvoeringsbesluit van 16 december 2022[5]. Zowel de nieuwe wet als het uitvoeringsbesluit werden op 16 januari 2023 gepubliceerd in het Belgisch Staatsblad, waardoor de basisbankdienst nu realiteit wordt voor de ondernemingen.

Concreet is de basisbankdienst het recht op een minimale dienstverlening: toegang tot een betaalrekening en de daaraan verbonden meest essentiële verrichtingen. De basisbankdienst legt de banken dus een gegarandeerde dienstverlening op. Elke in België gevestigde onderneming die bij de Kruispuntbank van Ondernemingen is ingeschreven, zal recht hebben op een basisdienst als eerder drie banken weigerden om haar een minimale dienstverlening aan te bieden.

De basisbankdienst is met andere woorden een zichtrekening met een debetkaart waarmee een onderneming onder meer de volgende verrichtingen kan doen:

  • geld storten;
  • geld afhalen;
  • overschrijvingen doen;
  • doorlopende betalingsopdrachten verrichten;
  • domiciliëringen uitvoeren;
  • betalen met een betaalkaart of soortgelijk middel;

Tot op heden zullen zes banken, namelijk BNP Paribas Fortis, KBC, Belfius, ING België, Argenta en Axa Bank deze dienst aanbieden.

Procedure voor de basisbankdienstkamer

Na de indiening van het aanvraagformulier door de betrokken onderneming, zal de basisbankdienstkamer nakijken of alle documenten aanwezig zijn om de aanvraag ontvankelijk te verklaren. Vervolgens zal zij het dossier voorleggen aan de Cel voor financiële informatieverwerking voor een verplicht advies. Als dat advies verkregen is, heeft de basisbankdienstkamer twee maanden om een beslissing te nemen over het aanwijzen van een basisbankdienst-aanbieder. Dan heeft de basisbankdienstaanbieder 10 werkdagen om de basisbankdienst te verlenen.

De basisbankdienstaanbieder is echter niet verplicht om de basisbankdienst aan te bieden. Zij mag deze weigeren als:

  • de onderneming al over een basisbankdienst of over een andere zichtrekening beschikt;
  • de aanvraag voor een basisbankdienst een schending uitmaakt van de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten;
  • een lid van het wettelijke bestuursorgaan van de betrokken onderneming of de persoon belast met de effectieve leiding of een lid van het directiecomité is veroordeeld voor oplichting, misbruik van vertrouwen, bedrieglijke bankbreuk of valsheid in geschrifte.

Een basisbankdienst kan ten slotte ook steeds worden opgezegd indien:

  • een lid van het wettelijke bestuursorgaan van de betrokken onderneming of de persoon belast met de effectieve leiding of een lid van het directiecomité is veroordeeld voor oplichting, misbruik van vertrouwen, bedrieglijke bankbreuk of valsheid in geschrifte.

  • de onderneming gedurende meer dan 12 opeenvolgende maanden geen betalingstransactie heeft verricht op die betaalrekening;

  • de onderneming onjuiste informatie heeft verstrekt om de basisbankdienst te verkrijgen en als de betrokken onderneming wel juiste informatie zou hebben verstrekt, zou de bank die dienst hebben geweigerd.

  • de onderneming heeft in België of in een andere lidstaat een betaalrekening waarmee gebruik kan worden gemaakt van bankdiensten;

  • de verlening van de basisbankdienst een schending inhoudt van de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten.

 

Besluit

Met de wet van 25 september 2022[6] en het uitvoeringsbesluit van 16 december 2022[7] is de wetgever eindelijk tegemoet gekomen aan haar verplichtingen om een basisbankdienst te voorzien voor alle ingeschreven Belgische ondernemingen. Zowel de nieuwe wet als het uitvoeringsbesluit werden op 16 januari 2023 gepubliceerd in het Belgisch Staatsblad, waardoor de basisbankdienst nu realiteit wordt voor de ondernemingen. Een oplossing waar verschillende ondernemingen in geplaagde sectoren al zo lang naar snakten…

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected]  of 03 216 70 70.

 

[1] https://www.jubel.be/basisbankdienst-voor-alle-ondernemingen/ ; https://studio-legale.com/een-basisbankdienst-voor-alle-ondernemingen-of-toch-niet/

[2] https://www.tijd.be/politiek-economie/belgie/algemeen/regering-veroordeeld-omdat-basisbankdienst-voor-bedrijven-uitblijft/10353974.html ; De Juristenkrant, “Rechtbank veroordeelt België voor niet-uitvoeren basisbankdienstenwet”, nr. 441 – 12 januari 2022;  Ook de Ondernemingsrechtbank van Antwerpen besloot in kort geding dat ING België de bankrekeningen niet mocht blokkeren van een groep vastgoedinvesteerders die kamers verhuren aan sekswerkers in het Schipperskwartier. Volgens ING België zou dat niet stroken met de algemene voorwaarden van de bank. Zie hiervoor: https://www.tijd.be/ondernemen/banken/ing-kan-huisbazen-schipperskwartier-niet-van-zich-afschudden/10358599.html.

[3]https://trendstop.knack.be/nl/ontop/ondernemen/basisbankdienst-voor-ondernemingen-1021-1513022.aspx ; https://www.dekamer.be/QRVA/pdf/55/55K0090.pdf p.177-179.

[4]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022033978%0D%0A

[5]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022043113%0D%0A

[6]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022033978%0D%0A

[7]https://www.ejustice.just.fgov.be/cgi/article_body.pl?language=nl&caller=summary&pub_date=2023-01-16&numac=2022043113%0D%0A

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 64/2020 VAN 29 SEPTEMBER 2020

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja

 

 

 


Beslissing

Beslissing 64/2020

Bent u in regel? Vanaf heden is de klokkenluidersregeling van kracht!

Bent u in regel?

Vanaf heden is de klokkenluidersregeling van kracht!

In organisaties, zowel bij overheden als bij ondernemingen, durven er al eens wantoestanden te ontstaan. Dit kan betrekking hebben op alle mogelijke aspecten binnen dergelijke organisaties. In het verleden durfden de meeste mensen uit deze organisaties geen melding te maken van dergelijke wantoestanden, aangezien ze vreesden voor represailles. Daarom heeft de Europese Unie op 26 november 2019 een richtlijn[1] uitgevaardigd die deze mensen bescherming moet bieden. Deze richtlijn diende omgezet te worden door de Belgische wetgever vóór 17 december 2021.[2]

De plenaire vergadering van de Kamer zette echter pas op 24 november 2022 het licht op groen voor de wet op de regelgeving voor klokkenluiders in de private en publieke sector. De Richtlijn is intussen geïmplementeerd door de wet van 28 november 2022 tot omzetting van de EU-Klokkenluidersrichtlijn voor de private sector.[3] De wet treedt in werking op 15 februari 2023. Via de omzettingswet van 8 december 2022 werd de Richtlijn ook geïmplementeerd voor de federale publieke sector.[4]

Wat?

De richtlijn, en dus ook de wet, voorziet in de mogelijkheid voor werknemers om, eventueel anoniem, melding te maken van wantoestanden binnen ondernemingen.  De EU nam de richtlijn in 2019 aan als reactie op enkele ophefmakende schandalen die aan het licht waren gekomen door klokkenluiders, zoals Luxleaks en de Panama Papers. Door deze schandalen werd ook duidelijk hoe precair de situatie is van personen die ‘de klok luiden’ en de gebrekkige bescherming die zij genieten.

De wet voorziet dat er een meldingskanaal moet worden voorzien voor inbreuken met betrekking tot volgende zaken:[5]

  • Overheidsopdrachten;
  • Financiële diensten, producten en markten en voorkoming van het witwassen van geld en de financiering van terrorisme;
  • Vervoersveiligheid;
  • productveiligheid en – conformiteit;
  • Milieubescherming;
  • Stralings- en nucleaire veiligheid;
  • Gezondheid en welzijn van dieren;
  • Volksgezondheid;
  • Voedsel- en diervoederveiligheid;
  • Consumentenbescherming;
  • Bescherming van de persoonlijke levenssfeer en persoonsgegevens;
  • Beveiliging van netwerken en informatiesystemen;
  • Bestrijding van belastingfraude en sociale fraude.

Voor wie?

In eerste instantie geldt de verplichting om een intern meldingskanaal op te zetten in de private sector slechts voor bedrijven vanaf 250 werknemers. De omzetting van de richtlijn voor bedrijven met 50 tot 249 werknemers moet pas op 17 december 2023 helemaal op punt staan. Vanaf dat moment zullen zij dus ook hun interne meldkanalen opgesteld, geïmplementeerd en operatief moeten hebben.

Door het invoeren van een intern meldingskanaal moet een klokkenluider de mogelijkheid worden geboden om bij een onpartijdige en onafhankelijke persoon of afdeling binnen zijn organisatie op vertrouwelijke wijze vermeende inbreuken te kunnen aankaarten. Zo’n meldingskanaal kan onder meer de vorm aannemen van een e-mailadres of een app.

Niet alleen werknemers kunnen gebruik maken van dergelijk meldingskanaal. Ook voormalige werknemers, vrijwilligers, stagiairs, aandeelhouders, bestuurders, leveranciers kunnen een melding doen via het intern meldingskanaal. Ook ambtenaren in de publieke sector kunnen hiervan gebruik maken. Het gaat erom dat ze de gemelde informatie vernamen in een werkgerelateerde context.[6]

Naast de interne melding is er ook een mogelijkheid om een vermeende inbreuk extern te melden of indien er een onmiddellijk gevaar voor het openbaar belang is of een risico dat er bewijsmaterieel wordt vernietigd, dan kan de melding ook publiek gebeuren via de pers.[7] De interne melding geniet evenwel de voorkeur.[8]

Bescherming klokkenluider?

  1. Bescherming persoonsgegevens melder

De lidstaten moeten ervoor zorgen dat de identiteit van de klokkenluider vertrouwelijk blijft. Uitzondering hierop is het recht op een eerlijk proces van de persoon waarover de melding wordt gedaan. Men zal in dat geval de klokkenluider vooraf verwittigen dat zijn identiteit zal worden onthuld.[9]

    2. Melder mag geen nadeel ondervinden van de melding d.m.v. represailles

De richtlijn wenst klokkenluiders te beschermen tegen elke vorm van represailles.[10] Indien de melder de procedures heeft gevolgd en op het moment van de melding er redelijkerwijze vanuit kon gaan dat de gemelde informatie juist was op het moment van de melding, wordt hij beschermd tegen mogelijke represailles vanuit het bedrijf.

De bescherming creëert een wettelijk, maar weerlegbaar vermoeden dat een represaillemaatregel (bijvoorbeeld het niet verlengen van een contract, ontslag, pesterijen, overplaatsing,…) gelinkt is aan de melding. Gevolg van deze bescherming is dat de melder in beginsel niet aansprakelijk gesteld kan worden voor de gevolgen zijn melding. Wordt een melder toch slachtoffer van een represaille dan kan hij een schadevergoeding vorderen overeenkomstig het contractuele of buitencontractuele aansprakelijkheidsrecht. Deze schadevergoeding wordt tussen 18 en 26 weken loon vastgelegd. Indien het slachtoffer van de represaille geen loontrekkende is wordt de schadevergoeding vastgesteld op de werkelijk geleden schade.[11]

GDPR van toepassing?

Het zal u niet verbazen dat de General Data Protection Regulation (hierna: GDPR[12])  ook van toepassing is op de klokkenluidersregeling.[13] De privacywetgeving werd in 2018 ingevoerd om de privacy van burgers van de EU te verzekeren. Het spreekt voor zich dat er zeer bewust moet worden omgesprongen met de gegevens die verzameld en verwerkt worden in het kader van een klokkenluidersregeling aangezien dit zeer gevoelige informatie kan bevatten, niet alleen over de klokkenluider zelf, maar ook over het bedrijf of overheid die een vermeende inbreuk zou hebben gepleegd.

Zo bepaalt de richtlijn onder meer dat er van elke ontvangen melding een register moet worden bijgehouden en dat de meldingen niet langer dan noodzakelijk mogen worden opgeslagen.[14]

Voorbeelden in België

  • Het incident in 2021 met burgemeester Veerle Heeren van Sint-Truiden in volle coronatijd. Door toedoen van een klokkenluider kwam het nieuws naar boven dat zij zichzelf, familieleden, buren en medewerkers voorrang had verleend bij de vaccinatiecampagne, terwijl in die periode de 85-plussers aan de beurt waren om ingeënt te worden.
  • De interne audit die bij Bpost werd doorgevoerd naar mogelijke onregelmatigheden bij de aanbesteding van de bedeling van kranten. Aanleiding hiervan was een tip van een klokkenluider.

Vlaamse regelgeving

Ook Vlaanderen heeft intussen werk gemaakt van een nieuw klokkenluidersbeleid. Met het Decreet van 18 november 2022[15] heeft Vlaanderen de Richtlijn eindelijk omgezet in Vlaamse regelgeving. Zij treedt in werking op 10 december 2023 en zal een bescherming moeten bieden aan alle klokkenluiders die bij Vlaamse overheidsdiensten werken, zowel interne als externe personeelsleden, alsook zelfstandigen, vrijwilligers of stagiairs.

Besluit

Bent u een bedrijf met meer dan 250 werknemers? Dan moet u sinds vandaag beschikken over een functioneel meldingskanaal waarbij men op vertrouwelijke wijze eventuele vermeende inbreuken op de werkvloer kan aankaarten. Bent u een bedrijf met 50 tot 249 werknemers, dan heeft u nog (even) respijt tot 17 december 2023. Indien u wenst kan u steeds een beroep doen op onze diensten om uw bedrijf in regel te stellen.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

Juridische bronnen:

  • Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden;
  • 28 NOVEMBER 2022. – Wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector;
  • 8 DECEMBER 2022. – Wet betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie;
  • Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
  • Decreet tot wijziging van het Provincie decreet van 9 december 2005, het decreet van 22 december 2017 over het lokaal bestuur en het Bestuurs decreet van 7 december 2018, wat betreft klokkenluiders;

Media bronnen:

  • PECINOVSKY, “België mist deadline voor omzetting klokkenluidersrichtlijn”, De Juristenkrant, 22 december 2021 ;

[1] Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[2] Zie artikel 26.1 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[3] 28 NOVEMBER 2022. – Wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector

[4] 8 DECEMBER 2022. – Wet betreffende de meldingskanalen en de bescherming van de melders van integriteitsschendingen in de federale overheidsinstanties en bij de geïntegreerde politie

[5] Zie artikel 2.1.a) Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[6] Zie artikel 4.1 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[7]https://www.tijd.be/ondernemen/algemeen/duizenden-bedrijven-moeten-klokkenluiders-stem-geven/10430920.html

[8] Zie artikel 7.1 en 15 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[9] Zie artikel 16 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[10] Zie artikel 19 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[11] Zie artikel 27, §2 van de Wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector

[12] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

[13] Zie artikel 17 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[14] Zie artikel 18 Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden

[15] Decreet tot wijziging van het Provinciedecreet van 9 december 2005, het decreet van 22 december 2017 over het lokaal bestuur en het Bestuursdecreet van 7 december 2018, wat betreft klokkenluiders.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 34/2020 VAN 23 JUNI 2020

 

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 33/2020 VAN 19 JUNI 2020

 

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

WETTELIJKE INTERESTVOETEN STIJGEN FORS

De wettelijke interestvoeten stijgen fors

Ook de Belgische wettelijke interestvoeten bij laattijdige betalingen ontsnappen niet aan het huidige economische en financiële klimaat en ondergaan een forse stijging vanaf 1 januari 2023 zowel wat betreft de gewone wettelijke interestvoet als deze van toepassing op handelstransacties.

De FOD Financiën heeft zopas de wettelijke interestvoet bij laattijdige betaling die van toepassing is vanaf 1 januari 2023 meegedeeld.[1] U vindt de informatiefiche hier.

De gewone wettelijke interest stijgt van 1,50 % naar maar liefst 5,25% vanaf 1 januari 2023.

De interestvoet voor handelstransacties stijgt dan weer van 8% naar 10,50 %. De toepassing van deze interestvoet is beperkt tot de “handelstransacties” die conform de wet betalingsachterstand[2] gedefinieerd worden als: “Een transactie tussen ondernemingen of tussen ondernemingen en overheidsinstanties die leidt tot het leveren van goederen, het verrichten van diensten of het ontwerp en de uitvoering van openbare werken en bouw- en civieltechnische werken tegen vergoeding.”

Als schuldenaar zal u dus meer dan ooit uw betalingstermijnen in acht moeten nemen aangezien de interest die steeds wettelijk als vergoeding voor laattijdige betaling is voorzien, fors gestegen is, losstaand van wat mogelijks contractueel voorzien is.

Dit is mogelijks ook een geschikt moment om als onderneming uw algemene voorwaarden wat betreft de bepalingen omtrent laattijdige betalingen te laten nakijken. Daarnaast zijn er belangrijke wettelijke wijzigingen gebeurd die eveneens bij dergelijk nazicht in acht genomen moeten worden inzake onrechtmatige bedingen. Zie ons eerder artikel hieromtrent op Jubel[3].

Voor verdere vragen hieromtrent kan u steeds contact met ons opnemen via mail: [email protected] of telefonisch: 03/216.70.70.

[1] Zie: https://financien.belgium.be/nl/over_de_fod/structuur_en_diensten/algemene_administraties/thesaurie/rentevoet_betalingsachterstand_handelstransacties

[2] Wet van 2 augustus 2020 betreffende de bestrijding van de betalingsachterstand bij handelstransacties.

[3] https://www.jubel.be/onrechtmatige-bedingen/

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

 

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Opname (telefoon)gesprek

 

In België bestaat er geen specifieke wet die het opnemen van een gesprek, waaraan men zelf deelneemt, verbiedt.

Men kan dus gesprekken tussen zichzelf en een derde opnemen, zonder hiervoor gestraft te worden.

Uiteraard doet dit heel wat vragen rijzen. Zijn er dan geen andere regels die het opnemen van gesprekken kunnen tegenhouden? Wat met de bescherming van de rechten van de mens?

Zelfs artikel 8.1 EVRM die het recht op privacy waarborgt, belet het louter opnemen van een gesprek door een deelnemer aan dit gesprek zonder medeweten van de andere deelnemers niet.[1]

Wel kan men deze opgenomen (telefoon)gesprekken niet zo maar publiekelijk verspreiden.

Op grond van artikel 314bis, §2, lid 2 van het Strafwetboek wordt gestraft “hij die, met bedrieglijk opzet of met het oogmerk te schaden, gebruik maakt van een wettig gemaakte opname van niet voor publiek toegankelijke communicatie of gegevens van een informaticasysteem.”

Als men de opnames gebruikt voor een andere reden dan voor zichzelf en om een andere reden zoals voorzien in artikel 314bis, §2, tweede lid Sw. – dus bijvoorbeeld met het oog op bewijsvoering, maar evenzeer indien men de opnames van het gesprek onbewust overmaakt aan een derde – kan dit wel een schending van artikel 8 EVRM uitmaken.[2]

Het Hof van Cassatie heeft onder meer in haar arrest van 9 september 2008 bepaalt dat men, in het licht van de specifieke omstandigheden waarin het opnemen van het gesprek en het verspreiden van het opgenomen gesprek geschiedde, een schending van artikel 8 EVRM zal kunnen vaststellen. Hierbij neemt de rechter het criterium van de redelijke privacyverwachting van de deelnemers aan het gesprek en het beoogde doel van de opname in overweging.[3]

Dit is geen gemakkelijke opgave.

De rechter zal rekening houden met onder meer de inhoud van het gesprek, de omstandigheden waaronder het gesprek plaatsvond, de hoedanigheid van de deelnemers aan het gesprek en de hoedanigheid van de bestemmeling van de opname.

Als men de opgenomen gesprekken verspreidt, bestaat er bovendien uiteraard nog kans dat men vervolgd wordt voor andere strafrechtelijke inbreuken, zoals bijvoorbeeld laster en eerroof. Als men de opgenomen gesprekken bewust verspreidt om bijvoorbeeld iemand anders ten schande te maken, is artikel 314bis, §2, tweede lid Sw. van toepassing.

Wenst u zelf een (telefoon)gesprek op te nemen in het licht van de bewijsvoering in een geschil of bent u zelf slachtoffer van een ten onrechte opgenomen gesprek, aarzel dan niet om contact op te nemen met onze specialisten voor verder advies en bijstand. Klik hier om contact met ons kantoor op te nemen.

Nota bene 1: het Hof van Cassatie heeft eveneens toegestaan dat een cliënt een gesprek tussen hem en zijn raadsman kan opnemen zonder dat dit een schending van beroepsgeheim uitmaakt (artikel 458 Sw.).[4] Of we dit een goed idee vinden, is natuurlijk nog iets anders…

Nota bene 2: Het opnemen van telefoongesprekken waaraan men zelf niet deelneemt, is wel opgenomen in het Belgische Strafwetboek en is enkel in het licht van zeer specifieke omstandigheden, zoals bijvoorbeeld in het raam van bijzondere opsporingstechnieken, toegestaan.

Bronnen:

Cass. 9 januari 2001, Arr.Cass. 2001, 26.

Cass. 9 september 2008, Arr.Cass. 2008, 1890.

Cass. 17 november 2015, RW 2017, 380.

R. Verstraeten, Handboek Strafvordering, Antwerpen, Maklu, 2007, 876.

P. Arnou, “Eigen telefoongesprekken opnemen mag van Cassatie”, Juristenkrant 2001, afl. 25, 5.

[1] Cass. 9 januari 2001, Arr.Cass. 2001, 26; Cass. 9 september 2008, Arr.Cass. 2008, 1890.

[2] Cass. 9 september 2008, Arr.Cass. 2008, 1890.

[3]Ibid.

[4]Cass. 17 november 2015, RW 2017, 380.

———————————————————————————————————————–

L’enregistrement des conversations

Il n’existe en Belgique aucune loi spécifique qui interdit d’enregistrer une conversation (par exemple téléphonique) à laquelle on prend part.

On peut donc enregistrer des discussions avec un tiers, sans encourir la moindre peine.

Cela soulève naturellement bien des questions. N’y aurait-il pas d’autres règles qui pourraient empêcher l’enregistrement de ces conversations ? Quid de la protection des Droits de l’Homme ?

Même l’article 8.1 de la Convention Européenne des Droits de l’Homme (CEDH), qui garantit le droit au respect de la vie privée, n’interdit pas le simple enregistrement d’une discussion par une personne qui y participe, à l’insu des autres participants[1].

Il n’est toutefois pas nécessairement permis de rendre publiques ces discussions (téléphoniques ou non).

L’article 314bis, §2, al. 2 du Code pénal punit « quiconque, avec une intention frauduleuse ou à dessein de nuire, utilise un enregistrement, légalement effectué, de communications non accessibles au public ou de données d’un système informatique ».

Si l’on utilise les enregistrements à une autre fin que pour soi-même et même dans d’autres objectifs que ceux mentionnés dans l’article 314bis, §2, al. 2 C.P. – par exemple en vue de s’en servir comme preuve mais égalent si l’on transmet les enregistrements inconsciemment à des tiers – cela peut constituer une violation de l’article 8 de la CEDH[2].

Dans son arrêt du 9 septembre 2008, la Cour de cassation a notamment décidé que, à la lumière des circonstances particulières dans lesquelles se produisent l’enregistrement d’une discussion et le partage de l’enregistrement, l’on pourra considérer qu’il s’agit d’une violation de l’article 8 de la CEDH. Le juge prendra en compte le critère de l’attente raisonnable du respect à la vie privée des participants à la discussion et l’objectif de l’enregistrement[3].

Ce n’est naturellement pas une tâche facile.

Le juge prendra en compte notamment le contenu de la conversation, les circonstances dans lesquelles cette conversation s’est tenue, la qualité des participants, et la qualité du destinataire de l’enregistrement.

En cas de partage d’un enregistrement, existe naturellement également le risque d’être poursuivi pour d’autres infractions pénales, par exemple la calomnie ou la diffamation. Si l’enregistrement est volontairement partagé par exemple à dessein de nuire à une personne, l’article 314
bis, §2, al. 2 du Code pénal sera d’application.

Si vous souhaitez vous-même enregistrer une conversation (téléphonique ou non) afin de vous en servir comme preuve dans un litige, ou si vous êtes victime d’un enregistrement illégal d’une conversation, n’hésitez pas à prendre contact avec nos spécialistes pour obtenir une assistance et plus de conseils.

N.B. 1: la Cour de cassation a également estimé qu’un client qui enregistre une conversation entre lui et son conseil ne viole pas le secret professionnel garanti par l’article 458 du Code pénal[4]. Quant à savoir s’il s’agit selon nous d’une bonne idée, c’est naturellement une toute autre question.

N.B. 2: L’enregistrement de conversations téléphoniques auxquelles on ne participe pas, est bien prévue dans le Code pénal belge. Cet enregistrement n’est permis que dans des circonstances très spécifiques, comme par exemple dans le cadre de techniques particulières de recherche.

Sources:

Cass., 9 janvier 2001, Arr.Cass. 2001, p. 26.

Cass., 9 septembre 2008, Arr.Cass. 2008, p. 1890.

Cass., 17 novembre 2015, R.W. 2017, p. 380.

R. Verstraeten, Handboek Strafvordering, Antwerpen, Maklu, 2007, p. 876.

P. Arnou, “Eigen telefoongesprekken opnemen mag van Cassatie”, Juristenkrant 2001, n°25, p. 5.

[1] Cass., 9 janvier 2001, Arr.Cass. 2001, 26; Cass. 9 septembre 2008, Arr.Cass. 2008, p. 1890.

[2] Cass., 9 septembre 2008, Arr.Cass. 2008, p. 1890.

[3]Ibid.

[4] Cass., 17 novembre 2015, R.W. 2017, p. 380.

Recht op vergetelheid gaat een stap verder

Recht op vergetelheid gaat een stap verder

“Wie schrijft die blijft”, “verba volant scripta manent”, en dit geldt des te meer in het informatie tijdperk. Een groot deel van persoonlijke gegevens, soms gevoelige, worden gearchiveerd op het internet. Het kan bij voorbeeld gaan om voormalig schulden of betrokkenheid bij een oud verkeersongeval gerelateerd aan alcoholgebruik. Deze informatie kan makkelijk worden gevonden op de websites van kranten, of gewoon met een zoekopdracht in zoekmachines zoals Google. En dit zelfs vele jaren na de feiten, wanneer men zou kunnen veronderstellen dat deze informatie geen belang meer voor het publiek heeft.

De betrokken personen zouden uiteraard kunnen wensen dat de informatie wordtverwijderd of ten minste, dat deze informatie wordt geanonimiseerd.

Een schrijnend voorbeeld van de verschrikkelijke gevolgen van de publicatie van genante persoonlijke gegevens op het internet was de zelfmoord, in september 2016, van een Italiaanse vrouw. Er waren erotische video’s waarin zij een niet-onbelangrijke rol speelde online gezet. Hoewel ze met succes haar recht op vergetelheid voor een Italiaanse rechter had ingeroepen en zelfs afgedwongen, pleegde ze desondanks zelfmoord uit gêne.[1]

Confrontatie tussen fundamentele rechten

Het juridisch probleem kan gesitueerd worden in de confrontatie tussen verschillende fundamentele rechten.

Het recht op vrijheid van meningsuiting gewaarborgd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens maakt, in principe, de publicatie van gegevens van publiek belang mogelijk. Ook artikel 19 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten beschermt dit recht en voegt expliciet een recht van het publiek op toegang tot informatie toe.

Aan de andere kant onderscheidt men het recht van de betrokken persoon op de bescherming van zijn privéleven. Dit recht is gebaseerd op artikel 8 van de Europees Verdrag voor de Rechten van de Mens, artikel 17 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten, en artikel 22 van de Grondwet.

Een Aanbeveling Rec(2003)13 van Raad van Europa illustreert de spanning tussen deze belangen voor personen die strafrechtelijk werden veroordeeld : “the right to protection of privacy under Article 8 of the Convention should include the right to protect the identity of [persons who have served court sentences], unless […] they and their prior offence are of public concern again or have become of public concern again”.[2]

Er moet dus een afweging tussen deze legitieme belangen plaatsvinden.

Het Arrest van het Hof van Justitie van 13 mei 2014 en het recht op vergetelheid

Het Hof van Justitie van de Europese Unie erkent, in zijn Arrest van 13 mei 2014[3], een “recht op vergetelheid” (ook bekend als “recht op gegevenswissing”). Dit Arrest beperkte zich enkel tot de kwestie van het recht op vergetelheid met betrekking tot de resultatenlijsten van de zoekmachines, en niet tot de databases van digitale kranten zelf.

Het Hof herinnert eraan dat de rechten op de bescherming van het privéleven en op vrijheid van meningsuiting niet absoluut zijn. De betrokken persoon kan dus, volgens het Hof, verlangen dat de informatie niet meer door de zoekmachine ter beschikking wordt gesteld aan het publiek. Het Hof voegde er echter aan toe dat er bijzondere redenen kunnen zijn opdat deze informatie voor het publiek toegankelijk blijft. Dit zou het geval zijn, bij voorbeeld, als de feiten nog recent zijn of als de betrokken persoon een publiek figuur is.[4]

Dit recht op vergetelheid dat door het Hof van Justitie van de Europese Unie vastgelegd werd, wordt bevestigd in de Algemene Verordening Gegevensbescherming[5] dewelke vanaf 25 mei 2018 van toepassing zal zijn.

Het Arrest van het Hof van Cassatie van 29 april 2016

Zoals hoger vermeld was er nog geen uitspraak omtrent de delicate kwestie van de digitale krantarchieven. Dit is nu uitgeklaard sinds het Arrest van het Hof van Cassatie van 29 april 2016.[6] Het cassatieberoep was gerichte tegen een Arrest van het Hof van Beroep van Luik dd. 25 september 2014, dat erkende dat de betrokken persoon schade leed, ten gevolgde de publicatie van zijn naam in een online artikel (schending van zijn recht op vergetelheid). Het Hof veroordeelde de uitgever van het digitale krantenarchief tot een euro uit hoofde van morele schade. Het Hof van Beroep oordeelde dat de remediëring zou bestaan in het anonimiseren van het artikel, om de fundamentele rechten van alle partijen zoveel mogelijk te sparen (vergetelheid voor het individu VS vrijheid van meningsuiting en informatie voor het publiek).

Het Hof van Cassatie bevestigde dat Arrest.

Deze “gezond verstand” oplossingvloeit logischerwijze voort, uit het Arrest van het Hof van Justitie van 13 mei 2014. Hoewel de betrokken gevallen verschillend zijn, wordt eenzelfde, o.i., correcte toepassing van de principes nageleefd, i.e. correcte afweging tussen privéleven en informatierecht voor het publiek.

Indien U vragen heeft over deze actuele rechtsproblematiek, aarzel niet om onze specialisten te raadplegen !

[1]http://deredactie.be/cm/vrtnieuws/buitenland/1.2769291

[2]https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016805df617

[3]HvJ, 13 mei 2014, C‑131/12, www.curia.europa.eu.

[4] M. GEUENS, “Cassatie breidt Europese rechtspraak over recht op vergetelheid gevoelig uit”, Juristenkrant 2016, nr 333, p. 5.

[5] http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679&lang1=NL

[6] Cass., 29 april 2016, C.15.0052.F, www.juridat.be.

———————————————————————————————————–

Le droit à l’oubli va un pas plus loin

« Les paroles s’envolent, les écrits restent », « verba volant scripta manent », et c’est d’autant plus vrai à l’ère de l’informatique. Un grand nombre de données personnelles, parfois sensibles, sont archivées sur internet. Il pourrait s’agir, par exemple, d’anciennes dettes ou de l’implication dans un accident de circulation lié à une consommation abusive d’alcool. Ces informations peuvent facilement être consultées sur le site web d’organes de presse ou, tout simplement, par le biais de moteurs de recherche tels que Google. Et ce même de nombreuses années après les faits, alors que l’on pourrait soutenir que l’information ne revêt plus aucun intérêt pour le public.

Les personnes concernées pourraien
t naturellement souhaiter la suppression de ces informations, ou à tout le moins, leur anonymisation.

Un exemple frappant des conséquences que peut avoir la publication de données personnelles gênantes est le suicide, au mois de septembre 2016, d’une jeune femme italienne. Des vidéos érotiques dans lesquelles elle apparaissait avaient été mises en ligne. Elle avait invoqué avec succès son droit à l’oubli devant les juridictions italiennes, avant de toutefois mettre fin à ses jours[1].

La confrontation de droits fondamentaux

Le problème, sur le plan juridique, tient à la confrontation entre différents droits fondamentaux.

Le droit à la liberté d’expression, garanti par l’article 10 de la Convention européenne des droits de l’homme, autorise en principe la publication de données ayant un intérêt pour le public. L’article 19 du Pacte international relatif aux droits civils et politiques ajoute que ce droit suppose notamment un droit du public d’accéder à l’information.

D’autre part, le droit à la protection de la vie privée de la personne. Ce droit trouve sa source à l’article 8 de la Convention européenne des droits de l’homme, à l’article 17 du Pacte international relatif aux droits civils et politiques, ainsi qu’à l’article 22 de la Constitution.

La Recommandation Rec(2003)13 du Conseil de l’Europe illustre la tension entre ces intérêts dans le cas des personnes condamnées pénalement : « le droit à la protection de la vie privée en application de l’article 8 de la Convention devrait inclure le droit à protéger l’identité [des personnes qui ont purgé une condamnation], sauf […] si ces personnes et le délit qu’elles ont antérieurement commis sont un sujet d’intérêt public ou sont redevenus un sujet d’intérêt public »[2].

Il fallait donc trouver un équilibre entre ces intérêts légitimes.

L’arrêt de la Cour de Justice du 13 mai 2014 et le droit à l’oubli

La Cour de Justice de l’Union Européenne, en son arrêt du 13 mai 2014[3], a reconnu ce « droit à l’oubli » (ou « droit à l’effacement »). L’arrêt ne concerne toutefois que le droit à l’oubli au regard des listes de résultats proposés par les moteurs de recherche. Les bases de données des journaux numériques ne sont pas directement visées par cet arrêt.

La Cour rappelle dans cet arrêt que ni le droit à la liberté d’expression, ni le droit à la protection de la vie privée, ne sont absolus. La personne concernée peut donc, selon la Cour, exiger que ces informations ne soient plus mises à disposition du public par le biais du moteur de recherche. La Cour ajoute que des raisons particulières pourraient toutefois justifier que l’information demeure accessible au public. Tel serait notamment le cas si les faits sont récents ou si la personne concernée est une personne publique[4].

Ce droit à l’oubli, consacré par la Cour de Justice de l’Union Européenne, est confirmé par le Règlement Général sur la Protection des Données (RGPD)[5] qui sera applicable à partir du 25 mai 2018.

L’arrêt de la Cour de cassation du 29 avril 2016

Ne restait donc plus à régler que la délicate question des archives de la presse numérique. C’est désormais chose faite, depuis un arrêt de la Cour de cassation du 29 avril 2016[6]. Un pourvoi avait été introduit à l’encontre d’une décision de la Cour d’appel de Liège du 25 septembre 2014. Dans cet arrêt, la Cour reconnaissait que la personne concernée subissait un dommage en raison de la publication de son nom dans un article de presse, en violation de son droit à l’oubli. La Cour d’appel condamnait l’éditeur à verser la somme d’un euro à la personne lésée à titre de dommage moral. La Cour d’appel estimait en outre que la réparation devait consister en l’anonymisation de l’article, et ce afin de ménager autant que possible les droits fondamentaux des parties (l’oubli pour l’individu contre la liberté d’information et l’information du public).

La Cour de cassation confirme cette décision.

Cette solution de « bon sens » nous semble découler très logiquement de l’arrêt de la Cour de Justice du 13 mai 2014. Bien que les hypothèses visées diffèrent, la même solution devait, selon nous, s’imposer. Il s’agit d’un juste équilibre entre la vie privée et le droit à l’information du public.

Si vous vous posez des questions sur cette problématique actuelle, n’hésitez pas à prendre contact avec nos spécialistes !

[1]http://www.lefigaro.fr/flash-actu/2016/09/15/97001-20160915FILWWW00137-web-l8217italie-debat-sur-le-droit-a-l8217oubli-apres-le-suicide-d-une-jeune-femme.php

[2]https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016805df5ff

[3] C.J.U.E., 13 mai 2014, C‑131/12, www.curia.europa.eu.

[4] M. GEUENS, “Cassatie breidt Europese rechtspraak over recht op vergetelheid gevoelig uit”, Juristenkrant 2016, nr 333, p. 5.

[5] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[6] Cass., 29 avril 2016, C.15.0052.F, www.juridat.be.

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!