GDPR Archives - STUDIO-LEGALE

Tag: GDPR

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 169/2023 VAN 19 DECEMBER 2023

Betreft

Na een klacht tegen het Bisdom Gent heeft de GBA bevolen dat het verzoek van de gedoopte moet ingewilligd worden om uit het doopregister van de parochie geschrapt te worden.

Context

Verzoek tot wissing gegevens uit het doopregister

Rechtsgrond

Artikel 5.1.a) GDPR

Artikel 5.1.f) GDPR

Artikel 6 GDPR

Artikel 9.1 en 9.2 GDPR

Artikel 12.1, 12.3 en 12.4 GDPR

Artikel 13 GDPR

Artikel 15 GDPR

Artikel 17 GDPR

Feiten

De gedoopte verzocht op 22 maart 2021 het bisdom Gent om elke verwijzing naar zijn persoon uit elk fysiek of digitaal archief te schrappen.

Door de toenmalige Kanselier van het Bisdom werd hem meegedeeld dat de uittreding uit de Rooms-Katholieke Kerk op 24 maart 2021 werd opgeschreven op de lijst van kerkverlaters van de parochie Gent en dat de mogelijkheid bestaat om de aantekening in het doopregister persoonlijk te komen controleren.

De gedoopte meent hiermee geen genoegen te kunnen nemen. Hij betwist namelijk in eerste instantie ooit zelf een intrede in de kerk gemaakt te hebben aangezien hij door zijn ouders werd ingeschreven in het doopregister. Een uittrede kan dan ook niet plaatsvinden indien er nooit een intrede is geweest. Hij drong verder aan op de verwijdering van elk gegeven verwijzend naar zijn persoon, met inbegrip van informatie i.v.m. zijn uittreding uit de Rooms-Katholieke Kerk, uit alle fysieke of digitale register of archieven.

Diezelfde dag diende de gedoopte zijn klacht in.

Informatieverplichting

De betrokkenen worden geïnformeerd over de verwerkingen die plaatsvinden met betrekking tot de doop aan de hand van een formulier dat een privacyverklaring bevat. In verband met de verwerkingen van persoonsgegeven vermeldt dit formulier:

“Mijn persoonsgegevens evenals de gegevens van mijn kind mogen verwerkt worden in een bestand met het doel de doop, de eerste communie of het vormsel van mijn kind mogelijk te maken.”

Aangezien bevestigd werd dat dit de enige informatie is die wordt verschaft, oordeelt de Geschillenkamer dat het Bisdom Gent in overtreding is met de verplichting tot transparantie vervat in artikel 5.1.a) GDPR en de daarmee samenhangende verplichte specifieke informatie die volgens artikel 13 GDPR bij de verzameling van persoonsgegevens verstrekt moet worden.

Er wordt nergens in het formulier bovendien verwezen naar een privacyverklaring die online wel raadpleegbaar is. Overigens is zelfs niet in deze online privacyverklaring alle vereist informatie opgenomen. Zo is er bijvoorbeeld geen periode van opslag van de periode gegevens vermeld.

Artikel 12.1, 12.3 en 12.4 GDPR bevat nog de specifieke verplichting tot het verschaffen van deze informatie indien een verzoek conform de artikelen 15 t.e.m. 22 GDPR wordt ingediend. De mededeling die de gedoopte ontving n.a.v. van zijn verzoek beantwoordt hier niet aan:

“Ik kan u meedelen dat uw uittreding uit de Katholieke Kerk werd genoteerd op de lijst van de kerkverlaters van de parochie Gent op 24 maart 2021. (1955 nr. 536) doopregister Toevlucht van Maria. Het staat u vrij deze aantekening persoonlijk in het doopregister te verifiëren.”

Het feit dat er wel een standaardantwoord bestaat, wat in deze kwestie niet aan betrokkene verzonden werd, en dat gedoopte niet verder aandrong bij het Bisdom Gent op de informatie, kan hier geen afbreuk aandoen. De verplichting bestaat eruit om dit reeds bij het eerste verzoek mee te delen en kan een betrokkene niet verplicht worden om nog bijkomende vragen hieromtrent te stellen alvorens de informatie te bekomen.

De geschillenkamer stelt dan ook een schending van artikel 12.4 GDPR vast.

Integriteit en vertrouwelijkheid

Het Bisdom Gent legt de nadruk op het feit dat de dooparchieven voorzien zijn van de nodige beveiligingsmaatregelen. De toegang tot deze archieven zou beperkt zijn tot de priester of een door hem gemachtigde en een afschrift zou alleen worden verstrekt op verzoek van de betrokkene zelf. De implementatie in de praktijk lig in handen van de priester van de betreffende parochie.

Aangezien de Geschillenkamer niet de mogelijkheid heeft om daadwerkelijk te controleren of deze maatregelen in de praktijk worden toegepast, oordeelt zij dat de technische en organisatorische maatregelen conform artikel 5.1.f) GDPR prima facie als adequaat worden beschouwd.

Rechtmatigheid van de verwerking

Aangezien het over de verwerking van bijzondere persoonsgegevens conform artikel 9.1 GDPR gaat, moet het Bisdom Gent een rechtsgrond conform artikel 6 GDPR én een uitzonderingsgrond uit artikel 9.2 GDPR kunnen aanwijzen vooraleer de verwerking rechtmatig zou kunnen zijn.

Het Bisdom Gent duidt het gerechtvaardigd belang conform artikel 6.1.f) GDPR aan als de rechtsgrond voor de verwerking.

Vaste rechtspraak van het Hof van Justitie van de Europese Unie heeft drie cumulatieve voorwaarden uitgewerkt alvorens een beroep op deze rechtsgrond gedaan kan worden, waarbij de verwerkingsverantwoordelijke moet aantonen dat:

de belangen die hij met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (‘de doeltoets’);
de beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (‘de noodzakelijkheidstoets’); en
de afweging van deze belangen tegen de fundamentele belangen, vrijheden en grondrechten van de betrokkenen in het voordeel van de verwerkingsverantwoordelijke of van een derde is (‘de afwegingstoets’).

Het doeleinde is het vermijden van identiteitsfraude m.b.t. het uitvoeren van de sacramenten.

De geschillenkamer stelt hierbij vast dat wanneer er uiting wordt gegeven aan een fundamenteel recht of vrijheid, hier vrijheid van godsdienst en van vereniging, dit als een gerechtvaardigd belang moet worden gezien. Bovendien is identiteitsfraude in overweging 47 van de GDPR opgenomen als mogelijk gerechtvaardigd belang. De doeltoets is voldaan.

De noodzakelijkheidstoets kan niet los gezien worden van het beginsel van doelbinding en het data minimalisatie-beginsel vervat in artikel 5.1.b) en 5.1.c) GDPR.

Hier blijkt het schoentje te wringen.

De registers bestaan immers enkel op papier en niet digitaal. Het Bisdom Gent is afhankelijk van de vrijwillige verstrekking van de nodige persoonsgegevens om te controleren of de relevante sacramenten nog niet zijn ondergaan. Interparochiale opzoekingen zijn des te meer afhankelijk van medewerking van de betrokkenen aangezien de doopregisters slechts per parochie worden bijgehouden. De doopregisters vermijden op zich dus geenszins dat een betrokkene tweemaal eenzelfde sacrament kan ondergaan. Bovendien is een doop onder voorwaarde een mogelijkheid indien er onzekerheid zou bestaan over de geldigheid. De noodzakelijkheidstoets blijkt op dit vlak al niet doorstaan te kunnen worden.

De annotatie die wordt gemaakt in het doopregister bestaat eruit aan te geven dat de betrokkene “op datum van uittreding de Kerkgemeenschap heeft verlaten”. In de praktijk gaat dergelijk verzoek tot uittreding vaak gepaard met verzoek tot schrapping uit alle registers. Bijkomende gegevens worden dus verwerkt en dus kunnen mogelijk nog gevoeliger geacht worden.

Eerder werd reeds geoordeeld dat het nagestreefde doel wel gerechtvaardigd is, maar de wijze waarop dit wordt nagestreefd is niet in overeenstemming met de noodzakelijkheidsvereiste. Het is immers geen waterdichte methode om de correcte status van een betrokkene na te gaan en te voorkomen dat tweemaal eenzelfde sacrament wordt toegediend.

Bovendien wordt niet een minimum aan persoonsgegevens bewaard. Het bijhouden van persoonsgegevens van de peter en meter, datum van uittreding is bijvoorbeeld niet noodzakelijk voor dit doel.

De geschillenkamer stelt dan ook een schending van het beginsel van doelbinding en data minimalisatie-beginsel vast (artikel 5.1.b) en 5.1.c) GDPR).

Tot slot moet er nog een afweging gemaakt worden tussen het gerechtvaardigde belang van het vermijden van identiteitsfraude en een dubbele doop en het recht op bescherming van persoonsgegevens van de gedoopte.

Het levenslang bewaren van de persoonsgegevens van de gedoopte is disproportioneel, ongeacht het feit dat het oorspronkelijke doel van de verwerking gerechtvaardigd is.

De geschillenkamer stelt dan ook vast dat er geen rechtsgrond voor de verwerking heeft in strijd met artikelen 5.1.a) en 6.1.f) GDPR aangezien zowel de noodzakelijkheidstoets als de afwegingstoets niet wordt doorstaan.

De geschillenkamer zet wel uitdrukkelijk de deur op een kier voor de mogelijkheid dat dergelijke verwerking wel gerechtvaardigd kan zijn indien voldoende aandacht wordt besteed aan het beginsel van dataminimalisatie en proportionaliteit.

Recht op rectificatie

De gedoopte meent dat de gegevens onjuist zijn aangezien hij op verzoek van zijn ouders gedoopt is en dus nooit zelf dit verzocht heeft. Dit zou resulteren in onjuiste gegevens die ge rectificeert moeten worden conform artikel 16 GDPR.

De (on)juistheid moet beoordeeld worden in verband met de specifieke doeleinden van de verwerking. De ouders hebben in dit kader de beslissingsbevoegdheid om hun kind(eren) op te laten nemen in een religieuze vereniging en hierbij is dan ook de gedoopt lid geworden van de Rooms-Katholieke kerk zodat er van onjuiste gegevens geen sprake is.

Het recht op rectificatie kan dan ook niet ingewilligd worden.

Recht op gegevenswissing

Er worden door het Bisdom Gent geen dwingende gerechtvaardigde gronden aangetoond voor de verwerking van alle persoonsgegevens zoals deze in het doopregister vermeld staan.

Het Bisdom Gent moet dan ook de gegevens zonder onredelijke vertraging wissen.

Uitspraak

Bij deze uitspraak benadrukt de geschillenkamer dat de inbreuk een categorie van gevoelige persoonsgegevens betreft en dit om die van ernstige aard is. Evenwel houdt de geschillenkamer als “verzachtende omstandigheid” ook rekening met het feit dat de doopregisters niet vrij toegankelijk zijn voor het publiek en slechts sporadisch worden geraadpleegd op verzoek van de betrokkenen.

De Geschillenkamer stelt vast dat “de voortdurende verwerking van de persoonsgegevens van klager in de doopregisters ondanks zijn verzoek tot gegevenswissing een gedraging is die inbreuk uitmaakt op de artikelen 6.1 en 9 AVG, is het aan de orde corrigerende maatregelen te nemen lastens de verweerster. Voorts heeft de Geschillenkamer vastgesteld dat de informatieverplichtingen op grond van artikel 13 AVG niet zijn nageleefd. De verweerster handelt tevens in overtreding met artikel 17 AVG, tezamen gelezen met artikel 12 AVG.”

De Geschillenkamer berispt het Bisdom Gent voor het gebrek aan duidelijke informatie aan de betrokkenen en de weigering om het verzoek tot gegevenswissing uit te voeren. Hierbij werd rekening gehouden met het coöperatief samenwerken van het Bisdom Gent met de Geschillenkamer. Het opleggen van een geldboete zou onevenredig zijn.

Het Bisdom Gent krijgt bovendien 30 dagen om volgende maatregelen te nemen om de verwerking van persoonsgegevens in overeenstemming met de bepalingen van de GDPR te brengen:

terdege en onverwijld gevolg te geven aan het verzoek tot gegevenswissing van de klager overeenkomstig artikel 17 GDPR (artikel 58.2.b) GDPR en artikel 100, §1, 6°, WOG);
om de verwerkingen van de persoonsgegevens van kerkverlaters in hun huidige vorm te staken overeenkomstig artikel 21.1 AVG (artikel 59.2.b) GDPR en artikel 100, §1, 8°, WOG).

Het Bisdom Gent moet eveneens alle gezamenlijke verwerkingsverantwoordelijken van deze beslissing en bevel in kennis stellen en benadrukken dat de huidige rechtsgronden niet overeenstemmen met de GDPR.

Gelet op het bredere belang van de beslissing alsook voor het goed begrip worden de identificatiegegevens van het Bisdom Gent bekendgemaakt.

Onze mening

De geschillenkamer onderzoekt terecht grondig of de cumulatieve voorwaarden voor het toepassen van de rechtsgrond van het gerechtvaardigde belang werd voldaan.

Deze beslissing maakt nogmaals duidelijk dat het beoogde doel perfect legitiem kan zijn, maar dat vervolgens steeds de nodige aandacht besteed moet worden aan de noodzakelijkheid en proportionaliteit van de vervolgens toegepaste verwerkingen om dit doel te bereiken.

Uit de feitelijkheden van deze kwestie wordt duidelijk dat het Bisdom Gent hier niet de nodige aandacht aan heeft besteed en om die reden is de beslissing dan ook terecht.

Beslissing

Beslissing 169/2023

Definitief?

Nee, procedure in hoger beroep voor het Marktenhof is nog hangende.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 15/2021 VAN 9 FEBRUARI 2021

Betreft

Een consultant legt een klacht neer tegen het IT-adviesbureau waarbij hij werkte omdat hem de volledige inzage tot zijn persoonsgegevens werd geweigerd.

Context

Verzoek tot inzage van werknemer bij werkgever in de IT-adviessector

Rechtsgrond

Artikel 15 GDPR

Feiten

De klager trad in juni 2008 als werknemer in dienst bij de verweerder die actief is in de IT-adviessector. Hij vervulde later de functie van senior consultant. Vanaf 2015 was de consultant regelmatig afwezig. In 2016 wordt hij verkozen tot vertegenwoordiger van de werknemers. Een jaar later start zijn werkgever, het IT-adviesbureau een procedure voor de arbeidsrechtbank omdat de consultant informatie op een privéblog zou bekendmaken die door het IT-adviesbureau nog niet officieel was gemaakt. Hiermee weigerde hij te stoppen, ondanks het verzoek hiertoe.

Het arbeidshof oordeelde in haar arrest van 21 juni 2018 dat het IT-adviesbureau de consultant niet op ernstige gronden kan ontslaan. De consultant zette zijn functie vanaf 27 juni 2018 weer verder. Hij richtte vervolgens op 12 juli 2018 een verzoek tot uitoefening van zijn recht van inzage en/of kopie van alle over hem geregistreerde persoonsgegevens.

De consultant was van oordeel dat hier ontoereikend op werd geantwoord en stelde op 2 oktober 2018 een klacht in. Hierbij wees hij er nog op dat door het IT-adviesbureau foto’s van haar werknemers nam op bedrijfsevenementen en deze zomaar op het intranet van het bedrijf publiceerde, zonder hiervoor toestemming te vragen.

Op 18 januari 2019 zou de arbeidsrelatie tussen de partijen beëindigd zijn via een transactieovereenkomst.

Beoordeling

De Geschillenkamer benadrukt dat het niet haar rol is om andere rechtbanken te vervangen bij de uitoefening van hun bevoegdheden, hier doelend op het arbeidsrecht. Zij spreekt zich dan ook enkel uit over de naleving van de regelgeving die van toepassing is op de gegevensverwerking en niet over bijvoorbeeld de naleving van de transactieovereenkomst tussen de partijen.

Volgens artikel 15.1 van de GDPR heeft de betrokkene recht op inzage. Wat betekent dat deze van de verwerkingsverantwoordelijke verduidelijking mag krijgen of er persoonsgegevens van hem verwerkt worden. Indien dat het geval is, heeft de betrokkene het recht om hiervan inzage te verkrijgen en om bepaalde bijkomende informatie over die verwerking te bekomen (artikel 15.1 a) – h) GDPR) zoals bijvoorbeeld het doeleinde van de verwerking van de gegevens en de eventuele ontvangers van de gegevens, evenals informatie over het bestaan van zijn rechten, waaronder het recht om rectificatie of wissing van zijn gegevens te vragen, of om een klacht bij de GBA in te dienen. Zie meer in detail ons eerder artikel over het recht op inzage hier.

Concreet vroeg de consultant aan het IT-adviesbureau om alle geregistreerde persoonsgegevens over hem mee te delen, en in het bijzonder wenste hij informatie over de redenen, doeleinden, bewaartermijnen, … voor ieder bewaard persoonsgegeven. Hij maakte ook duidelijk dat zijn verzoek betrekking had op inzage en kopie van zijn persoonsgegevens, namelijk:

alle evaluaties die op hem betrekking hebben;
alle foto’s waarop hij zou kunnen worden geïdentificeerd;
een kopie van de e-mails in zijn mailbox;
elke notitie, aantekening, opmerking die deel uitmaakt van zijn personeelsdossier;
de hem betreffende IT-logs;
een overzicht van zijn persoonsgegevens, met inbegrip van de doeleinden van de verwerking en de ontvangers van de gegevens;
de inhoud van de persoonsgegevens over hem die door de verweerder worden verwerkt;
cv’s die hem betreffen;
zijn door de verweerder geregistreerde pasfoto’s.

Meerdere malen stuurde de consultant dat hij het antwoord onvolledig vond.

Uiteindelijk volgt het volgende antwoord van het IT-adviesbureau: “Een kopie van alle persoonsgegevens waartoe jij geen toegang hebt en waarvan we je een kopie moeten geven, is naar jou verstuurd. Dit punt is dus wat ons betreft afgesloten”.

Het IT-adviesbureau betwist niet dat geweigerd werd om gevolg te geven aan het verzoek om inzage zoals door de klager in zijn e-mail van 24 september 2018 is gepreciseerd.

Wat betreft de weigering van het recht op inzage van de aantekeningen en opmerkingen in het personeelsdossier van de consultant baseer het IT-adviesbureau zich op artikel 15.4 GDPR. De inzage van die gegevens zou een inbreuk vormen op de bescherming van de persoonsgegevens van de voormalige leidinggevenden en de personeelsverantwoordelijke die auteur zijn van die aantekeningen en opmerkingen.

De Geschillenkamer spreekt niet tegen dat dergelijke aantekeningen persoonsgegevens van de leidinggevenden en personeelsverantwoordelijke betreffen.

Er moet een afweging gemaakt worden tussen het recht op inzage van de consultant en de rechten en vrijheden van deze leidinggevenden en personeelsverantwoordelijke.

Die afweging mag er wel niet toe leden dat geen enkele informatie wordt meegedeeld.

Het IT-adviesbureau had de persoonsgegevens van anderen kunnen anonimiseren om zo correct gevolg te geven aan het verzoek tot inzage.

Door te weigeren gevolg te geven aan het verzoek van de consultant om inzage van de aantekeningen in zijn personeelsdossier, werden de artikelen 15.1 en 15.3 GDPR geschonden.

Wat betreft de weigering om inzage te leveren van de IT-logs m.b.t. de consultant wordt dan weer géén schending vastgesteld door de Geschillenkamer aangezien dit onevenredige verplichtingen en buitensporige lasten aan het IT-adviesbureau zou opleggen aangezien hiervoor een periode van 2008 tot 2019 helemaal zou moeten doorzocht worden.

Met betrekking tot de beweerde onrechtmatige weigering tot inzage van de evaluaties wordt dit ook door de Geschillenkamer verworpen aangezien er sinds 2013 geen evaluatie meer was geweest omwille van de regelmatige afwezigheid van de consultant.

Vervolgens kan het IT-adviesbureau zich op het zakengeheim beroepen om geen inzage toe te staan in de e-mailcorrespondentie. Hiervoor wordt wel benadrukt dat het zakengeheim restrictief geïnterpreteerd moet worden steeds concreet per geval.

Tot slot wordt het argument omtrent de recht om kopie te krijgen van foto’s waarop de consultant identificeerbaar zou zijn, afgewezen aangezien hij geen bewijs leverde van het bestaan of de verspreiding van dergelijke foto’s van hem.

Uitspraak

Aangezien de aantekeningen in personeelsdossier reeds verwijderd werden kan een verplichting tot uitvoering van het recht op inzage niet meer opgelegd worden en wordt volstaan met het IT-adviesbureau op te leggen de Geschillenkamer een verklaring op eer toe te zenden van het feit dat de aantekeningen in het personeelsdossier over consultant zijn verwijderd na zijn verzoek om inzage.

Daarnaast wordt opgelegd om de verwerking in verband met de aantekeningen in de personeelsdossiers van het personeel in overeenstemming te brengen met artikel 15 van de GDPR.

Onze mening

Wederom is duidelijk dat een correct gevolg geven aan de uitoefening van de rechten door betrokkenen een zeer cruciaal aspect is van de GDPR.

Uit deze beslissing wordt duidelijk dat niet zomaar aan de naleving van het recht op inzage kan worden ontsnapt, ook al is dit omwille van de juiste intenties (beschermen rechten en vrijheden van anderen). Het anonimiseren had in dit verband kunnen volstaan als bescherming van deze rechten en vrijheden van anderen en zo zou een evenwichtige balans gevonden zijn met het recht op inzage.

De Geschillenkamer overweegt terecht dat dit de eerst sanctie van het IT-adviesbureau was en legt geen boete op.

Beslissing

Beslissing 15/2021

META: BETALEN MET GELD OF MET PERSOONLIJKE DATA?

Sinds kort legt Meta gebruikers van Facebook en Instagram de keuze op: betalen in geld of betalen met uw persoonsgegevens. Maar kan dit wel zomaar? Dit komt de facto neer op betalen in geld of betalen met persoonsgegevens.

De boodschap die bij Europese gebruikers op de schermen verscheen was duidelijk: “Je moet de keuze maken om Facebook te blijven gebruiken”. De keuze dient daarbij gemaakt te worden tussen:

Abonneren om de platformen te gebruiken zonder advertenties aan een tarief van 12,99 euro per maand; of
Gratis gebruiken met advertenties.

Waar META zich in het verleden reeds op verschillende rechtvaardigingsgronden trachtte te baseren om persoonsgegevens te gebruiken voor commerciële doeleinden, wordt het deze keer opnieuw via de rechtvaardigingsgrond van toestemming geprobeerd.[1]

Ondanks dat de nieuwe vooropgestelde keuze minder “radicaal” is, wringt het schoentje o.i. op dezelfde plaats: ook in het geval van de keuze tussen abonneren of het aanvaarden van gepersonaliseerde advertenties, kan er geen sprake zijn van een vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming.[2]

Meta baseert zich voor deze “nieuwe aanpak” op een zin uit het “obiter dictum”[3] bij de uitspraak van de CJEU C-252/21 waarin staat dat er in een alternatief moet worden voorzien voor reclame, indien nodig voor een passende vergoeding.[4]

Onder welke voorwaarden mogen persoonsgegevens verwerkt worden?

Het verwerken van persoonsgegevens kan enkel rechtmatig zijn indien ten minste aan één van de onderstaande voorwaarden is voldaan:

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

In het geval van de verwerking van persoonsgegevens door META, komt enkel de rechtmatigheidsgrond gebaseerd op de toestemming van de betrokkene in aanmerking.

Dit werd reeds bevestigd in voormeld arrest C-252/21 van 4 juli 2023.[5]

Hieronder wordt verder toegelicht wat ‘toestemming geven’ exact inhoudt:[6]

De GDPR definieert de toestemming van de betrokkene als volgt: “elke vrije, specifieke geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt.”

Vrij gegeven

Eerst en vooral dient de toestemming vrij gegeven te zijn. Dit houdt in dat de betrokkene een keuze moet hebben én de controle over de keuze bezit.

Dit betekent dat indien de betrokkene eigenlijk niet écht de keuze heeft, bijvoorbeeld omdat het alternatief nadelige gevolgen voor hem zou hebben, de keuze niet vrij gegeven kan zijn.

Ook in geval de toestemming komt in de vorm van niet-onderhandelbare algemene voorwaarden, is de toestemming niet vrij gegeven.

Daarbij komt ook dat voor het beoordelen van vrij gegeven toestemming de (wan)verhouding tussen de betrokkene en de verwerker in acht wordt genomen. [7]

Specifiek

Daarnaast moet de gegeven toestemming ook specifiek zijn. Hiermee wordt bedoeld dat de betrokkene voor elk stuk van de verwerking van zijn persoonsgegevens zijn toestemming moet geven. In geval uw persoonsgegevens dus worden gebruikt voor X, Y en Z zal u voor X, Y en Z apart uw toestemming moeten geven en zullen X, Y en Z allemaal uitdrukkelijk moeten worden omschreven.

Geïnformeerd

Vervolgens moet de toestemming ook geïnformeerd gegeven worden. Dit houdt in dat de betrokkene over voldoende informatie moet beschikking i.v.m. de verwerking van zijn persoonsgegevens zodat hij of zij een geïnformeerde keuze kan maken over het al dan niet verlenen van zijn of haar toestemming.

Ondubbelzinnige wilsuiting

Ook moet de toestemming ondubbelzinnig worden gegeven. Dit houdt in dat de toestemming een ondubbelzinnige actieve handeling of verklaring vereist van de betrokkene.

Een impliciete toestemming door stilzitten of inactiviteit zal dus nooit een geldige toestemming kunnen uitmaken onder de GDPR-wetgeving.

Bijkomende voorwaarden

Ten slotte geldt een geldig gegeven toestemming niet voor eeuwig. Enerzijds moet de gegeven toestemming eenvoudig kunnen worden ingetrokken.[8] Anderzijds zal de gegeven toestemming niet meer gelden in geval de verwerkingsactiviteit aanzienlijk verandert.

Besluit

In dit specifieke geval waar Meta de betrokkene de “keuze” laat tussen het geven van toestemming om uw persoonsgegevens te gebruiken voor gepersonaliseerde reclame of het betalen van 12,99 euro per maand, kan het o.i. geen vrij gegeven toestemming uitmaken. Niet enkel de verhouding Meta vs. betrokkene, gelet op het monopolie van META, maar ook het feit dat betalen het enige alternatief is, maken dat deze toestemming geenszins een vrij gegeven toestemming is. Veel mensen zullen 12,99 te duur vinden en bij gebrek aan een alternatief social media kanaal zodus gedwongen worden te betalen in data.

Enkel in geval Meta de persoonsgegevens van betrokkene énkel zou gebruiken voor gepersonaliseerde reclame, zou deze toestemming specifiek zijn. In geval bijvoorbeeld ook specifieke nieuwsberichten zouden kunnen worden gepusht (zoals althans in de versie voor deze keuze ons werd aangereikt werd gedaan), zal deze toestemming niet specifiek zijn.

Zonder twijfel wordt dit nauw opgevolgd door privacy/GDPR specialisten en activisten. BV. NOYB die met hun klachten aan de basis lagen van het arrest tegen META.

Daarnaast kan nog de bedenking gemaakt worden hoe en of die betaling in data niet fiscaal belast zou moeten worden.

Verder dient nog in vraag gesteld te worden, mede omwille van het monopolie van META, of met deze “keuze” het recht tot toegang (tot een neutraal en open) internet niet geschonden wordt. Zeker nu zelfs de lijst van onbeslagbare goederen in die zin is aangepast dat toegang tot het internet verzekerd moet blijven en social media een wezenlijk deel van het internet gebruik uitmaakt..[9]

Het wordt dus zeer interessant of en hoelang deze nieuwe “oplossing” van META stand houdt.

Voor meer informatie omtrent GDPR, kan u het STUDIO|LEGALE team contacteren via [email protected] of op 03/216.70.70

Nieuwsbronnen:

TEMMERMAN, M., “Er is nu ook een betalende versie van Facebook en Instagram: wat verandert er precies voor jou?, https://www.nieuwsblad.be/cnt/dmf20231107_94708481.
VAN DER Aa, E., DéE, K. “Verwarring over melding op Facebook om te betalen: wat verandert er?, https://www.hln.be/tech/verwarring-over-melding-op-facebook-om-te-betalen-wat-verandert-er~a769bde8/.
SIOEN, L., Facebook en Instagram riskeren Europees verbod op gepersonaliseerde reclame: https://www.standaard.be/cnt/dmf20231101_95282533.
CJEU declares Meta/Facebook’s GDPR approach largely illegal, https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal.
Meta (facebook/Instagram) to move to a “Pay for your Rights” approach, https://noyb.eu/en/meta-facebook-instagram-move-pay-your-rights-approach.

Juridische bronnen:

Verordening nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
VANDENBUSSCHE, D., Wat is geldige toestemming volgend de GDPR?.
29 Data protection working party, Guidelines on consent under Regulation 2016/679.
HVJ 4 juli 2023, C-252/21- META Platforms and Others;
Court of Justice of the European Union, “Press release n° 113/23.

[1] CJEU declares Meta/Facebook’s GDPR approach largely illegal, https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal; art. 6(1)B GDPR, art. 6(1)F GDPR.

[2] Art. 4, 11 GDPR

[3] Een niet bindende redenering bij een uitspraak van het Hof.

[4] Meta (facebook/Instagram) to move to a “Pay for your Rights” approach, https://noyb.eu/en/meta-facebook-instagram-move-pay-your-rights-approach

[5] HVJ 4 juli 2023, C-252/21- META Platforms and Others; Court of Justice of the European Union, “Press release n° 113/23.

[6] D., VANDENBUSSCHE, “Wat is geldige toestemming volgens de GDPR?”

[7] Art. 29 Data protection working party, Guidelines on consent under Regulation 2016/679.

[8] Art. 7 GDPR

[9] Art. 1408 Ger.W.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 81/2023 VAN 22 JUNI 2023

Betreft

Er werden camera’s geplaatst bij een glasbak van een gemeente teneinde sluikstorten tegen te gaan.

Context

Bewakingscamera’s geplaatst door een gemeente.

Rechtsgrond

Artikel 5 lid 1, a), artikel 6 lid 1, artikel 24 en artikel 30 GDPR.

Artikel 65 Camerawet en artikelen 1 en 4 Koninklijk Besluit van 10 februari 2008 tot vaststelling van de wijze waarop wordt aangegeven dat er camerabewaking plaatsvindt.

Feiten en beoordeling

N.a.v. het laten staan van enkele lege flessen naast de glasbak, ontving de sluikstorter een brief van de tweede verweerder, waarin stond dat hij hiermee een overtreding begaan zou hebben. Tweede verweerder is de camera-beheerder die op instructie van eerste verweerder, de gemeente, deze bewakingscamera heeft geplaatst en het beheer hiervan heeft. In dit kader treedt de tweede verweerder op als verwerker in het kader van het uitschrijven van een GAS-boete op basis van de camerabeelden.

Op 1 februari 2021 werd door de sluikstorter een klacht ingediend tegen de camerabeheerder. Daarbij stelt hij o.a. in vraag of de bewakingscamera rechtsgeldig werd geplaatste. Op basis van dit beeldmateriaal werd hem namelijk een GAS-boete opgelegd.

De Geschillenkamer komt op basis van de klacht en het antwoord van de klager op de vragen van de inspectiedienst, tot de vaststelling dat deze gericht zijn tegen de camerabeheerder. De inspectiedienst besluit echter dat de gemeente de verwerkingsverantwoordelijke is voor de bewakingscamera en de camerabeheerder optreedt als verwerker i.v.m. het uitschrijven van GAS-boetes op basis van de camerabeelden. Dit werd niet betwist door de partijen en de gemeente moet dan ook als verwerkingsverantwoordelijke en de camerabeheerder als de verwerker gekwalificeerd worden.

Door de Geschillenkamer wordt geoordeeld dat de verwerking van persoonsgegevens door deze bewakingscamera aan de glasbak op rechtmatige wijze gebeurt.

Deze verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag van de verwerkingsverantwoordelijke. Meer specifiek bestaat deze taak van algemeen belang uit het voorkomen en bestrijden van sluikstorten, zwerfvuil en de bescherming van de openbare netheid en gezondheid. Op artikel 9.3 van de algemene politieverordening van de gemeente wordt gewezen, waarin wordt bepaald dat een houder van een kentekenplaat steeds kan aantonen wie werkelijk met het voertuig reed op moment van de overtreding. Bij afwezigheid van dergelijk verweer, wordt de boete opgelegd aan de houder van de kentekenplaat. Tot slot zou de privacyverklaring van de gemeente alle betrokkenen voldoende informeren over het feit dat persoonsgegevens in het kader van het algemeen belang verwerkt kunnen worden. Er is dus geen schending van artikel 5 en 6 GDPR.

De inspectiedienst onderzocht verder nog of er conform artikel 24 GDPR passende technische en organisatorische maatregelen worden genomen om te kunnen waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de GDPR gebeurt. De inspectiedienst besluit hier eenvoudigweg dat aangezien er geen inbreuk van artikel 5 en 6 GDPR is, er ook geen sprake kan zijn van inbreuk op dit vlak.

Wat betreft de Camerawet en het KB stelt de inspectiedienst vast dat de verplichtingen hieromtrent (bv. beslissing door openbare overheid, plaatsing pictogrammen) werden nageleefd. Mede gelet op het opnieuw uitblijven tegenargumenten door de sluikstorter, oordeelt de Geschillenkamer dat geen schending van artikel 5 Camerawet en artikelen 1 en 4 van het KB zijn.

Het laatste aspect dat onderzocht werd en ter discussie stond is de naleving van de verplichting tot het correct bijhouden van een register van de verwerkingsactiviteiten door de camerabeheerder. (artikel 30 GDPR)

Dit register blijkt niet te voldoen:

De contactgegevens van de camerabeheerder zijn onvolledig;
De beschrijving van de categorieën van betrokkenen is onvolledig;
De beschrijving van de categorieën van persoonsgegevens is onvolledig;
De naam en contactgegevens van iedere verwerkingsverantwoordelijke voor rekening waarvan de tweede verweerder als verwerker handelt, worden niet vermeld.

De Geschillenkamer benadrukt in dit verband dat het van essentieel belang is dat deze verplichtingen correct worden nageleefd aangezien het register een instrument is om de verwerkingsverantwoordelijke of verwerker te helpen bij de naleving van de GDPR en zo essentieel is bij het naleven van de verantwoordingsplicht (“accountability”).

De camerabeerder bezorgde op 7 december 2022 een aangepast register, welke door de Geschillenkamer beoordeeld werd als tegemoetkomend aan verschillende van voormelde onvolledigheden. Echter bleek de vermelding van de naam en contactgegevens van de verwerkingsverantwoordelijken nog te ontbreken.
Een inbreuk op artikel 30 lid 2, a )GDPR wordt dan ook vastgesteld.

Uitspraak

De Geschillenkamer legt een berisping op aan de camerabeheerder voor de inbreuk op artikel 30 lid 2, a) GDPR.

Wat betreft de overige grieven wordt de klacht geseponeerd.

Onze mening

De inspectiedienst en geschillenkamer oordelen o.i. nogal snel dat het plaatsen van de bewakingscamera noodzakelijk is om sluikstorten tegen te gaan. Nochtans valt te overwegen dat er minder verregaande maatregelen zouden kunnen volstaan om dit doel te bereiken.

Voorts oordeelt de geschillenkamer eenvoudigweg dat er passende technische en organisatorische maatregelen voorhanden zijn, omdat de verwerking een voldoende rechtmatigheidsgrond zou hebben en in dit kader noodzakelijk is. Niettemin kan er o.i. wel een inbreuk zijn op de technische en organisatorische maatregelen wanneer er een rechtmatigheidsgrond voorhanden is. Het is namelijk niet omdat een verwerking een rechtmatig doel heeft en proportioneel zou zijn, er geen gebrekkige concrete uitvoering of technische ondersteuning kan zijn.

De Geschillenkamer stoelt zich op het ontbreken van tegenargumenten van de klager om de inspectiedienst te volgen in haar vaststelling, terwijl wij in andere beslissingen vaststellen dat de Geschillenkamer haar autonomie nét benadrukt.

Beslissing

Beslissing 81/2023

PREDIKEN VAN DEUR-TOT-DEUR EN GEGEVENSBESCHERMING: GETUIGEN VAN JEHOVA T. FINLAND (EHRM 09.05.2023)

Getuigen van Jehova werden in Finland op hun vingers getikt voor de verwerking van persoonsgegevens bij hun deur-tot-deur prediken, wat resulteerde in een procedureslag. Het Europees Hof voor de Rechten van de Mens oordeelde in haar beslissing dd. 09.05.2023 uiteindelijk over de afweging tussen het recht op godsdienstvrijheid en het recht op privacy, meer bepaald databescherming.

Feiten en voorgaanden

De “Data Protection Ombudsman” (hierna: “de Ombudsman”), de Finse toezichthouder op het vlak van gegevensbescherming, onderzocht reeds in 2000 het prediken van deur tot deur van de Getuigen van Jehova en uitte haar bezorgdheid omtrent de verwerking van persoonsgegevens die hierbij plaatsvond en adviseerde dat dit enkel kon met de toestemming van de betrokkenen.

De Getuigen van Jehova namen immers notities bij deze praktijk en dit zou wel eens als een bestand van persoonsgegevens beschouwd kunnen worden. Na bevraging in dit kader bevestigde de gemeenschap van Getuigen van Jehova dat lokale congregaties een handmatig archiefsysteem hanteerden met de namen en adressen van personen die wensten niet bezocht te worden door Getuigen van Jehova. Volgens de gemeenschap gebeurde dit op basis van de bewuste en vrijwillige toestemming tot verwerking van hun persoonsgegevens door het loutere feit dat ze vroegen niet bezocht te worden en dat de lokale congregaties hier geen gevolg aan konden geven zonder de naam en het adres te verzamelen. Volgens de gemeenschap zouden de individuele leden niet onder enige verplichting staan om de gegevens bij te houden. Deze gegevens zouden niet gezien worden door, in bezit komen van of bewaard worden door de gemeenschap of lokale congregaties en zouden in principe uiteindelijk door het individuele lid verwijderd worden.

De gemeenschap of de lokale congregaties zouden geen lijsten, indexen of folders bijhouden van geïnteresseerden. De congregatie handelt enkel als een informeel mailingssysteem waarbij een oudere van de congregatie persoonlijke notities van een individu doorstuurden naar een andere individuele Getuige van Jehova. Noch de oudere, noch de gemeenschap zouden kopieën bewaren of de persoonsgegevens op enige wijze gebruiken.

Aangezien dit niet door de beugel kon volgens de Ombudsman, diende deze een verzoek in bij haar Data Protection Board om de gemeenschap te verbieden persoonsgegevens te verzamelen en op andere wijze te gebruiken in het kader van haar deur-tot-deur prediken, zonder de toestemming van de betrokkenen.

De Data Protection Board legde de gemeenschap het verbod op tot verzamelen en verwerken van persoonsgegevens in verband met het deur-tot-deur prediken indien er geen ondubbelzinnig akkoord van de betrokkene bekomen is. Binnen een periode van 6 maanden moest de gemeenschap dit in orde brengen.

Bij het noteren van namen, adressen en andere persoonlijke gegevens – zij het als geheugensteuntje bij het opnieuw bezoeken van geïnteresseerden volgens de gemeenschap – worden wel degelijk persoonsgegevens, die kunnen worden teruggevonden, verzameld. Wanneer de betrokkene zijn religieuze gezindheid of gezondheidstoestand wordt genoteerd, wordt er zelfs gevoelige data verzameld. De Data Protection Board oordeelde dat zowel de gemeenschap als de leden verwerkingsverantwoordelijken zijn in dit verband.

De gemeenschap en twee individuele Getuigen van Jehova gingen hiertegen in beroep bij het “Administrative Court” van Helsinki. Ze verzochten om de beslissing te wijzigen zodat noch de gemeenschap, noch de individuele leden als verwerkingsverantwoordelijken bestempeld worden. De private notities in het kader van het deur-tot deur prediken zouden kaderen in louter persoonlijke doeleinden voor vergelijkbare gewoonlijke en private doeleinden. Er werd ook een mondelinge hoorzitting verzocht. Dit laatste werd geweigerd.

Het Adminstrative Court oordeelde eveneens dat de verzameling van persoonsgegevens in dit kader niet gezien kon worden als uitgevoerd ten louter persoonlijke doeleinden, maar dat dit kaderde binnen de activiteiten van de gemeenschap en de manifestatie van haar geloof en dat van haar individuele leden. De expliciete toestemming van de betrokkenen is dan ook noodzakelijk voor de verzameling en verwerking van hun persoonsgegevens. Er werd evenwel geoordeeld dat de gemeenschap niet als verwerkingsverantwoordelijke gezien kon worden aangezien ze enkel instructies in verband met de verwerking van persoonsgegevens had gegeven. Het werd namelijk niet aangetoond dat de persoonsgegevens in een dossier voor de gemeenschap werd bijgehouden waarover deze enige bevoegdheid zou uitoefenen.

De Ombudsman ging hierop in beroep bij het “Supreme Adminstrative Court”.

Het Supreme Administrative Court verzocht een prejudiciële beslissing van het Hof van Justitie van de Europese Unie met betrekking tot de kwestie of de gemeenschap als verwerkingsverantwoordelijke beschouwd moet worden. Hierbij werd verwezen naar het feit dat de gemeenschap en haar lokale congregaties territorium kaarten bijhield met als doel de territoria te verdelen tussen de leden die deelnemen aan het deur-tot-deur prediken, alsook een “prohibition register” waarin werd opgenomen welke personen verzocht hadden niet bezocht te worden.

In haar arrest stelde het Hof van Justitie allereerst dat de activiteiten van de gemeenschap en haar leden bij het deur-tot-deur prediken door haar eigen aard, bedoeld is om het geloof van de gemeenschap van de Getuigen van Jehova te verspreiden en dus naar buiten toe, weg van de private sfeer van de persoon die de persoonsgegevens verwerkt in dat kader.

Het Hof van Justitie stelde daarnaast vast dat de gemeenschap van Getuigen van Jehova wel degelijk als gezamenlijke verwerkingsverantwoordelijke met haar leden beschouwd moet worden aangezien zij het doel en de middelen van het deur-tot-deur prediken en dus ook minstens indirect van de gegevensverwerking in dit kader bepaalde door het organiseren, coördineren en aanmoedigen van het prediken en de dataverzameling in dat verband.

Het Supreme Administrative Court vernietigde hierop de beslissing van de Administrative Court in zover dat deze laatste de beslissing van de Board vernietigde. Het verzoek tot een mondelinge hoorzitting werd hierbij eveneens afgewezen aangezien de schriftelijke verklaringen van de getuigen ervoor zorgde dat het Hof voldoende geïnformeerd dit kon beoordelen en een hoorzitting niet noodzakelijk was.

Het arrest van het Europees Hof voor de Rechten van de Mens

Op 10 juni 2019 werd door de gemeenschap van Getuigen van Jehova de zaak voor het Europees Hof voor de Rechten van de Mens (hierna: “EHRM”) gebracht. Er werd door hen een schending aangevoerd van zowel artikel 6 als artikel 9 van het Europees Verdrag voor de Rechten van de Mens (hierna: “EVRM”).

Artikel 6 EVRM – Recht op een eerlijk proces

De gemeenschap voerde aan dat haar recht op een eerlijk proces geschonden werd door het gebrek aan mondelinge hoorzittingen in de nationale procedures.

Artikel 6 § 1 EVRM bepaalt in dat verband als volgt:

“1. Bij het vaststellen van zijn burgerlijke rechten en verplichtingen of bij het bepalen van de gegrondheid van een tegen hem ingestelde vervolging heeft een ieder recht op een eerlijke en openbare behandeling van zijn zaak, binnen een redelijke termijn, door een onafhankelijk en onpartijdig gerecht dat bij de wet is ingesteld. (…)”

Er werd geen enkele mondelinge hoorzitting gehouden in de nationale procedures. Het dient wel opgemerkt te worden dat hierom enkel verzocht werd door de Gemeenschap in de administratieve procedures.

Door het EHRM wordt opgemerkt dat in de procedure voor het Administrative Court de Gemeenschap niet gespecifieerd had welk bewijs zij wenste te voor te leggen op de gevraagde mondelinge hoorzitting. Dit is vereist door artikel 38 (3) van de toepasselijke Administrative Judicial Procedure Act. Daarnaast werd eveneens niet verduidelijkt waarom het noodzakelijk zou zijn om dat bewijs in een hoorzitting en niet schriftelijk voor te leggen.

Het EHRM kan zich vinden in de beoordeling van de Administrative Court waarbij zij ten eerste geen nood zagen voor een hoorzitting voor de klachten van de individuele leden die afgewezen worden zonder onderzoek ten gronde en ten tweede, bij de zaken die wel ten gronde werden beoordeeld, de hoorzitting manifest onnodig was in het licht van de uitkomst van de zaak, welk in het voordeel van de Gemeenschap was.

Wat betreft de procedure voor het Supreme Administrative Court wordt het relevant geacht dat de Gemeenschap niet in haar eerste procedurestukken verzocht om de mondelinge hoorzitting, maar slechts in de laatste ronde na de prejudiciële beslissing van het Hof van Justitie. De Gemeenschap vond dat de relevante feitelijke problemen met betrekking tot de aard van het deur-tot-deur prediken, het concept van archiefsysteem en de deelname in de verwerken van de persoonsgegevens niet beantwoord zou zijn geweest door de prejudiciële beslissing. Hierbij werd de schriftelijke getuigenverklaring van 24 getuigen van Jehova gevoegd, welke zij wensten gehoord te zien in de hoorzitting.

Het horen van de getuigen werd niet noodzakelijk bevonden en de schriftelijke verklaringen werden in de beslissing in overweging genomen.

Verder benadrukt het EHRM dat de afwezigheid voor een tweede of derde aanleg-rechtscollege beoordeeld moet worden in het licht van de gehele procedures. De praktijk van verzamelen en verwerken van persoonsgegevens door individuele Getuigen van Jehova was het onderwerp van debat op nationaal niveau voor vele jaren en de Gemeenschap heeft dan ook gebruik gemaakt van de mogelijkheid om bewijs en argumenten aan te voeren met betrekking tot alle feitelijke en juridische punten. Het EHRM is dan ook overtuigd dat er geen beslissende feiten zijn die enkel in een hoorzitting naar voren gebracht konden worden, waarover nog discussie bestond. Daarnaast noodzaakten de juridische problemen aan de kern van de procedures geen mondelinge hoorzitting.

Het EHRM besluit dat er geen schending is van artikel 6 van het EVRM omwille van het ontbreken van een mondelinge hoorzitting in de nationale procedures.

Artikel 9 EVRM – Vrijheid van gedachte, geweten en godsdienst ↔ Artikel 8 EVRM –Recht op eerbiediging van privé-, familie- en gezinsleven

De kern van de hele kwestie bevindt zich op de balans tussen enerzijds de vrijheid van godsdienst (artikel 9 EVRM) en anderzijds het recht op eerbiediging van privéleven (recht op Privacy – artikel 8 EVRM).

Artikel 9 EVRM:

“1. Een ieder heeft recht op vrijheid van gedachte, geweten en godsdienst; dit recht omvat tevens de vrijheid om van godsdienst of overtuiging te veranderen, alsmede de vrijheid hetzij alleen, hetzij met anderen, zowel in het openbaar als privé zijn godsdienst te belijden of overtuiging tot uitdrukking te brengen in erediensten, in onderricht, in practische toepassing ervan en in het onderhouden van geboden en voorschriften.

2. De vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen kan aan geen andere beperkingen worden onderworpen dan die die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

In rechtspraak van het EVRM werd reeds bevestigd dat dit behoort tot een van de fundamenten van een democratische samenleving. Het behoort tot een van de meest cruciale elementen die bijdragen tot het vormen van de identiteit van gelovigen en hun levensopvatting, alsook is het zeer belangrijk voor de atheïsten, agnosten, sceptici en de onbekommerde. De vrijheid om al dan niet een religieuze overtuiging te hebben en al dan niet een godsdienst te belijden wordt beschermd door artikel 9 EVRM. Meer bepaald is het verspreiden van informatie over een bepaalde geloofsovertuiging aan anderen die deze geloofsovertuiging niet hebben, ook bekend als missionariswerk, beschermd.

Artikel 8 EVRM:

“1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

Het concept privéleven is zeer breed. Rechtspraak van het EHRM heeft duidelijk gemaakt dat het recht om privé te leven, weg van ongewenste aandacht wordt hieronder wordt geplaatst. Het werd eveneens reeds bevestigd en herhaald in dit arrest, dat het recht tot bescherming van persoonsgegevens door artikel 8 wordt gewaarborgd. Dit laatste is van fundamenteel belang voor een individu zijn genot van het recht tot eerbiediging van privé-en familieleven zoals vervat in artikel 8 EVRM.

Concrete afweging in deze zaak

Artikel 9 §2 EVRM laat ruimte voor een inmenging indien dit voorgeschreven is per wet, voor een legitiem doel en noodzakelijk is in een democratische samenleving.

Teneinde te oordelen of er aan schending van artikel 9 EVRM plaatsvond door het verbod dat door de Data Protection Board werd opgelegd om persoonsgegevens zonder expliciete toestemming te verwerken, beoordeelde het Hof achtereenvolgend:

Het bestaan van een inmenging;
Of de inmenging voorgeschreven is bij wet;
Een legitiem doel wordt nagestreefd;
De inmenging noodzakelijk in een democratische samenleving is.

Allereerst stelt het EHRM vast dat de toepassing van de vereiste van toestemming voor de verzameling en verwerking van persoonsgegevens en gevoelige gegevens door de Getuigen van Jehova in het kader van het deur-tot-deur prediken een inmenging uitmaakt van het recht op privéleven van de Gemeenschap.

Vervolgens staat het vast dat de inmenging een wettelijke basis had in de Personal Data Act.

Het legitiem doel bestaat uit het beschermen van de rechten en vrijheden van andere, betrokkenen in het licht van hun persoonsgegevens in dit geval.

Wat betreft de noodzaak in een democratische samenleving, verduidelijkt het EHRM dat de betrokkenen een redelijke verwachting van privacy hadden en mochten verwachten dat de bepalingen i.v.m. verwerking persoonsgegevens nageleefd werden bij de persoonsgegevens en gevoelige gegevens die verzameld en verwerkt werden bij het van deur-tot-deur prediken. Het vereisen van toestemming door de betrokkene is een gepaste en noodzakelijke waarborg teneinde te voorkomen dat enige communicatie of bekendmaking van persoonlijke en gevoelige gegevens in deze context voorvalt. Het EHRM ziet niet in hoe het vragen en verkrijgen van toestemming het recht op vrijheid van godsdienst van de Gemeenschap en haar leden zou verhinderen. Enige bewijs van het tegendeel werd niet geleverd.

De nationale rechtbanken hebben dan ook een evenwichtige balans (“fair balance”) gevonden tussen beide rechten en er is geen schending van artikel 9 van het EVRM.

De Getuigen van Jehova hadden steeds (en zullen dus in de toekomst ook) de bepalingen en principes i.v.m. verwerking van persoonsgegevens moeten naleven en hebben nood aan de duidelijke en expliciete toestemming van de betrokkenen om de verwerking uit te voeren.

Indien u nog vragen heeft kan u steeds het Studio Legale team bereiken via het telefoonnummer 03/216.70.70 of via mail: [email protected].

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 48/2021 VAN 8 APRIL 2021

Betreft

Een notaris raadpleegde de gegevens van haar ex-medewerker in het rijksregister voor het verzenden van eco-cheques. Beging zij hierbij een inbreuk?

Context

Raadpleging gegevens rijksregister van ex-medewerker door notaris.

Rechtsgrond

Artikel 5.1.a) en c) GDPR: “1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

(…)

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”

Artikel 6 GDPR:

“1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

a) Unierecht; of

b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. (hierna Rijksregister-wet)

Artikel 100 WOG:

“§ 1

De geschillenkamer heeft de bevoegdheid om:

1° een klacht te seponeren;

2° de buitenvervolgingstelling te bevelen;

3° de opschorting van de uitspraak te bevelen;

4° een schikking voor te stellen;

5° waarschuwingen en berispingen te formuleren;

6° te bevelen dat wordt voldaan aan de verzoeken van de betrokkene om zijn rechten uit te oefenen;

7° te bevelen dat de betrokkene in kennis wordt gesteld van het veiligheidsprobleem;

8° te bevelen dat de verwerking tijdelijk of definitief wordt bevroren, beperkt of verboden;

9° te bevelen dat de verwerking in overeenstemming wordt gebracht;

10° de rechtzetting, de beperking of de verwijdering van gegevens en de kennisgeving ervan aan de ontvangers van de gegevens te bevelen;

11° de intrekking van de erkenning van certificatie-instellingen te bevelen;

12° dwangsommen op te leggen;

13° administratieve geldboeten op te leggen;

14° de opschorting van grensoverschrijdende gegevensstromen naar een andere Staat of een internationale instelling te bevelen;

15° het dossier over te dragen aan het parket van de procureur des Konings te Brussel, die het in kennis stelt van het gevolg dat aan het dossier wordt gegeven;

16° geval per geval te beslissen om haar beslissingen bekend te maken op de website van de Gegevensbeschermingsautoriteit.

§2

Wanneer na toepassing van § 1, 15°, het openbaar ministerie er van afziet een strafvervolging in te stellen, een minnelijke schikking of een bemiddeling in strafzaken bedoeld in artikel 216ter van het Wetboek van strafvordering voor te stellen, of wanneer het openbaar ministerie geen beslissing heeft genomen binnen een termijn van zes maanden te rekenen van de dag van ontvangst van het dossier, beslist de Gegevensbeschermingsautoriteit of de administratieve procedure moet worden hernomen.”

Feiten

De medewerker was in dienst bij de notaris en volgens zijn arbeidscontract alsook het contract i.v.m. de toekenning van ecocheques was hij woonachtig in Wallonië. In tegenstelling tot het contract waarin de maandelijkse bijschrijving van de ecocheques op de ecochequerekening van de medewerker werd opgenomen, werden de ecocheques steeds per post verzonden.

Om de reistijd te beperken verhuisde de medewerker naar Vlaanderen. Hij behield zijn woonplaats in Wallonië.

In 2020 kwam het ontslag van de medewerker, welke in een gespannen sfeer zou hebben plaatsgevonden waarbij alle vertrouwen tussen de notaris en de medewerker zoek was.

Er bleef nog € 56,07 aan ecocheques verschuldigd door de notaris aan de medewerker. Pas na twee herinneringen heeft de notaris deze ecocheques aan de medewerker verzonden na, volgens de eigen verklaring van de notaris, het Rijksregister te hebben geraadpleegd voor het correcte adres.

De medewerker hekelde deze raadpleging van het Rijksregister.

De notaris verklaarde in dit verband dat hij had willen nagaan wat het correcte adres was om de ecocheques naar te verzenden aangezien hij niet zeker was omwille van het feit dat de medewerker een adres in Vlaanderen en Wallonië had.

De Geschillenkamer benadrukt allereerst de omvang van haar eigen bevoegdheid om aan te tonen dat de klacht hierbinnen valt.

De controletaak van de GBA betreft de naleving van de GDPR in haar geheel. Haar bevoegdheid beperkt zich dus niet tot de “fundamentele beginselen van gegevensbescherming”. Evengoed omvat de bevoegdheid van de GBA ook bepalingen met betrekking tot gegevensbescherming vervat in specifieke wetgeving, zoals in casu de Rijksregisterwet alsook bv. de Camerawet zoals reeds in eerdere beslissingen is gebleken.[1]

Het verweer van de notaris dat de GBA onbevoegd is aangezien deze bevoegdheid zich beperkt tot de “fundamentele beginselen van gegevensbescherming” wordt dan ook door de Geschillenkamer van tafel geveegd.

Daarnaast tracht de notaris te beweren dat de controle i.v.m. de toegang tot het rijksregister een bevoegdheid is van de minister van Binnenlandse Zaken.

De machtiging vervat in artikel 5.1 van de Rijksregisterwet aan de notarissen om toegang te krijgen tot het Rijksregister wordt inderdaad door de minister van Binnenlandse Zaken uitgereikt.

Het onderzoek of de toegang rechtmatig was, behoort volgens de Geschillenkamer ongetwijfeld tot de bevoegdheid van de GBA. De toezichthoudende bevoegdheid werd namelijk niet bij wet aan de minister van Binnenlandse Zaken toegekend. Een minister voldoet overigens per definitie niet aan de voorwaarden om de taken van een onafhankelijke gegevensbeschermingsautoriteit onder de GDPR uit te oefenen. (artikel 51 GDPR)

Artikel 17 van de Rijksregisterwet verwijst overigens zelf naar de bevoegdheid van de GBA.

De klacht is dus ontvankelijk.

De Geschillenkamer oordeelt dat de raadpleging van het Rijksregister van de medewerker door de notaris niet beperkt werd tot de specifieke uitoefening van het beroep.

Het feit dat de notaris ook via een andere bron (Kruispuntbank van de Sociale Zekerheid) toegang tot de adresgegevens zou hebben gehad, doet hier geen afbreuk aan. Dit kan enkel in acht genomen worden bij de beoordeling van de sanctie.

De notaris heeft het Rijksregister zonder passende rechtsgrondslag geraadpleegd en aldus een gegevensverwerking verricht waarbij hij zich niet kon beroepen op een van de rechtmatigheidsgronden in artikel 6 GDPR. Hij schendt hierdoor artikel 6 als ook artikel 5.1.a) GDPR dat bepaalt dat de verwerking rechtmatig moet zijn.

Volgens de GBA was de raadpleging bovendien niet noodzakelijk aangezien de adressen in de overeenkomsten vervat waren en de notaris steeds de kans had om in reactie op de herinneringen van de medewerker, de vraag naar het correcte adres aan hem te stellen. Hierbij herinnert de Geschillenkamer aan het minimaliseringsbeginsel vervat in artikel 5.1.c) GDPR.

Met betrekking tot de sanctie maakt de Geschillenkamer een uitgebreide overweging van alle concrete omstandigheden:

De schending betreft de grondbeginselen van de GDPR waarvoor een hogere maximale boete kan opgelegd worden;
De notaris heeft als openbaar ambtenaar en strikt gereglementeerd vrij beroep een voorbeeldfunctie waardoor vereist wordt dat hij een voorbeeldige houding aanneemt m.b.t de naleving van de wet, inclusief regelgeving inzake gegevensbescherming;
Het betreft een alleenstaande schending m.b.t. één werknemer in de specifieke en eenmalige context van vertrouwensbreuk. Daarnaast zorgde de covid-19-pandemie en de opkomende lockdown voor bijkomende moeilijkheden voor de verzending. Er is geen enkele reden om aan te nemen dat de schending deel is van een structureel gebrek bij de werking van de notaris;
De notaris is van mening dat adresgegevens betrekkelijk onbeduidend zijn en niet bijzonder gevoelig. Hij heeft geen mogelijkheid om bij de raadpleging van het Rijksregister de zoekopdracht enkel hiertoe te beperken;
De notaris heeft verschillende maatregelen genomen om aan zijn verplichtingen als verwerkingsverantwoordelijke te voldoen (bv. benoeming DPO, register van verwerkingsactiviteiten, beleid inzake bescherming van persoonsgegevens voor burgers…);

Op basis van al deze elementen volstaat volgens de Geschillenkamer een berisping.

Uitspraak

De geschillenkamer stelt een inbreuk van artikel 6 GDPR juncto artikel 5.1.a) GDPR vast en legt een berisping op als sanctie.

Onze mening

Net zoals we in eerdere beslissingen met betrekking tot burgemeesters en schepenen hebben kunnen vaststellen, blijft de GBA terecht belang echten aan de voorbeeldfunctie van de notaris in haar beoordeling van de inbreuken.

De toegang tot het Rijksregister is een bevoegdheid van de notaris die énkel wordt verstrekt in het kader van de uitoefening van zijn specifieke beroep. De notaris ging in casu deze bevoegdheid te buiten.

De sanctie van berisping lijkt ons gepast gelet op het feit dat blijkt dat dit een eenmalig voorval is waarbij de notaris geleid werd door de vertrouwensbreuk en de moeilijke omstandigheden in het kader van de pandemie en in dit kader zich wou verzekeren van de correcte adressering teneinde geen verder geschil met de voormalige medewerker te bewerkstelligen.

Beslissing

Beslissing 48/2021

[1] Zie bv. Beslissing ten gronde nr. 80/2020 (https://studio-legale.com/rechtspraak-gba-beslissing-ten-gronde-nr-80-2020-van-17-december-2020/ ).

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 27/2023 VAN 13 MAART 2023

Betreft

Een verhuurder reageert niet tijdig, noch volledig op een verzoek tot inzage van een voormalige huurder. De Geschillenkamer laat hier haar licht over schijnen.

Context

Uitoefening recht op inzage door voormalige huurder t.a.v. voormalige verhuurder.

Rechtsgrond

Artikel 12, lid 3 en 4 GDPR:

“3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

Artikel 15, lid 1 GDPR:

“1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

a) de verwerkingsdoeleinden;

b) de betrokken categorieën van persoonsgegevens;

c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”

Feiten

De voormalige huurder stelde op 2 december 2019 een verzoek tot inzage in bij zijn voormalige verhuurder. Op 31 december 2019 wordt hij door zijn voormalige verhuurder verwittigd dat hij de antwoordtermijn met twee maanden verlengt.

Dat antwoord bleef uit en op 3 maart 2020 diende de voormalige huurder een klacht in.

De voormalige huisbaas ontkent niet dat het antwoord uitgebleven is. Hij zou advocaten hebben geraadpleegd om een afdoende antwoord voor te bereiden. Omwille van onderbemanning, werd dit blijkbaar vergeten en nooit verzonden.

Op 2 september 2020, in de loop van de procedure, werd een antwoord geboden. Volgens de voormalige huurder is dat antwoord onvolledig. De voormalige huisbaas beweert dat de vragen die onbeantwoord zijn gebleven niet onder het recht op inzage vallen en hij hier dus niet op moest antwoorden.

De Geschillenkamer verduidelijkt dat het recht van inzage uit drie componenten bestaat.

Als eerste heeft de betrokkene het recht om uitsluitstel te krijgen over het al dan niet verwerken van zijn persoonsgegevens door de verwerkingsverantwoordelijke.
Vervolgens, wanneer er een verwerking is, heeft hij het recht om inzage te krijgen van die persoonsgegevens en meer bepaald ook de informatie vermeld in artikel 15 lid 1, a) tot en met h).[1]

Tot slot heeft hij het recht om een kopie van die persoonsgegevens te verkrijgen.

Bij de uitoefening van het recht op inzage kan een verwerkingsverantwoordelijke inderdaad de initiële antwoord termijn van één maand verlengingen met twee maanden indien hij dit meedeelt binnen deze initiële termijn. Echter, indien hij niet van plan is om gevolg hieraan te geven, moet hij dit meedelen binnen de initiële termijn van één maand én de betrokkene informeren over de mogelijkheid om beroep in te stellen bij de GBA.

Het is duidelijk, en wordt niet ontkend, dat de voormalige verhuurder niet binnen de termijn heeft gereageerd. Hij reageerde pas op 2 september 2020 (kort nadat hij door de GBA geïnformeerd was van procedure ten gronde) terwijl het verzoek dateerde van 2 december 2019.

De voormalige huurder voert aan als reden de langdurige afwezigheid van de behandelende werknemer en volhardt wel degelijk voornemens te zijn geweest een antwoord te formuleren.

De Geschillenkamer oordeelt dat dergelijke omstandigheid hem niet ontslaat van zijn verplichtingen en er een schending is van artikel 15, lid 1 en artikel 12, leden 3 en 4 GDPR.

De Geschillenkamer stelt wel rekening te zullen houden met het feit dat aangetoond werd dat er inderdaad door advocaten begonnen werd met het opstellen van een antwoord en dat de voormalige verhuurder intussen organisatorische maatregelen heeft genomen om dergelijk voorval te vermijden naar de toekomst toe.

Drie vragen bleven echter onbeantwoord door de voormalige huisbaas en de voormalige huurder stelt dat dit ook een inbreuk uitmaakt op basis van het recht op inzage.

Het betreft vragen met betrekking tot 1) het bestaan van mogelijke lekken van de gegevens van de voormalige huurder wegens gebrekkige beveiliging, 2) de beveiligingsprotocollen van de voormalige verhuurder en 3) de beveiligings- en organisatorische maatregelen met betrekking tot de verwerking van persoonsgegevens door de werknemers of medecontractanten van de voormalige verhuurder

De Geschillenkamer oordeelt dat deze inderdaad buiten het bereik van het recht op inzage vallen en de voormalige verhuurder niet verplicht was hierop te antwoorden.

In het kader van een datalek dient slechts een melding gemaakt te worden aan een betrokkene wanneer deze “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Niets toont aan dat dit hier het geval zou zijn.

In het verband met de beveiligingsprotocollen en beveiligings- en organisatorische maatregelen stelt de Geschillenkamer vast dat deze niet in de lijst met informatie van artikel 15 zijn opgenomen.

Uitspraak

Een inbreuk op artikel 15, lid1 en artikel 12, leden 3 en 4 GDPR wordt vastgesteld en er wordt slechts een berisping opgelegd.

Onze mening

Terecht wordt een inbreuk vastgesteld door de Geschillenkamer op het recht op inzage gelet op de laattijdigheid van het antwoord door de voormalige huisbaas.

Een berisping kan volstaan gelet op de verzachtende omstandigheid dat wel degelijk de intentie is gebleken om te antwoorden én dat de voormalige huisbaas maatregelen heeft genomen om dit naar de toekomst toe te vermijden.

Beslissing

Beslissing 27/2023

[1] Zie in dit verband ons eerder artikel over het recht op inzage: https://studio-legale.com/recht-op-inzage/

BIOMETRISCHE GEGEVENS: AANBEVELING BETREFFENDE DE VERWERKING VAN BIOMETRISCHE GEGEVENS

Steeds vaker worden biometrische gegevens gebruikt voor allerhande doeleinden. Denk maar aan het scannen van een vingerafdruk van een werknemer om toegang te kunnen krijgen tot een kantoorgebouw[1] of, verregaander, het scannen van gezichten om op die manier hun aankoopgedrag te monitoren.[2] Uiteraard zijn dit verregaande verwerkingen die niet zomaar mogen worden gedaan onder de GDPR. Daarom lichten wij toe waaraan, volgens de Gegevensbeschermingsautoriteit, voldaan moet zijn om biometrische gegevens op een correcte manier te verwerken.

Wat?

In eerste plaats dient vastgesteld te worden wat biometrische gegevens juist zijn. De GDPR definieert het begrip in art. 4.14 als volgt:

Biometrische gegevens: “Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kernmerken van een natuurlijk persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.”

Met het geven van de twee voorbeelden op het einde, geeft de GDPR meteen ook de meest gekende, en begrijpelijke vormen van biometrische gegevens weer, namelijk gezichtsafbeeldingen en vingerafdruk gegevens.

De GDPR deelt de biometrische gegevens in twee categorieën in:

Fysieke, of ook wel lichamelijke kenmerken;
Gedragsgerelateerde kenmerken

Fysieke kenmerken zijn zeer eenvoudig. Dit zijn namelijk de fysische of fysiologische eigenschappen van een persoon, zoals gezichtsinformatie, irisscans, vingerafdrukken…

Gedragsgerelateerde kenmerken zijn moeilijker te omschrijven. De technologie staat niet stil waardoor dit in de toekomst waarschijnlijk beter uitgewerkt en vaker van toepassing zal zijn.

Een reeds bestaand voorbeeld hiervan is de identificatie aan de hand van het unieke stappatroon van personen.

Hoe?

Verwerking

Biometrische gegevens worden in twee verschillende fasen verwerkt, namelijk de inzamelingsfase en de vergelijkingsfase.

De inzamelingsfases bestaan uit twee delen:

De eerste inzamelingsfase: hierbij wordt de referentie-informatie (bijvoorbeeld een vingerafdruk) geregistreerd. Deze informatie wordt omgezet in een template. Dit template zorgt ervoor dat in de toekomst verwerkte gegevens geverifieerd kunnen worden ten opzichte van de referentie-informatie.
De tweede inzamelingsfase: de gegevens worden verwerkt en vergeleken met de template. Indien deze overeenstemmen oordeelt het systeem dat dit dezelfde persoon is als wie de referentie-informatie verwerkt werd (bijvoorbeeld de vingerafdruk komt overeen met deze in het systeem).

De tweede fase is de vergelijkingsfase. Hierbij wordt de ingezamelde informatie vergeleken met alle biometrische informatie die beschikbaar is in het systeem. Op deze manier kan de gebruiker geïdentificeerd worden tussen alle geregistreerde personen.

Opslag van gegevens

Er zijn drie manieren om biometrische informatie op te slaan:

Type 1: Beheer van het template door de betrokkene zelf. De betrokkene bewaart de template waarbij er geen koppeling mogelijk is met andere informaticasystemen. Dit kan bijvoorbeeld een badge zijn om toegang te krijgen tot een gebouw. Dit is de werkwijze die principieel aangewend dient te worden. Er kan slechts zeer uitzonderlijk van afgeweken worden.
Type 2: Gedeeld beheer. Er is een centrale template databank die door de verwerkingsverantwoordelijke beheerd wordt zonder dat deze er gebruik van kan maken zonder toestemming van de betrokkene.
Type 3: exclusief beheer door de verwerkingsverantwoordelijke. Dit is de meest verregaande optie. Hiervoor dienen dan ook de meest strenge voorwaarden in acht genomen te worden.

Rechtsgrond

Voor het verwerken van biometrische gegevens is het belangrijk dat er, net zoals bij iedere verwerking, een rechtsgrond is op basis waarvan de gegevens verwerk worden.

In de praktijk zal de rechtsgrond meestal de uitdrukkelijk toestemming van de betrokkene zijn. Hierbij is het zeer belangrijk dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig wordt gegeven.

In uitzonderlijke gevallen zal de rechtsgrond het zwaarwegend algemeen belang zijn. Dit dient echter zeer restrictief toegepast te worden. Enkel wanneer het gebruik van biometrische gegevens onvermijdelijk is, zal er hiervan sprake kunnen zijn indien dit bij wet voorzien wordt.

Algemeen

Net zoals bij iedere verwerking zijn ook de volgende algemene zaken belangrijk:

Doelbinding;
Proportionaliteit;
Beveiliging;
Opslagbeperking;
Transparantieverplichting;

Gegevensbeschermingseffectbeoordeling

In geval er sprake is van een verwerking van biometrische gegevens met oog op de unieke identificatie van personen in een privéruimte die toegankelijk is voor het publiek of in een openbare ruimte, zal er steeds een gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. Het is dan ook aangeraden, gelet op het inherente risico voor de rechten en vrijheden van de betrokkenen dat komt kijken bij het verwerken van biometrische gegevens om een gegevenseffectenberschermingsbeoordeling uit te voeren omdat het uitlaten hiervan slechts in uitzonderlijke gevallen gerechtvaardigd zal zijn.[3]

Besluit

Voor het verwerken van biometrische gegevens zal men dus steeds de beschermingsregels van de GDPR in acht moeten houden.

Indien u na het lezen van dit artikel vragen hebt omtrent de verwerking van biometrische gegevens, of de verwerking van persoonsgegevens in het algemeen, kan u contact opnemen via [email protected] of op 03 216 70 70.

Gebruikte bronnen

Juridische bronnen:

Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens;
Beslissing 01/2019 van 16 januari 2019 van de Gegevensbeschermingsautoriteit.

Nieuws:

CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.

[1] Autoriteit Persoonsgegevens, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers, 30 april 2020, https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers.

[2] X., “Face Recognition in retail”, https://www.raydiant.com/blog/everything-about-facial-recognition-in-retail

[3] Punt 6 van beslissing nr. 01/2019 van de gegevensbeschermingsautoriteit; Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens, 36-37,

https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf

RECHTSPRAAK GBA: BESLISSING NR. 181/2022 VAN 9 DECEMBER 2022

Betreft

Een koeriersbedrijf bezorgt een pakketje van haar bestemmeling bij de buren zonder toestemming. Mag dat zomaar?

Context

Levering pakketje bij buren zonder toestemming

Rechtsgrond

Artikel 2.1. GDPR: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

Artikel 95, §1, 3° WOG: “De geschillenkamer beslist over de opvolging die het geeft aan het dossier en is bevoegd:

(…)

3° de klacht te seponeren;”

Feiten en beoordeling

De bestemmeling van een pakketje diende op 7 november 2022 een klacht in bij de GBA tegen de koeriersdienst die het pakketje bij de buren leverde zonder toestemming hiertoe. De buren bezorgde het pakketje aan de bestemmeling.

De bestemmeling baseert de klacht op dat de buren, door de bezorging van het pakketje aan hun adres, kennis hebben kunnen nemen van zijn persoonsgegevens, nl. naam en adres.

De Geschillenkamer beslist over te gaan tot technisch sepot.

De feiten vallen naar oordeel van de Geschillenkamer niet onder het materieel toepassingsgebied van de GDPR zoals vervat in artikel 2.1.

Overwegingen 6 en 7 van de GDPR verduidelijken het kader waaromtrent de invoering van de GDPR noodzakelijk werd geacht:

“(6)

Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.

(7)

Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.”

Het toepassingsgebied van de GDPR kadert zich dus volgens de Geschillenkamer in het licht hiervan op de verwerking van gegevens in een digitale omgeving.

De levering van het postpakket aan de buren houdt dan ook geen geheel of gedeeltelijk geautomatiseerde verwerking in, noch een verwerking van persoonsgegevens die in bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.

Een behandeling van de klacht is dan ook niet mogelijk.

Uitspraak

Op grond van Artikel 95, §1, 3° WOG wordt de klacht geseponeerd.

Onze mening

Terecht wordt het loutere bezorgen van een postpakket aan buren die dit pakket aan de bestemmeling bezorgden niet geacht een verwerking van persoonsgegevens onder de GDPR uit te maken op zich.

Volgens ons is het wel niet zo evident om te stellen dat er sowieso in heel dit gebeuren geen persoonsgegevens verwerkt worden. Uiteraard verwerkt de koeriersdienst wel persoonsgegevens voor de levering en mogelijks ook deze van de buren bij de levering. Alleszins worden persoonsgegevens gebruikt van en bekendgemaakt aan de buren die mogelijk wel degelijk een verwerking uitmaken.

In casu, waarbij er geen melding is van een bijzonder gevoelig pakje en dat de buren dit onmiddellijk hebben rechtgezet, lijkt het ons een gepaste oplossing van de GBA om hier verder geen gevolg aan te geven. Er zijn echter wel situaties denkbaar waarin dit problematischer is. Bijvoorbeeld bij de levering van “gevoelige/niet-onschuldige” pakketjes (bv. medicatie, seksspeeltjes…).

De koeriersdiensten moeten (voorlopig) hiervoor dus geen GDPR-repercussies vrezen. Niettemin lijkt het ons aangewezen om steeds de leveringsvoorkeuren van klanten te respecteren en niet op eigen initiatief pakketjes bij de buren aan te bieden om verdere klachten te voorkomen.

Beslissing

Beslissing 181/2022

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 80/2020 VAN 17 DECEMBER 2020

Betreft

Er wordt een klacht ingesteld door een persoon zonder persoonlijk belang, die anoniem wenst te blijven, m.b.t. camerabewaking in een carwash. Volstaat een publiek belang om te doen blijken van een voldoende belang bij de GBA?

Context

Anonieme klacht tegen het gebruik van bewakingscamera’s in een carwash

Rechtsgrond

Art. 6. Camerawet: “De beslissing tot het plaatsen van een of meer bewakingscamera’s in een voor het publiek toegankelijke besloten plaats wordt genomen door de verantwoordelijke voor de verwerking.

De verantwoordelijke voor de verwerking deelt de in § 1 bedoelde beslissing mee aan de Commissie voor de bescherming van de persoonlijke levenssfeer en de korpschef van de politiezone waar die plaats zich bevindt. Hij doet dat uiterlijk de dag vóór die waarop de bewakingscamera of -camera’s in gebruik worden genomen.

(…)

De verantwoordelijke voor de verwerking plaatst bij de toegang tot de voor het publiek toegankelijke besloten plaats een pictogram dat aangeeft dat er camerabewaking plaatsvindt. Het model van dat pictogram en de erop te vermelden inlichtingen worden door de Koning bepaald, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

(…)”

Art. 9. Camerawet: “Uitsluitend de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, heeft toegang tot de beelden.

De verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, neemt alle nodige voorzorgsmaatregelen teneinde de toegang tot de beelden te beveiligen tegen toegang door onbevoegden.

De personen die toegang hebben tot de beelden, hebben een discretieplicht omtrent de persoonsgegevens die de beelden opleveren, met dien verstande dat de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, de beelden : 1° kan overdragen aan de politiediensten of de gerechtelijke overheden indien hij feiten vaststelt die een misdrijf kunnen vormen en de beelden kunnen bijdragen tot het bewijzen van die feiten en het identificeren van de daders;2° moet overdragen aan de politiediensten indien zij hierom verzoeken in het kader van hun opdrachten van bestuurlijke of gerechtelijke politie en de beelden het vastgestelde misdrijf betreffen. Indien het een private plaats betreft, kan de verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, evenwel eisen dat er een gerechtelijk mandaat in het kader van een opsporingsonderzoek of gerechtelijk onderzoek wordt voorgelegd.”

Art. 17 Ger.W: “De rechtsvordering kan niet worden toegelaten, indien de eiser geen hoedanigheid en geen belang heeft om ze in te dienen.

(…)”

Art. 100 §1, 1°:

“De geschillenkamer heeft de bevoegdheid om:

1° een klacht te seponeren;

(…)”

Feiten

Een klant hekelt het feit dat er in een carwash gebruikt wordt gemaakt van bewakingscamera’s zonder vermelding dat de klanten worden gefilmd d.m.v. pictogrammen zoals de camerawetgeving voorschrijft. Er wordt ook met geen woord gerept over het gebruik van bewakingscamera’s in de privacyverklaring zoals gepubliceerd op de website van de carwash. Bovendien werden videobeelden en foto’s gebruikt op de facebookpagina van mevrouw Z door de carwash om haar ongelijk aan te tonen. De klant – die anoniem wenst te blijven – vermoedt eveneens dat het beeldmateriaal onbeperkt wordt bijgehouden.

Hoewel de geschillenkamer haar bevoegdheid bevestigt om kennis te nemen van klachten i.v.m. inbreuken op de Camerawet en inbreuken op de GDPR nadat de Inspectiedienst terecht een aantal ernstige aanwijzingen i.v.m. inbreuken op de Camerawet en GDPR vaststelde, besluit de Geschillenkamer dat zij genoodzaakt is de klacht te seponeren omwille van een gebrek aan voldoende concreet belang.

Hoewel artikel 17 Ger. W., dat een vereiste van hoedanigheid en belang aan procespartijen oplegt, volgens de Geschillenkamer niet rechtstreeks van toepassing is op een procedure binnen de GBA, lijkt deze toch minstens naar analogie toepassing te vinden. In hoger beroep bij het Marktenhof zal dit hoe dan ook wel van toepassing zijn. De Geschillenkamer bevestigt dat een klager blijk moet geven van een voldoende belang.

De anonieme klager heeft uitdrukkelijk aangegeven dat hij niet over een persoonlijk belang beschikt en stoelt zich louter op het publiek belang voor de klacht. Gelet op het feit dat de klant niet aantoont of zelfs geen element aanvoert dat hem in verband brengt met de verwerking van persoonsgegevens door de carwash, toont hij geen afdoende belang, noch hoedanigheid aan.

Uitspraak

Gelet op het gebrek aan belang en hoedanigheid in hoofde van de anonieme klager wordt besloten om voorliggende klacht te seponeren.

Onze mening

Net zoals in ons burgerlijke procesrecht oordeelt de Geschillenkamer dat de klager dient te beschikken over enerzijds een voldoende persoonlijk belang en anderzijds een hoedanigheid. Het nastreven van een publiek belang is onvoldoende.

De concrete rechtsgrond die de Geschillenkamer hiervoor gebruikt blijft onduidelijk aangezien zij eerst aangeeft dat artikel 17 Ger. W. niet van toepassing is, om vervolgens alsnog een gebrek aan belang en hoedanigheid als reden voor seponering aan te voeren. Eerder besloot de Geschillenkamer reeds om een klacht na intrekking door de betrokkene nog verder te behandelen. Het is ons niet geheel duidelijk waarom van deze mogelijkheid in dit verband geen gebruik gemaakt werd.

Er lijkt op zeer technisch punt door de Geschillenkamer beroep gedaan om geen beslissing te moeten vellen, terwijl we lezen dat de inspectiedienst wel degelijk verscheidene inbreuken, minstens ernstige aanwijzingen op inbreuken op zowel de Camerawet als de GDPR heeft vastgesteld.

Beslissing

Beslissing 80/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 71/2020 VAN 30 OKTOBER 2020

Betreft

Het uploaden van een video op YouTube met vermelding van naam en adres van een buurtbewoner. Mag dat zomaar?

Context

YouTube video waarbij de identiteit van een persoon zonder zijn toestemming wordt kenbaar gemaakt

Rechtsgrond

Artikel 4.1 GDPR: (Definities – Persoonsgegevens);

Artikel 6.1.d) & e) GDPR: (Rechtmatigheid van de verwerking);

Feiten

Op een gegeven ogenblik uploadt een buurtbewoner een video op YouTube waarbij de woning – en meer bepaald de schouw van een andere buurtbewoner die een houtvuur gebruikt – te zien is. Hierbij wordt ook de naam en het adres van de bewoner van de betreffende woning vermeld. De houtstoker maakt de zaak vervolgens aanhangig bij de GBA.

Voorafgaand aan de beoordeling en beslissing van de GBA

Op 17 april 2019 beslist de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde. Een week later ontvangt de Geschillenkamer vanwege de buurtbewoner die de video op Youtube zette, de mededeling dat hij de tussenkomst van de Geschillenkamer niet aanvaardt en hij in beroep wenst te gaan bij het Marktenhof tegen de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde.

Hij zou onder druk worden gezet door de Eerstelijnsdienst door het dreigen met het opleggen van een hoge geldboete zonder in kennis te zijn gesteld van enige inhoudelijke klacht. Hierdoor zou blijk zijn gegeven van partijdigheid en zou zijn gehandeld in strijd met het reglement van interne orde van de GBA. Ten tweede zou er tevens voor dezelfde feiten een klacht zijn ingediend bij het Openbaar Ministerie waardoor de buurtbewoner vraagt om beide dossiers samen te voegen en te laten behandelen door een rechtbank ten gronde.

Op 10 mei 2019 verzoekt het Marktenhof bij Hof van Beroep te Brussel voor de toezending van het rechtsplegingsdossier overeenkomstig artikel 723 Ger.W. Het Marktenhof bekijkt het dossier en oordeelt dat een beslissing van de Geschillenkamer uitvoerbaar bij voorraad is en derhalve de procedure voor de Geschillenkamer moet worden voortgezet. De buurtbewoner blijft zich verzetten en op 29 mei 2019 vindt er een inleidingszitting plaats bij het Marktenhof waarbij de GBA verstek laat.

Het arrest van het Marktenhof[1] kan als volgt worden samengevat:

Vereiste van onpartijdigheid van de Geschillenkamer van de GBA

De situatie waarbij bepaalde personeelsleden van de GBA enerzijds adviezen geven en mailverkeer voeren met personen die denken gegriefd te zijn en dat dezelfde personeelsleden nadien, in dezelfde zaak, desgevallend fungeren als adviseur van de Geschillenkamer van de GBA of in een andere hoedanigheid, is vatbaar voor kritiek en sanctie.

Ook het feit dat dat de GBA reeds een inhoudelijk standpunt ten gronde heeft ingenomen door te dreigen met torenhoge boetes bij gebreke aan verwijdering van de video’s, én waar later één van haar organen te weten de Geschillenkamer als administratieve rechter zal moeten oordelen over het al dan niet bewezen zijn van een beweerde inbreuk, getuigt volgens het Marktenhof niet van een naleven van alle rechten van verdediging

Beslissing Geschillenkamer dat dossier gereed is voor behandeling

Aangaande de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde en daartoe een conclusiekalender heeft bepaald, stelt het Marktenhof dat het ontvankelijk verklaren van een klacht niet vooruit loopt op de beoordeling ervan.

Bedreiging van de burger met mogelijke veroordeling tot het betalen van hoge boetes

Het Marktenhof stelt dat, hoewel de bedreiging die wordt gericht aan de burger en waarbij hem voorgespiegeld wordt dat hij tot het betalen van hoge boetes zal kunnen worden veroordeeld door de GBA, deze niet in strijd is met een wettelijke bepaling, doch de GBA door de gehele wijze van handelen wel minstens de schijn wekt niet onpartijdig te zullen optreden.

Het Marktenhof beslist dat nieuwe conclusietermijnen dienen te worden bepaald waarbij de eerste termijn voor de houtstoker ten vroegste vervalt op de laatste dag van de maand die aanvangt nadat de procespartijen kennis hebben gekregen van het arrest. Het Marktenhof is hic et nunc niet gevat van een verhaal tegen een ‘beslissing’ ten gronde van de Geschillenkamer van de GBA en kan dienvolgens niet (bij voorbaat) oordelen over de wijze waarop de Geschillenkamer van de GBA dan wel het geschilpunt zou moeten oplossen.

Beoordeling GBA

Een video-opname van enkel en alleen een schouw waarop de uitstoot van rook te zien is zonder dat deze de identificatie van een persoon mogelijk maakt, is geen persoonsgegeven in de zin van artikel 4.1 GDPR. Echter, gezien de naam en het adres wel werd vermeld, maakt deze wel een verwerking uit van persoonsgegevens. De video-opname, alsmede de naam en het adres van de buurtbewoner zijn immers gepubliceerd met het oogmerk om te kunnen overgaan tot identificatie. De maker van de video erkent dit uitdrukkelijk doordat hij zelf aangeeft dat hij derden daarmee de gelegenheid wil bieden om te achterhalen wie de houtrookhinder veroorzaakt om zich vervolgens eventueel tegen die persoon burgerlijke partij te kunnen stellen…

Volgens artikel 6 van de GDPR is een verwerking van persoonsgegevens slechts rechtmatig indien daartoe een rechtsgrond bestaat. Om de rechtmatigheid van de publicatie van het filmpje samen met de naam en het adres van de buurtbewoner aan te tonen, beroept de videomaker zich op artikel 6.1. d) GDPR (de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen) en artikel 6.1. e) GDPR (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen).

Voor wat betreft de rechtsgrond uit artikel 6.1.d) GDPR dient de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, voorop te staan. De videomaker voert echter niet aan dat de publicatie van de gegevens van de houtstoker van belang zouden zijn voor het leven van hemzelf, maar daarentegen wel van belang zou zijn voor de bescherming van de gezondheid van derden, meer bepaald de omwonenden door hen te beschermen tegen de hinder van houtrookemissie.

Uit overweging (46) van de GDPR volgt dat dat de verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon in beginsel alleen is toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Bijgevolg gaat de Geschillenkamer na of er desgevallend een andere rechtsgrond kan worden ingeroepen.

De videomaker beroept zich naast artikel 6.1.d) verder nog op artikel 6.1.e) GDPR. Volgens hem is de publicatie noodzakelijk voor de vervulling van een taak van algemeen belang Vermits uit zijn argumentatie niet blijkt dat hij zich op enige rechtsgrond vastgesteld bij Unierecht of lidstatelijk recht beroept waaruit hij het recht zou kunnen putten om in het kader van het algemeen belang over te gaan tot de publicatie van de videobeelden met naam en adres van de houtstoker, is de Geschillenkamer van oordeel dat hij zich niet kan beroepen op artikel 6.1. e) GDPR om de betreffende publicatie als rechtmatig te bestempelen.

Uit eigen initiatief onderzoekt de Geschillenkamer nog of de videomaker zich zou kunnen beroepen op de rechtsgrond van gerechtvaardigd belang in artikel 6.1. f) GDPR. Hiervoor herhaalt de Geschillenkamer zijn eerdere rechtspraak omtrent de voorwaarden die door het Hof van Justitie zijn vastgesteld, namelijk moet er voldaan worden aan 1) de doeltoets, 2) de noodzakelijkheidstoets en 3) de afwegingstoets.

Het aantonen van de ernst van de hinder en de impact van de rookemissie op de gezondheid van de omwonenden kan aangemerkt worden als een gerechtvaardigd doel;

Het feit dat de houtstoker met naam vermeld werd bij de video is niet als noodzakelijk te beschouwen voor het bereiken van het doeleinde. Hiermee wordt enkel bereikt dat deze als vervuiler aangemerkt wordt zonder enige mogelijkheid tot verweer. Zonder vermelding van de naam, kon het doeleinde ook bereikt worden.

Ook de afwegingstoets kan niet voldaan worden aangezien de houtstoker zich op geen enkel moment kon verwachten aan de publicatie van de beelden met zijn naam en adres. Enkel indien de toestemming werd gevraagd had dit mogelijk geweest onder de GDPR.

Uit het geheel van de uiteengezette elementen is de Geschillenkamer van oordeel dat de videomaker zich op geen enkele rechtsgrond kan beroepen waaruit de rechtmatigheid blijkt van de gegevensverwerking. De inbreuk op artikel 6.1. GDPR is aldus bewezen. De Geschillenkamer besluit hem hiervoor enkele een berisping te geven rekening houdend met het feit dat de videobeelden met vermelding van de naam en het adres van de houtstoker zijn verwijderd, alsmede dat de inbreuk slechts voor een eerste keer werd begaan. Op het verzoek van de videomaker om hem een schadevergoeding toe te kennen, kan de Geschillenkamer niet ingaan vermits zij niet over die bevoegdheid beschikt.

Uitspraak

Een berisping op te leggen voor wat betreft de inbreuk op artikel 6.1. GDPR.

Onze mening

Gegevens zijn slechts persoonsgegevens in zoverre identificatie van een bepaalde persoon mogelijk is. Door het plaatsen van de naam en adres van de betrokkene bij de video op YouTube, kwalificeert de video als een persoonsgegeven.

De rechtmatigheidsgrond van vitaal belang voor andere natuurlijke personen is enkel mogelijk indien er geen beroep gedaan kan worden op andere rechtsmatigheidsgronden. De GDPR stelt m.a.w. een strenge voorwaarde om gebruik te kunnen maken van deze rechtmatigheidsgrond. Reden waarom zij in de praktijk maar sporadisch wordt gebruikt.

Het feit dat er slechts een berisping wordt opgelegd, lijkt ons voldoende gemotiveerd door de Geschillenkamer. Een eerste inbreuk vanwege de videomaker, die ook nog eens de beelden in de loop van de procedure heeft verwijderd, hoeft geen aanleiding te geven tot een boete. Een terechte beslissing, je mag niet zomaar beelden maken zonder toestemming en deze verspreiden.

Beslissing

Beslissing 71/2020

[1] De integrale tekst van het arrest is beschikbaar op de website van de Gegevensbeschermingsautoriteit via volgende link: https://www.gegevensbeschermingsautoriteit.be/publications/arrest-van-12-juni-2019-van-het-marktenhof.pdf

MAG U ALS WERKGEVER HET E-MAILVERKEER VAN UW WERKNEMERS CONTROLEREN?

Diverse media berichtten over een strafklacht tegen ING België.[1] De kredietinstelling zou het e-mailverkeer van zo’n 2.000 werknemers hebben gecontroleerd. Dit roept de vraag op of men als werkgever überhaupt het e-mailverkeer van werknemers mag controleren. Mag dit of gelden er specifieke voorwaarden? Wij zochten het voor u uit.

Privacyrecht vs. controlerecht

Het recht op privacy is een grondrecht waardoor het de werkgever principieel niet toegestaan is om uw e-mailverkeer te controleren. Inbreuken hierop zijn m.a.w. strafbaar. Maar op het principieel verbod gelden weliswaar enkele uitzonderingen waardoor in uitzonderlijke omstandigheden en onder strikte voorwaarden het de werkgever wel toegelaten is om de e-mails van haar werknemers te checken. De werkgever beschikt van zijn kant namelijk over een controlerecht en het zijn deze twee principes die in de praktijk steeds in de weegschaal moeten worden gelegd om een juiste inschatting te maken over de toelaatbaarheid om het e-mailverkeer van de werknemer na te gaan.

Werkgevers kunnen verschillende redenen hebben om e-mailverkeer te controleren, zoals het handhaven van de bedrijfsbeleidsregels, het beschermen van bedrijfsinformatie, het voorkomen van ongepast gedrag of het voldoen aan wettelijke verplichtingen.

Wat zegt de Gegevensbeschermingsautoriteit?[2]

De Gegevensbeschermingsautoriteit (hierna: GBA) is het onafhankelijke toezichtsorgaan dat toezicht houdt op alles wat te maken heeft met de verwerking van persoonsgegevens onder de GDPR en kan aanzien worden als de privacy waakhond van België.

Samengevat hebben werkgevers volgens de GBA in beginsel het recht om toezicht te houden op de elektronische communicatie die werknemers verrichten met de middelen die hen voor hun werk ter beschikking zijn gesteld. Dit onder voorwaarde dat bepaalde principes zoals het recht op privacy en vertrouwelijkheid van de correspondentie worden gewaarborgd. Om de privacy van de werknemer te beschermen, moet de werkgever rekening houden met de volgende basisprincipes:

Finaliteitsbeginsel

De werkgever moet steeds een rechtmatig doel nastreven zoals bijvoorbeeld de opvolging van de professionele correspondentie met cliënteel. Een werkgever mag dus niet uit nieuwsgierigheid controles uitvoeren, mar wel om de belangen van het bedrijf te vrijwaren.

Evenredigheidsbeginsel

Ten tweede moet de werkgever de controle beperken tot het strikt noodzakelijke. De controle moet noodzakelijk zijn om die doelstelling te bereiken. Als een e-mail bestemd is voor de personeelsdienst, is het niet de bedoeling dat andere afdelingen deze e-mail kunnen lezen. Dit betekent dat de gegevensverzameling in principe globaal moet blijven en dat individualisering (dus de identificatie van een specifieke werknemer) in principe niet is toegestaan. De werkgever mag daarbij geen toegang hebben tot persoonlijke e-mails van de werknemer, tenzij de werknemer deze gebruikt voor zakelijke doeleinden.

Transparantiebeginsel

Ten slotte moet de werknemer op de hoogte worden gebracht van een eventuele elektronische controle en van de wijze waarop deze wordt uitgevoerd. De GBA beveelt aan deze informatie te verspreiden via het arbeidsreglement, maar een transparant ICT-beleid, een specifieke bepaling in de individuele arbeidsovereenkomst of een cao behoren ook tot de mogelijkheden. Een werkgever mag nooit achter de rug van zijn medewerkers controles uitvoeren.

Wat zegt de GDPR[3]?

Overeenkomstig artikel 6 van de General Data Protection Regulation (hierna: GDPR) dient elke verwerking van persoonsgegevens te steunen op een rechtmatigheidsgrond. Het wettelijk recht van de werkgever om gezag uit te oefenen, kan een rechtmatigheidsgrond zijn voor de werkgever om elektronisch toezicht uit te oefenen op internet en e-mailverkeer van haar werknemers. De toestemming van de werknemer kan volgens de GBA dan weer niet als wettelijke basis dienen aangezien de werknemer zich noodzakelijkerwijs in een ondergeschikte positie bevindt ten opzichte van zijn werkgever, en dus geen toestemming kan geven uit vrije wil.

CAO nr. 81[4]

Het doel van deze CAO nr. 81 is ervoor te zorgen dat de privacy van de werknemer wordt gerespecteerd wanneer de werkgever gegevens van de elektronische netwerkcommunicatie verzamelt om die te controleren en omvat de drie grondbeginselen van de privacywetgeving, zoals hierboven besproken, het finaliteits-, evenredigheids- en transparantiebeginsel.

Daarnaast speelt nog het principe van individualisering, dat stelt dat de controle van de werkgever normaal gesproken alleen kan op een globale en niet op een individuele manier. In bepaalde gevallen kan de werkgever echter controles uitvoeren bij een bepaalde werknemer, namelijk:

Preventie van illegale of lasterlijke feiten, feiten in strijd met de goede zeden of feiten die de waardigheid van anderen kunnen aantasten;

Bescherming van de economische, commerciële en financiële belangen van de onderneming waaraan een vertrouwelijkheidsaspect is verbonden;

Veiligheid en/of de goede technische werking van de netwerkcomputersystemen van de onderneming en de fysieke bescherming van de installaties van de onderneming.

Conclusie

De regeling die de werkgever in staat stelt legaal toegang te krijgen tot de elektronische communicatie van zijn werknemer is vatbaar voor interpretatie. Het recht op privacy van de werknemer en het recht op controle van de werkgever dienen telkens tegen elkaar te worden afgewogen. Volgens de GBA heeft de werkgever onder bepaalde voorwaarden het recht om toezicht te houden op de elektronische communicatie van haar werknemers. Hierbij dienen het finaliteits-, evenredigheids-, en transparantiebeginsel steeds in acht te worden genomen.

Het is raadzaam om specifiek juridisch advies in te winnen bij een professional op het gebied van privacyrecht om te begrijpen hoe de regels specifiek van toepassing zijn op uw situatie. Studio Legale Advocaten beschikt over drie erkende DPO’s die gespecialiseerd zijn in het privacyrecht en u hierbij kunnen begeleiden.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

Juridische bronnen:

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail ;

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Media links:

https://www.tijd.be/netto/analyse/werk/mag-uw-werkgever-uw-e-mailverkeer-controleren/10460465.html ;

https://www.standaard.be/cnt/dmf20230414_95708300 ;

https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html ;

[1]https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html

[2]https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail

[3] VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[4] Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 72/2020 VAN 9 NOVEMBER 2020

Betreft

Het verwerken van gegevens over een vakbondslidmaatschap van haar werknemers door een ziekenhuis wordt door een vakbondsafgevaardigde niet goed onthaald.

Context

Verwerking vakbondsgegevens door een ziekenhuis

Rechtsgrond

Artikel 5.1.b) GDPR: “Persoonsgegevens moeten:

(…)

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig.”

Artikel 7.3 GDPR: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.”

Artikel 9.2.a) GDPR: “Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven.”

Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

Feiten

Een vakbondsafgevaardigde van vakbond A vraagt op een gegeven moment het advies van de Gegevensbeschermingsautoriteit (GBA) in verband met het door zijn werkgever – zijnde een ziekenhuis – rechtstreeks op het salaris inhouden van de vakbondsbijdrage van de leden van vakbond B. De inhouding zou gebeuren onder onduidelijke omstandigheden en zonder daarbij de wil van de werknemers en de vertrouwelijkheid van hun gegevens te eerbiedigen. Hij stelt zich in het algemeen de vraag waarom een werkgever gegevens over het vakbondslidmaatschap van zijn werknemers zou verzamelen.

Na mailverkeer hierover met vraag voor advies naar de GBA dient de vakbondsafgevaardigde een klacht in en de Inspectiedienst van de GBA wordt gevat. Niet veel later laat de vakbondsafgevaardigde weten aan de Inspectiedienst dat het ziekenhuis een einde heeft gesteld aan het systeem van inhouding op het salaris. Deze beslissing kwam er op basis van het advies van haar functionaris voor gegevensbescherming (DPO).

Voorafgaand advies door GBA

We verwijzen naar de vorige beslissing nr. 71/2020 waarin het Marktenhof tussenkwam en reeds de GBA op de vingers tikte voor het feit dat mogelijks zowel mailverkeer en adviesverlening, als latere beoordeling van een klacht kan gebeuren door dezelfde personeelsleden van de GBA vatbaar is voor kritiek en eventueel sanctie.

In huidige beslissing ontbreekt meer diepgaande informatie om een concrete beoordeling toe te laten. Dit blijft toch een aandachtspunt.

De toestemming als rechtmatigheidsgrond

In principe is de verwerking van gegevens over een vakbondslidmaatschap verboden (artikel 9.1 GDPR). Lid 2 van datzelfde artikel voorziet echter in een aantal uitzonderingen, waaronder de “uitdrukkelijke toestemming van de betrokkene voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden”.

Volgens artikel 4.11) van de GDPR dient toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. Artikel 9.2.a) voegt daar nog aan toe dat voor een gegevensverwerking in verband met vakbondslidmaatschap de toestemming eveneens uitdrukkelijk moet zijn.

(i) Vrije karakter van de toestemming

De toestemming werd bij schriftelijke machtiging gegeven als een door de werkgever aan de werknemer verleende faciliteit. Echter dient bij een arbeidsverhouding steeds extra aandacht te worden besteed aan het vrije karakter van de toestemming. Bij wijze van uitzondering kan de toestemming van de werknemer wel worden beschouwd als geldig verleend, wanneer het al dan niet toestemming geven geen negatieve gevolgen kan hebben voor zijn persoon. In casu had het ziekenhuis geen voordeel bij de toestemming van de werknemer waardoor er van mag worden uitgegaan dat de werknemer zijn toestemming vrijelijk heeft gegeven.

(ii) Specifieke karakter van de toestemming

Door het feit dat aan elke werknemer werd gevraagd een individueel machtigingsformulier in te vullen is voldaan aan de voorwaarde van het specifieke karakter van de toestemming. De machtiging vraagt immers de toestemming van de werknemer voor één gegevensverwerking, namelijk de verwerking die is verbonden aan de rechtstreeks inhouding op het salaris van de vakbondsbijdrage.

(iii) Geïnformeerde karakter van de toestemming

Om toestemming met kennis van zaken te geven, moet de betrokkene onder meer de volgende informatie hebben ontvangen:

– de identiteit van de verwerkingsverantwoordelijke;

– het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;

– welk(e) (soort) gegevens worden verzameld en gebruikt;

– het bestaan van het recht om zijn toestemming in te trekken.

De eerste drie elementen worden relatief duidelijk op het verstrekte machtigingsformulier vermeld, maar aangezien nergens melding wordt gemaakt van het feit dat de werknemer zijn toestemming te allen tijde kan intrekken is niet voldaan aan artikel 7.3 van de GDPR waardoor de toestemming niet kan worden beschouwd als op geïnformeerde wijze gegeven. Hierdoor werd artikel 9.2.a) GDPR dan ook niet nageleefd.

(iv) Uitdrukkelijke karakter van de toestemming

Aan deze voorwaarde werd voldaan aangezien de door de betrokkene ondertekende schriftelijke machtiging op uitdrukkelijke wijze bepaalt welke gegevensverwerking zal worden uitgevoerd.

Doeleinde van de verwerking

Wat betreft het doeleinde van de verwerking bepaalt artikel 5.1.b) j° 24.1 GDPR dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Aangezien het doeleinde van de verwerking slechts duidelijk werd na het verdere onderzoek en verzoek door inlichtingen door de Geschillenkamer, kan dit niet beschouw worden als zijnde uitdrukkelijk vermeld en besluit de Geschillenkamer dat de verwerkingsverantwoordelijke artikel 5.1.b) j° 24.1 GDPR heeft geschonden.

Uitspraak

In verband met de effectieve uitspraak in het beschikkend gedeelte lijkt ons dat er een materiële vergissing gebeurde in de beslissing. Er wordt voorheen immers duidelijk vermeld in de beslissing dat:

er een schending van de artikelen 5.1.b) j° artikel 24.1, en artikel 9.2.a) j° artikel 7.3 van de GDPR heeft plaatsgevonden;
het niet nodig is om een van de maatregelen te nemen aangezien de verwerkingsverantwoordelijke om advies heeft gevraagd aan zijn functionaris voor gegevensbescherming en dat hij heeft besloten het advies op te volgen in die zin dat er aan de verwerking definitief een einde werd gesteld op 30 juni 2019, waardoor hij bewijst dat de verplichtingen die voortvloeien uit de GDPR ernstig zijn genomen.

Echter vermeldt het beschikkend gedeelte dat er geen schending van voormelde artikelen heeft plaatsgevonden. Aangezien evenwel nog steeds vermeld wordt bijkomend dat het toch niet nodig is om een van de maatregelen als bedoeld in artikel 100 §1 WOG te nemen, blijkt volgens ons duidelijk dat dit een materiële vergissing betreft.

Onze mening

Uit deze beslissing blijkt dat de voorwaarden voor het geven van een geldige toestemming zeer strikt worden toegepast. Hoewel immers de toestemming geacht wordt vrij te zijn gegeven, ondanks de werknemer-werkgever relatie en deze uitdrukkelijk werd gegeven, wordt alsnog een schending vastgesteld omwille van het gebrek aan voldoende informatie over de mogelijkheid tot intrekking van de toestemming te allen tijde.

In het kader van het belangrijke doelbindingsbeginsel, wordt eveneens strikt toegezien op het feit of het doeleinde van de verwerking vermeld uitdrukkelijk vermeld wordt, wat in deze eveneens niet het geval was aangezien slechts na onderzoek duidelijk werd wat het doeleinde is.

O.i. houdt de geschillenkamer terecht rekening met het feit dat duidelijk blijkt dat het ziekenhuis op ernstige wijze bezig is met GDPR in haar organisatie. Het won immers advies in te bij haar DPO en volgde dit advies ook op door middel van de definitieve stopzetting van de verwerking. Dit toont aan dat de GDPR serieus wordt genomen, wat in deze zaak ook heeft geleid tot uitblijven van enige sanctie. Accountability is namelijk een zeer belangrijk beginsel in het kader van de GDPR.

Integrale beslissing

Beslissing 72/2020

Einde anonieme crypto

Europa stelt een einde aan anonieme crytpotransfers. Volgens het akkoord zal er bij elke transactie informatie van de initiator van de transactie moeten worden meegestuurd, de hele wereld rond…

Met als doel het risico op witwassen en terrorismefinanciering aan te pakken hebben de onderhandelaars van het Raadvoorzitterschap en van het Parlement op 29 juni 2022 een voorlopig akkoord bereikt over het voorstel om de regels over informatie bij geldovermakingen uit te breiden naar overmakingen van cryptoactiva. Hierna gaat dit akkoord naar het Europees Parlement met de bedoeling de tekst aan te nemen. Van zodra het nieuwe kader is aangenomen, zal die 18 maanden later van kracht gaan. Hiermee blijkt dus ook een einde aan anonieme crypto transacties te komen.[1]

Dit voorstel is deel van een reeks wetgevingsvoorstellen van de Commissie ter versterking van de EU-regels ter bestrijding van witwassen van geld en financiering van terrorisme.[2]

De nieuwe tekst komt er na een aanbeveling van de Financial Action Task Force (FATF) over elektronische overmakingen. Deze aanbeveling is echter minder streng dan de tekst waarover op 29 juni 2022 een akkoord werd bekomen.[3]

De nieuwe regels verplichten cryptoactivadiensten om informatie over de initiator en de begunstigde van de transacties crypto-activa te bekomen en toegankelijk te maken. Hierdoor worden transacties van crypto-activa traceerbaar en zal de EU het risico op witwassen en terrorismefinanciering via nieuwe technologieën kunnen aanpakken.[4]

In de praktijk houdt dit in dat bij elke transactie privé-gegevens zullen worden meegestuurd, die de hele wereld rondgaan. Bij elke transactie zal informatie over de initiator bij de overmaking worden gevoegd, ongeacht het bedrag.[5]

Opvallend is dat er geen minimumgrens werd vastgesteld vanaf wanneer de zogenaamde “travel-rule” geldt, terwijl dit voor niet crypto-transacties pas geldt vanaf € 1000.[6]

Ook werd overeengekomen dat voor het verwerken van persoonsgegevens de Algemene Verordening voor Gegevensbescherming (hierna AVG) van toepassing is.[7] Desondanks klinkt luid protest uit de cryptowereld zelf omtrent schending van gegevens beschermde- en privacyregels.[8]

Ook wij stellen ons vragen bij een eventuele schending van privacywetgeving en gegevensbeschermingsregels. Ondanks de uitdrukkelijk van toepassing verklaarde AVG door de Europese wetgever dient aan een aantal voorwaarden voldaan te zijn vooraleer er sprake kan zijn van een rechtmatige verwerking van persoonsgegevens. Naast het bestaan van een wettelijke basis, zal er op grond van art. 6 AVG ook moeten voldaan zijn aan een noodzakelijkheidsvereiste om de gekozen maatregel toe te passen om het gewenste doel te bereiken. Enkel in de mate dat deze maatregel noodzakelijk is om het doel te bereiken, zal aan deze voorwaarde voldaan zijn. Dit lijkt, volgens ons niet het geval te zijn, daar het wereldwijd doorsturen van persoonsgegevens onzen inziens disproportioneel is ten aanzien van het te bereiken doel: nl. het tegengaan van witwassen en terrorismefinaniciering. Dit mede omdat er bijvoorbeeld voor gewone – niet-crypto-activa transacties – wél een minimumgrens bestaat waaronder er niet aan de travel-rule moet worden voldaan.

Hierbij komt ook dat de aanbieders van cryptoactivadiensten als meldingsplichtige entiteiten in de zin van 4^de antiwitwasrichtlijn worden aangemerkt.

Besluit

De EU is tot een akkoord gekomen om anti-witwaspraktijken en terrorismefinanciering door crypto tegen te gaan. Ondanks het nobele doel, lijkt het nieuwe akkoord echter niet voldoende rekening te houden met de vigerende regels van de AVG.

Indien u na het lezen van dit artikel met vragen zit of u wenst meer informatie, kan u steeds contact opnemen met Studio Legale op [email protected] of 03 216 70 70.

Gebruikte bronnen:

Juridische bronnen

Report on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets;
Aanbevelingen 15 en 16 van de Financial Action Task Force;
KOLINSKA, D., “Crypto assets: deal on new rules to stop illicit flows in the EU” https://www.europarl.europa.eu/news/en/press-room/20220627IPR33919/crypto-assets-deal-on-new-rules-to-stop-illicit-flows-in-the-eu;

Media bronnen:

Persmededeling Raad van de EU, “Witwasbestrijding: voorlopig akkoord over transparantie bij overmakingen van cryptoactiva”, https://www.consilium.europa.eu/nl/press/press-releases/2022/06/29/anti-money-laundering-provisional-agreement-reached-on-transparency-of-crypto-asset-transfers/;
LEMMENS, K., “ Europa maakt komaf met anonieme cryptotransfers”, https://www.standaard.be/cnt/dmf20220630_97608473;
NEIRYNCK, P., “Europese cryptowetgeving viseert verdachte transacties”, https://www.tijd.be/markten-live/analyse/europese-cryptowetgeving-viseert-verdachte-transacties/10399565.html;
VAN HAVER, K., “Europa verbiedt anonieme overdrachten van cryptomunten”, https://www.tijd.be/politiek-economie/europa/economie/europa-verbiedt-anonieme-overdracht-van-cryptomunten/10320815.html.
PAUSH-HOMBLE, K., “Digitaal geld: akkoord over Europese cryptoactiva-verordening (MiCA), https://www.consilium.europa.eu/nl/press/press-releases/2022/06/30/digital-finance-agreement-reached-on-european-crypto-assets-regulation-mica/.

[1] Persmededeling Raad van de EU, “Witwasbestrijding: voorlopig akkoord over transparantie bij overmakingen van cryptoactiva”, https://www.consilium.europa.eu/nl/press/press-releases/2022/06/29/anti-money-laundering-provisional-agreement-reached-on-transparency-of-crypto-asset-transfers/.

[2] Ibid; https://www.tijd.be/ondernemen/banken/wankele-cryptobank-silvergate-duikt-voor-miljard-in-het-rood/10440930.html.

[3] Aanbevelingen 15 en 16 van de Financial Action Task Force.

[4] Ibid.

[5] Art. 14 of the Report on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets.

[6] D., KOLINSKA, “Crypto assets: deal on new rules to stop illicit flows in the EU” https://www.europarl.europa.eu/news/en/press-room/20220627IPR33919/crypto-assets-deal-on-new-rules-to-stop-illicit-flows-in-the-eu

[7] Recital 17 of the Report on the proposal for regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets.

[8] K., LEMMENS, “ Europa maakt komaf met anonieme cryptotransfers”, https://www.standaard.be/cnt/dmf20220630_97608473; P., NEIRYNCK “Europese cryptowetgeving viseert verdachte transacties”, https://www.tijd.be/markten-live/analyse/europese-cryptowetgeving-viseert-verdachte-transacties/10399565.html; K., VAN HAVER, “Europa verbiedt anonieme overdrachten van cryptomunten”, https://www.tijd.be/politiek-economie/europa/economie/europa-verbiedt-anonieme-overdracht-van-cryptomunten/10320815.html.

UBO-register mag dan toch niet openbaar gemaakt worden voor het publiek

Het UBO-register mag dan toch niet openbaar gemaakt worden voor het publiek

Met het arrest van 22 november 2022 stelt het Hof van Justitie dat het UBO-register mag blijven, maar dat aan de openbaarheid voor het grote publiek ervan een einde komt. Dit arrest volgt na prejudiciële vragen die door een Luxemburgse rechter werden gesteld.

Wat is het UBO-register?

Het UBO-register is een register voor uiteindelijke begunstigden in België voorzien door de Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten.

Deze wet is de omzetting van de Europese Richtlijn 2015/849 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme.

Op basis hiervan zijn lidstaten van de EU verplicht om maatregelen te nemen zodat enerzijds vennootschappen en andere juridische entiteiten die binnen hun juridisch grondgebied zijn opgericht toereikende, accurate en actuele informatie over hun uiteindelijke begunstigden inwinnen en bijhouden. Anderzijds moet er een centraal register met informatie over de uiteindelijke begunstigden van die entiteiten zijn om de toegang tot die informatie te vereenvoudigen.[1]

Wat veranderde er met het arrest

In het arrest dd. 22 november 2022 werd de ongeldigheid vastgesteld van de bepaling uit de Antiwitwasrichtlijn waardoor lidstaten verplicht werden ervoor te zorgen dat de informatie over de uiteindelijke begunstigden van binnen hun grondgebied opgerichte vennootschappen en andere juridische entiteiten in alle gevallen voor het grote publiek toegankelijk is.

Het Hof van Justitie stelde dat de eerbiediging van het privéleven uit artikel 7 en de bescherming van persoonsgegevens uit artikel 8 van het Handvest van de Grondrechten van de Europese Unie hierdoor ernstig geschonden worden.

Met de invoering van deze regel was de wetgever van mening hiermee bij te dragen tot de verwezenlijking van doelstelling van algemeen belang doordat de maatregel beoogt om het witwassen van gelden de financiering van terrorisme te voorkomen.

Het Hof van Justitie oordeelde echter dat de maatregel niet beperkt is tot wat strikt noodzakelijk is. Daarnaast is deze ook niet evenredig met het nagestreefde doel, én worden er te weinig waarborgen ingebouwd ter bescherming van de persoonsgegevens van de betrokkenen.[2]

In België konden burgers het UBO-register tot voor kort publiek raadplegen door voorafgaand een verzoek om raadpleging in te dienen. Bij het verzoek moest u als burger een formulier invullen dat het KBO-nummer bevat van de entiteit die het voorwerp is van uw raadpleging, de gegevens van de aanvrager en een verantwoording van het verzoek indienen. Een aanvraag kon dan geweigerd worden indien er geen legitieme redenen werden opgegeven ter consulatie van het register.[3]

Naar aanleiding van het arrest van het Hof van Justitie van de Europese Unie publiceerde de FOD financiën een bericht op hun website met de boodschap dat ingevolge het arrest van 22 november 2022 de toegang van leden van het grote publiek tot informatie over uiteindelijke begunstigden tijdelijk is opgeschort. Het bericht bevestigde ook dat de toegang voor bevoegde en onderworpen autoriteiten gehandhaafd blijft.[4]

Ondertussen werd op de website van de FOD financiën een bericht gepost waar te lezen staat dan in afwachting van IT-ontwikkelingen om het UBO-register aan te passen aan de nieuwe wettelijke bepalingen, raadplegingsverzoeken kunnen worden verzonden per e-mail naar: [email protected]

Of er nu met het arrest van het Hof van Justitie een grote stap terug is genomen op het vlak van bestrijden van witwaspraktijken, valt te nuanceren daar het enkel gevolgen heeft op de toegang voor het grote publiek tot gegevens van uiteindelijke begunstigde van vennootschappen. Voor alle andere juridische structuren zijn de gegevens van de uiteindelijke begunstigde al sinds voor dit arrest enkel toegankelijk voor leden van het brede publiek die een legitiem doel voorhanden hebben.[5]

Nieuw is dat het UBO-KB een lijst heeft opgenomen met wat als een legitiem doel kan worden beschouwd.[6]

GDPR

In dit arrest werd als derde prejudiciële vraag een vraag gesteld met betrekking tot overeenstemming met de bepalingen van de gegevensbeschermingsrichtlijn. Omdat werd besloten dat de bepaling die de verplichting oplegt dat de registers publiek raadpleegbaar moeten zijn, nietig is, achtte het HvJ het niet meer nodig om de vraag met betrekking tot de overeenstemming met de gegevensbeschermingsrichtlijn te beantwoorden.

Gezien het Hof reeds voor de toets aan de eerste vraag vaststelde dat de maatregel niet beperkt is tot wat strikt noodzakelijk is, kan gesteld worden dat het wellicht niet om een rechtmatige verwerking van persoonsgegevens kan gaan op grond van art. 6 GDPR.

In het verleden werd de publieke toegang tot het Belgisch UBO-register reeds bekritiseerd door de Gegevensbeschermingsautoriteit.[7] In het advies nr. 246 2022 van 9 november 2022 werd reeds opgemerkt dat de toegang of weigering van toegang tot het UBO-register onderworpen dient te zijn aan striktere criteria en voorwaarden. Tot op heden was het onduidelijk in welke gevallen het verlenen van toegang disproportioneel zou zijn voor de grondrechten van de uiteindelijke begunstigde, met name het recht op privacy en bescherming van persoonsgegevens.

Om tegemoet te komen aan de vereisten van gegevensbescherming, heeft de wetgever ten eerste de vier verschillende doeleinden van het UBO-register opgenomen:

De bescherming van het financiële stelsel door middel van preventie, opsporing en onderzoek van witwassen en terrorismefinanciering en de daarmee verban houdende basismisdrijven,
Het faciliteren van de toepassing en de controle van de verplichtingen inzake embargo’s, bevriezingen van tegoeden en ander beperkende maatregelen;
Het verhogen van transparantie van juridische constructies en entiteiten;
Het register moet een nuttig instrument vormen in strijd tegen witwasparktijken voor de actoren en instanties die toegang krijgen tot het register.

Ten tweede heeft de wetgever met de wet van 8 februari 2023 de categorieën persoonsgegevens die het UBO-register verwerkt, in de wet zelf opgenomen. Het gaat met name over:

Identificatiegegevens;
Contact- en verblijfsgegevens;
De categorie(ë)n van uiteindelijke begunstigde waartoe de natuurlijke persoon behoort;
De aard en de omvang van de door de natuurlijke persoon aangehouden economische belang of zeggenschap in de entiteiten en constructies die rapportering plichtig zijn;
De datum waarop de natuurlijke persoon uiteindelijke begunstigde is geworden en in geval van een onrechtstreekse uiteindelijke begunstigde ook de identificatiegegevens van de tussenpersonen.

Besluit

Naar aanleiding van het arrest wordt nu ook van het grote publiek een legitiem belang vereist indien zij het UBO-register wensen te raadplegen voor vennootschappen. Dit was voordien reeds vereist voor uiteindelijke begunstigden van alle andere juridische structuren.

Concreet kan het grote publiek nu in afwachting van IT-ontwikkelingen om het UBO-register aan te passen aan de nieuwe wettelijke bepalingen, raadplegingsverzoeken sturen per e-mail naar: [email protected]. Belangrijk daarbij is dat wordt toegelicht op welk legitiem belang u zich denkt te beroepen.

Daarnaast kwam de wetgever tegemoet aan de vereisten van gegevensbescherming door enerzijds de verschillende doeleinden van het UBO-register op te nemen in de wet, en anderzijds de categorieën van persoonsgegevens die het UBO-register verwerkt in de wet op te nemen.

Gebruikte juridische bronnen:

Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme, BS 6 oktober 2017;
Koninklijk besluit van 8 februari 2023 tot wijziging van het koninklijk besluit van 30 juli 2018 betreffende de werkingsmodaliteiten van het UBO-register;
HvJ 22 november 2022, nr. C-37/20 , ECLI:EU:C:2022:912;
Handvest van de Grondrechten van de Europese Unie;
Gebruikshandleiding van de toepassing UBO versie “burger”, https://financien.belgium.be/sites/default/files/thesaurie/20220502_Handleiding_Burger_NL.pdf;
Advies van de Gegevensbeschermingsautoriteit nr. 246/2022 van 9 november 2022;
DESMYTTERE, F., “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 6-29.

Gebruikte media bronnen:

VAN MALDEGEM, P., “UBO-register raadpleegbaar door grote publiek onder voorwaarden”, https://www.tijd.be/netto/analyse/belastingen/ubo-register-raadpleegbaar-door-grote-publiek-onder-voorwaarden/10449524.html.
NOS, “Europees Hof: register van bedrijfseigenaren mag niet openbaar voor publiek”,https://nos.nl/artikel/2453449-europees-hof-register-van-bedrijfseigenaren-mag-niet-openbaar-voor-publiek;
Perscommuniqué nr. 188/22 van het Hof van Justitie, https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-11/cp220188nl.pdf;
Nieuwsoverzicht FOD financiën, https://financien.belgium.be/nl/E-services/Ubo-register.

[1] Artikel 73-75 Wet 18 september tot voorkoming van het witwassen van geld en de financiering van terrorisme, BS 2017.

[2] HvJ 22 november 2022, nr. C-37/20 , ECLI:EU:C:2022:912.

[3] Gebruikshandleiding van de toepassing UBO versie “burger”, https://financien.belgium.be/sites/default/files/thesaurie/20220502_Handleiding_Burger_NL.pdf

[4] Nieuwsoverzicht FOD financiën, https://financien.belgium.be/nl/E-services/Ubo-register; F., DESMYTTERE, “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 6-29.

[5] R., GOOSSENS, “Een presentje voor de oliarchen”, https://www.standaard.be/cnt/dmf20221202_98057145 , F., DESMYTTERE, “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 28. (met de nuance voor uiteindelijke begunstigen van (internationale) vzw’s en stichtingen); P., VAN MALDEGEM, “UBO-register raadpleegbaar door grote publiek onder voorwaarden”, https://www.tijd.be/netto/analyse/belastingen/ubo-register-raadpleegbaar-door-grote-publiek-onder-voorwaarden/10449524.html.

[6] Art. 10, §3 UBO-KB.

[7] Advies nr. 246/2022 van 9 november 2022, overweging 35-44.

RECHT OP INZAGE

Als betrokkene waarvan de persoonsgegevens verwerkt worden, hebt u steevast het recht op inzage. Dit recht op inzage is echter niet absoluut. Wij verduidelijken wat dit inhoudt, hoe u dit recht uitoefent en welk gevolg hieraan gegeven moet worden.

Allereerst is de gebruikte terminologie ietwat misleidend aangezien dit de indruk schept dat u werkelijk de verwerking zélf kan inzien, terwijl de werkelijkheid toch genuanceerder is. Het betreft eerder een recht om van de verwerking van uw persoonsgegevens kennis te krijgen. U kan dit recht op ieder moment uitoefenen, ongeacht of u omtrent de verwerking van uw persoonsgegevens werd geïnformeerd bij de aanvang hiervan.

Artikel 15 GDPR verduidelijkt op welke informatie u recht hebt, buiten de concrete persoonsgegevens zelf, bij het uitoefenen van uw recht op inzage:

de verwerkingsdoeleinden;
de betrokken categorieën van persoonsgegevens;
de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
wanneer de persoonsgegevens niet bij de betrokkene zelf worden verzameld, alle beschikbare informatie over de bron van die gegevens;
het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Wanneer er doorgifte gebeurt aan een derde land of internationale organisatie, de passende waarborgen die genomen worden.

U hebt in principe recht op één gratis kopie, voor bijkomende kopieën mag de verwerkingsverantwoordelijke een redelijke vergoeding in verhouding met de administratieve kosten aanrekenen.

Indien u uw verzoek tot inzage doet in elektronische vorm (bv. per e-mail) dan volstaat het voor de verwerkingsverantwoordelijke om u de kopie eveneens in elektronische vorm over te maken, tenzij u uitdrukkelijk anders verzoekt.

Uw recht op inzage is echter niet absoluut. Artikel 15.4 GDPR verduidelijkt dat dit geen afbreuk mag doen aan de rechten en vrijheden van anderen.

Indien u bijvoorbeeld uw recht op inzage uitoefent t.a.v. uw (ex-)werkgever, heeft deze het recht en eigenlijk zelfs de plicht om de evaluatieformulieren te anonimiseren/censureren aangezien de persoonsgegevens van anderen (bv. de evaluator, collega’s) ook beschermd moeten worden onder de AVG. In deze optiek heeft de verwerkingsverantwoordelijke eveneens het recht om een precisering van uw verzoek te vragen. Indien u reeds gedurende lange tijd tewerkgesteld staat, kan het immers disproportioneel zijn en buitensporige last opleggen om alle gegevens over de gehele periode te moeten anonimiseren/censureren en kopie van maken om gevolg te geven aan uw verzoek. Er moet in dit verband steeds een concrete afweging gemaakt worden.[1]

In het recente arrest van het Hof van Justitie van 4 mei 2023 verduidelijkte het Hof dat het recht van inzage zeer ruim kan gaan in die zin dat ook kopie van de achterliggende documenten of uittreksels verstrekt moet worden, nooit mogen echter de rechten en vrijheden van anderen hierbij uit het oog verloren worden:

“het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.”[2]

Uw verzoek zelf is niet aan enige vormvoorwaarden onderworpen. Met het licht op efficiënte behandeling hiervan, doet u er wel goed aan zichzelf reeds duidelijk te identificeren aangezien iedere verwerkingsverantwoordelijkheid uiteraard de plicht heeft over te gaan tot identificatie alvorens enige informatie te verschaffen.

Vervolgens heeft de Verwerkingsverantwoordelijke in principe één maand de tijd om gevolg te geven aan uw verzoek. Binnen deze periode moet hij ofwel de gegevens verschaffen ofwel u meedelen om welke reden hij meent dit niet te moeten/kunnen doen en u informeren omtrent uw mogelijkheid om klacht in te dienen bij de toezichthoudende autoriteit (GBA) en mogelijkheid tot navolgend beroep bij de rechter (Marktenhof). De termijn kan wél verlengd worden met een bijkomende twee maanden indien de verwerkingsverantwoordelijke u hiervan verwittigd voor het verstrijken van de oorspronkelijke termijn.

Indien u nog vragen hebt over (de uitoefening van) uw recht op inzage kan u ons steeds contacteren per email: [email protected] of telefonisch op het nummer 03/216.70.70.

Juridische bronnen

DE BOT, De toepassing van de Algemene Verordening Gegevensbescherming in de Belgische context. Commentaar op de AVG, de Gegevensbeschermingswet en de Wet Gegevensbeschermingsautoriteit, Wolters Kluwer Belgium, Mechelen, 2020.
DE SMEDT en M. CAPRONI, Praktische gids privacy in de onderneming, Wolterw Kluwer Belgium, Mechelen, 2019.

Rechtspraak

Geschillenkamer GBA 9 februari 2021, RABG 2021/12-13, 1272-1293.
HvJ 4 mei 2023, C-487/21,

[1] Zie bijvoorbeeld Beslissing ten gronde 15/2021 van 9 februari 2021 van de geschillenkamer van de GBA

[2] HvJ 4 mei 2023, C-487/21, nr. 45.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 53/2020 VAN 1 SEPTEMBER 2020

Betreft

Een ex-burgemeester gebruikt gegevens verzameld tijdens zijn mandaat voor het sturen van een e-mail met verkiezingspropaganda voor zijn kandidatuur voor de Provincieraad.

Context

Gebruik e-mail voor verkiezingspropaganda

Rechtsgrond

Artikel 5.1 a) en b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – rechtmatigheid, behoorlijkheid en transparantie & doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking);

Artikel 25 GDPR: (Gegevensbescherming door ontwerp en door standaardinstellingen);

Artikel 32 GDPR: (Beveiliging van de verwerking);

Artikel 33 GDPR: (=Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Feiten

Op 22 mei 2019 verstuurt een ex-burgemeester onderstaand verkiezingsbericht naar een inwoner van een bepaalde gemeente: “beste dames, heren en vrienden, ik ben er trots op als (Xde) kandidaat op de lijst (Y) te staan voor ons arrondissement (lijst van de betrokken gemeenten… ) Sta mij toe om uw stem te vragen. Met een goed resultaat zal ik met onze ploeg van het College en de Provincieraad nog doeltreffender kunnen zijn. Ik wil mijn uiterste best doen om ook onze lokale vertegenwoordigers en hun projecten te steunen.”

De betrokken inwoner is hier absoluut niet mee gediend en vraagt zich luidop af hoe het komt dat hij dergelijke berichten ontvangt op zijn persoonlijk e-mailadres. Dat het bericht werd verstuurd met talrijke ontvangers in kopie, maakt de frustratie des te groter. Na verder onderzoek is aan het licht gekomen dat het e-mailadres van de betrokkene is verzameld naar aanleiding van een verzoek om informatie die de betrokkene in 2014 aan het secretariaat van de ex-burgemeester had verzonden om een openbare netheidskwestie te signaleren. Hierdoor werd zijn e-mailadres opgenomen in de lijst om verkiezingsberichten uit te sturen. Op het moment van de verzending van het bericht was de ex-burgemeester echter geen burgemeester meer.

Aangezien de ex-burgemeester op het moment van het verzamelen van het betreffende e-mailadres (in 2014) de verwerkingsverantwoordelijke was, was het ook zijn verantwoordelijkheid om ervoor te zorgen dat de persoonsgegevens op een passende rechtsgrondslag en in strikte overeenstemming met de in de GDPR vastgestelde beginselen werden verwerkt. Hij is ook verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens niet verder worden verwerkt voor een doel dat onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld en verwerkt (artikel 5.1.f), artikel 6.4, en artikel 32 van de GDPR).

Het finaliteitsbeginsel is een cruciaal beginsel van de gegevensbescherming. Persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor zij zijn verzameld. Het persoonlijk e-mailadres werd in 2014 verzameld omdat de burger destijds een melding deed over een stortplaats waarvoor hij een opkuis vroeg. Nu werd zijn e-mailadres gebruikt voor verkiezingsdoeleinden. Het hoeft dan ook geen betoog dat er geen verband is tussen de twee verwerkingsdoeleinden. Iets wat de GBA dan ook terecht opmerkte.

Sterker nog, de GBA is van mening dat het hergebruik door een ex-burgemeester van persoonsgegevens die in de loop van zijn ambtstermijn zijn verzameld voor onverenigbare doeleinden, de grondslagen van de democratie en de gelijkheid tussen de kandidaten ondermijnen. Een terechte visie van de GBA volgens ons.

Wat betreft de ongewenste verspreiding van het e-mailadres aan derde personen, geeft de ex-burgemeester toe een behandelingsfout te hebben begaan. Ongeacht of er al dan niet sprake is van een behandelingsfout, blijft er op dit vlak een schending bestaan van artikel 32.1. en 32.4. van de GDPR. Weliswaar accepteert de Geschillenkamer het niet-opzettelijk karakter van de inbreuk als een verzachtende omstandigheid.

Ook artikel 33 van de GDPR werd geschonden nu de kandidaat-burgemeester deze inbreuk niet binnen de termijn van 72 uur heeft gemeld aan de toezichthoudende overheid.

De Geschillenkamer heeft al eerder te maken gekregen met klachten in verband met de onrechtmatige gegevensverwerking voor verkiezingsdoeleinden.[1] Toen werd er in de meerderheid van de gevallen een administratieve boete opgelegd.

De GBA tilt zwaar aan het feit dat de kandidaat-burgemeester op het tijdstip van het verzamelen van de gegevens burgemeester en parlementslid was. Gezien zijn rol in het openbare leven, zou van hem verwacht mogen worden dat hij er zorgvuldig op toeziet dat de verzamelde gegevens niet ten persoonlijke titel worden hergebruikt, en dat hij een verkiezingscampagne voert met inachtneming van alle toepasselijke regels (inclusief de regels inzake gegevensbescherming). Elke overheidsmandataris heeft immers een voorbeeldfunctie inzake het naleven van de wetgeving.

Uitspraak

De schendingen van artikel 5.1. b) (onverenigbare verdere verwerking), artikel 5.1. a) (rechtmatigheid) en artikel 6.1 van de GDPR (onrechtmatige verwerking) die in deze beslissing worden vastgesteld, vormen een schending van de fundamentele beginselen van gegevensbescherming. In feite zijn dit inbreuken waarvoor de maximum boetes het hoogst zijn. De Geschillenkamer legt dan ook een administratieve boete op van € 5.000,00.

Onze mening

Het finaliteitsbeginsel is een van de belangrijkste beginselen uit de GDPR. Het is dan ook zeer belangrijk dat dit basisbeginsel wordt nageleefd. In de eerste gepubliceerde beslissing (over verkiezingen) was de Geschillenkamer nog mild gelet op de toen nog nieuwe GDPR-wetgeving. In latere beslissingen waarbij gegevens onrechtmatig werden verwerkt voor verkiezingsdoeleinden, werd wel steevast een boete opgelegd. Dat is ook in deze zaak het geval. Er wordt terecht strenger opgetreden. Ook het feit dat de betrokkene een openbare functie uitoefende op het ogenblik van de gegevensverwerking, is een verzwarende omstandigheid.

Net zoals eerdere beslissingen wordt geoordeeld dat een openbaar ambtenaar extra voorzichtig dient omgegaan met het verwerken van persoonsgegevens. Hieromtrent citeerde de Gegevensbeschermingsautoriteit het Europees Comité voor gegevensbescherming als volgt:

“de naleving van de regels inzake gegevensbescherming, ook in het kader van verkiezingsactiviteiten en -campagnes, is essentieel voor de bescherming van de democratie. Het is ook een middel om het vertrouwen van de burgers en de integriteit van de verkiezingen te behouden.”

Deze uitspraak is in lijn met de eerdere uitspraken waarin persoonsgegevens misbruikt werden voor verkiezingsdoeleinden. De GBA blijft op dit vlak onverbiddelijk.

Vernietiging door arrest Marktenhof van 27 januari 2021

Nadat de ex-burgemeester in hoger beroep is gegaan bij het Marktenhof van het hof van beroep te Brussel besluit het Marktenhof tot de vernietiging van de beslissing van de GBA en beveelt de opschorting van de beslissing.

Het Marktenhof oordeelt immers dat de sanctie bestaande uit de administratieve geldboete van € 5.000 disproportioneel is.

Het Marktenhof gaat helemaal niet akkoord met de verantwoording van de geschillenkamer dat een basisbeginsel geschonden zou zijn en dat dit zou bijdragen aan de verantwoording van de proportionaliteitseis. Iedere zaak moet in concreto beoordeeld worden en het Marktenhof wijst erop dat elementen uit eerdere beslissingen/zaken geen invloed mogen hebben op deze concrete beoordeling. De boete van € 5.000 wordt dan ook te vanzelfsprekend opgelegd volgens het Marktenhof, wat een disproportioneel karakter heeft.

Bovendien kan het eventuele niet-naleven van de formele schriftelijke procedure door de ex-burgemeester onder geen beding een verzwarende omstandigheid uitmaken.

Tot slot hecht het Marktenhof belang aan het feit dat duidelijk blijkt dat de ex-burgemeester op geen enkel ogenblik de intentie heeft getoond om de principes van gegevensbescherming te schenden, maar dat de schending een gevolg is van nalatigheid of onachtzaamheid, welke situatie onmiddellijk werd rechtgezet en waarvoor de ex-burgmeester zijn excuses aanbood.

Het Marktenhof stelt zich dan ook uitdrukkelijk de vraag of een berisping niet kon volstaan. De geschillenkamer zou nagelaten hebben om het vermoeden van goede trouw in acht te nemen.

Onze mening

Het Marktenhof ziet streng toe op de motivering en beoordeling door de Geschillenkamer van haar beslissing.

Hoewel uiteraard iedere zaak inderdaad concreet behandeld moet worden en alle elementen in overweging genomen dienen te worden, zijn wij van oordeel dat het Marktenhof dan weer onterecht geen aandacht spendeert aan het feit dat een ex-burgemeester en huidig parlementslid een voorbeeldfunctie heeft en in dat licht het opportunistische gebruik van gegevens waartoe hij toegang uit zijn voorbeeldfunctie o.i. toch aanleiding dient te geven tot het opleggen van een boete.

Beslissing en arrest

Beslissing 53/2020

Arrest marktenhof 27 januari 2021

[1] Beslissing 11-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-11-2019-van-25-november-2019/) ; Beslissing 10-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-10-2019-van-25-november-2019/); Beslissing 04/2019 van 28 mei 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-04-2019-van-28-mei-2019/); en beslissing 30/2020 van 8 juni 2020 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-30-2020-van-8-juni-2020/).

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 63/2020 VAN 22 SEPTEMBER 2020

Betreft

Een klacht werd ingesteld tegen Google wegens de weigering om tot verwijdering/wissing van bepaalde links over te gaan. De klacht werd in de loop van de procedure echter ingetrokken door de klager…

Context

Recht op gegevenswissing , recht op vergetelheid

Implicaties van een afstand van klacht voor de bevoegdheid van de GBA

Rechtsgrond

Artikel 12.4 GDPR: “Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.”

Artikel 17 GDPR: “1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

d) de persoonsgegevens zijn onrechtmatig verwerkt;

e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

a) voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b) voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c) om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;

d) met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.”

Feiten

Een persoon richt zich tot de Gegevensbeschermingsautoriteit omdat Google zou weigeren om de URL’s die verschijnen op “Google.be” en “Google.com” in de resultaten na een zoekopdracht op naam van de persoon te verwijderen. Nog voor er een zitting kan plaatsvinden, laat de persoon weten dat hij afstand wenst te doen van zijn klacht aangezien de URL’s waren verwijderd. Beide partijen geven aan de zaak niet verder te willen zetten.

Desondanks beslist de Geschillenkamer het onderzoek van de klacht voort te zetten. De Geschillenkamer stelt namelijk, net zoals in haar beslissing nr. 17/2020, dat eenmaal zij is gevat, zij bevoegd is om in volledige onafhankelijkheid de naleving van de GDPR te onderzoeken en te waken over de effectieve toepassing ervan, en dit ongeacht de intrekking van de klacht door de klager of het zonder voorwerp worden ervan. Het beslechten van geschillen is maar een van de taken van de Geschillenkamer. Zij moet meer in het algemeen toezicht houden op de naleving van de regels inzake gegevensbescherming.

Omwille van gebrek aan feitelijke elementen in deze zaak, beide partijen hadden na melding van afstand van de klacht namelijk geen verdere conclusies of documenten neergelegd, is het de Geschillenkamer niet mogelijk om verdere vaststellingen te doen omtrent een eventuele inbreuk op de GDPR en seponeerde zij alsnog de klacht.

Uitspraak

De voorliggende klacht wordt geseponeerd bij gebrek aan feitelijke elementen.

Onze mening

Onverminderd het feit dat partijen afstand hebben gedaan van de klacht, verklaart de Geschillenkamer van de Gegevensbeschermingsautoriteit zich nadat zij gevat is bevoegd om in onafhankelijkheid het onderzoek naar inbreuken verder zetten. Dit is logisch aangezien indien zij niet meer bevoegd zou zijn na dergelijke afstand van klacht, verwerkingsverantwoordelijken zouden kunnen volstaan met slechts gevolg te geven aan de verzoeken tot uitoefening van de rechten van de betrokkenen tijdens de procedure zelf. Iets wat de bescherming van persoonsgegevens niet ten goede zou komen en alleszins niet de bedoeling van de GDPR-beginselen is.

Definitief?

Beslissing

Beslissing 63/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE 35/2020 VAN 30 JUNI 2020

Betreft:

Teneinde een toegangsverbod ten uitvoer te brengen werd door een griffier van de Sportrechtbank een screenshot van de profielfoto van de Klager, na bewerking, overgemaakt de sportcommissarissen van een event, alsook in CC aan de organiserende instelling.

Context:

Hergebruik van een profielfoto beschikbaar op facebook en GDPR door de Sportrechtbank m.h.o.o. de uitvoering en handhaving van een opgelegd toegangsverbod

Rechtsgrond:

Artikel 4. 7) GDPR: Voor de toepassing van deze verordening wordt verstaan onder:
[…]
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen
voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Artikel 6. 1) AVG:

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[…]

f) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Feiten:

Een screenshot van een op facebook beschikbare foto werd verspreid via e-mail gericht aan derden, waaronder vrijwilligers en medewerkers van verweerster zonder dat de persoon in kwestie hiervoor zijn toestemming zou gegeven hebben.

De welbepaalde foto werd van facebook gehaald nadat de Sportrechtbank een aanwezigheidsverbod had opgelegd aan Klager.

In gevolge een vonnis van de Sportrechtbank werd klager veroordeeld tot “een algemeen verbod om aanwezig te zijn op trainingen, kampioenschappen of enige andere wedstrijd van om het even welke aard, georganiseerd onder de sportieve autoriteit van Y, dit voor een periode van 1 jaar. Dit verbod strekt zich uit tot elke plaats waar de competitie zich afspeelt, […]”.

Eerste verweerder is werknemer (griffier) van tweede verweerder, de Sportrechtbank.

Om het aanwezigheidsverbod te kunnen handhaven werd in opdracht van de Sportrechtbank door de griffier een e-mail met de profielfoto van klager in bijlage uitgestuurd aan de sportcommissarissen van een welbepaald nakend event, alsook in cc aan de organiserende instelling.

Vooraleer deze profielfoto werd verspreid, werd deze ook bewerkt. De tweede persoon die op de foto te zien was, werd onzichtbaar gemaakt zodat enkel klager nog zichtbaar was.

De Geschillenkamer stelt vast dat de eerste verweerder het doel en de middelen voor de uitvoering van het vonnis van de Sportrechtbank heeft bepaald doordat de e-mail met foto in bijlage in haar naam en opdracht werd verzonden door de tweede verweerder die louter optrad in zijn functie van werknemer van de eerste verweerder.

De eerste verweerder, de werkgever wordt dus aangemerkt als verwerkingsverantwoordelijke in de zin van art. 4.7) GDPR.

Vervolgens is de geschillenkamer van oordeel dat er weldegelijk sprake is van een verwerking in de zin van artikel 4. 2) GDPR, gezien de foto op geautomatiseerde wijze aan de hand van bepaalde technologieën werd geraadpleegd om vervolgens te worden gebruikt en doorgezonden aan derden.

De Geschillenkamer oordeelt vervolgens dat verweerders zich terecht op art. 6.1 f) GDPR beroepen als grondslag voor de verwerking. Ten eerste stelt ze dat het feit dat een foto vrij toegankelijk werd gemaakt door de betrokkene zelf, geenszins het vrije hergebruik toelaat van de foto door derden die deze raadplegen. De Geschillenkamer benadrukt hiermee het principe dat het feit dat iemands profielfoto vrij toegankelijk is voor het publiek, niet betekent dat anderen deze vrij mogen gebruiken. Het gebruik is slechts mogelijk in geval van de aanwezigheid van een rechtsgrond zoals in casu art. 6.1 f) GDPR.

Op grond van rechtspraak van het Hof van Justitie dient aan drie cumulatieve voorwaarden voldaan te zijn opdat een verwerkingsverantwoordelijke zich rechtsgeldig kan beroepen op deze rechtmatigheidsgrond:

De belangen die de verwerkingsverantwoordelijke met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (= de “doeltoets”);
De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (= de noodzakelijkheidstoets”); en
De afweging van deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen doorweegt in het voordeel van de verwerkingsverantwoordelijke (= de “afwegingstoets”).

Volgens de Geschillenkamer is aan de doeltoets voldaan omdat het belang dat de verweerder als verwerkingsverantwoordelijke nastreefde overeenkomstig overweging 47 GDPR als een gerechtvaardigd belang kan worden beschouwd. Het doeleinde dat erin bestaat uitvoering te geven aan het vonnis van de Sportrechtbank kan worden aangemerkt met oog op een gerechtvaardigd belang.

Ook de aan de noodzakelijkheidstoets is voldaan. Allereerst omwille van het feit dat door de foto te bewerken op zo een manier dat de andere persoon die op de profielfoto stond niet meer zichtbaar was, het beginsel van minimale gegevensverwerking werd gerespecteerd. Daarnaast stelt de Geschillenkamer vast dat de foto van de klager noodzakelijk was voor zijn identificatie om het aanwezigheidsverbod te kunnen handhaven. De wijze waarop de foto ter beschikking werd gesteld, hetzij via bijlage bij de betreffende e-mail, hetzij door rechtstreekse raadpleging via de Facebook pagina van klager, acht de Geschillenkamer irrelevant. Daardoor is ook op dit punt het beginsel van minimale gegevensverwerking gerespecteerd.

Ten slotte is volgens de Geschillenkamer ook voldaan aan de afwegingstoets tussen de belangen van de verwerkingsverantwoordelijke enerzijds en de fundamentele vrijheden en grondrechten van betrokkene anderzijds. De vraag die hiervoor dient gesteld te worden is: “mocht betrokkene op het tijdstip en in het kader van de verzameling van persoonsgegevens redelijkerwijze verwachten dat verwerking met dat doel kan plaatsvinden?”. Doordat de klager zelf de foto heeft gepubliceerd op zodanige wijze dat deze vrij toegankelijk is voor eenieder, is de Geschillenkamer van oordeel dat het binnen de redelijke verwachtingen van de klager valt dat derden zich toegang verschaffen tot de publiek gedeelde informatie en deze gebruiker. Doordat de Sportrechtbank naast het aanwezigheidsverbod ook stipuleert dat de griffier van het secretariaat van verweerder 1 wordt verzocht om dit verbod ter kennis te brengen van alle organisatoren van wedstrijden op Belgisch grondgebied, stelt de Geschillenkamer dat verweerders zich terecht beroepen op art. 6.1 f) GDPR.

Uitspraak:

Op basis van deze redenen en de informatie die de Geschillenkamer ter beschikking had, werd besloten de voorliggende klacht te seponeren.

Onze mening:

Doordat verweerders het beginsel van minimale gegevensverwerking hebben gerespecteerd door de foto op zo een manier te bewerken dat de andere persoon niet meer zichtbaar was én dat het vonnis van de Sportrechtbank verzocht aan de griffier van het secretariaat van verweerder om het aanwezigheidsverbod ter kennis te stellen van alle organisatoren van wedstrijden op Belgisch grondgebied, werden ook volgens ons voldoende maatregelen genomen om te stellen dat er geen schending heeft plaatsgevonden van de GDPR regelgeving.

Deze klacht werd terecht geseponeerd.

Definitief?

Ja.

Beslissing

Beslissing 35/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 64/2020 VAN 29 SEPTEMBER 2020

Betreft

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten (FAGG). In veel landen bestaat een gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren. Deze blokkering zou dan moeten gebeuren nadat ze daarvan vooraf zijn verwittigd en nadat ze een automatisch bericht hebben ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?

Beslissing

Beslissing 64/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 34/2020 VAN 23 JUNI 2020

Betreft

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen, zodat deze ondernemingen op basis van die gegevens een gepersonaliseerd prijsaanbod kunnen opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt door elk van de hierboven geïdentificeerde verwerkingsverantwoordelijken op grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de veiligheid, en het verbeteren van de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de Geschillenkamer van oordeel dat de dienst aangeboden door verzekeraars, waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan worden ondergebracht onder deze doeleinden van algemeen belang van het KB KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De Geschillenkamer stelt vast op basis van de overgemaakte stukken dat de door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit de bij de conclusie van antwoord gevoegde bewijsstukken betreffende de opleiding tot “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In zijn verslag stelt de Inspectiedienst ten eerste dat de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten tweede stelt de Inspectiedienst dat de FOD Mobiliteit en Vervoer geen kopie voorlegde van de documenten die de keuze voor de heer Y als DPO verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft de vaststellingen betreffende de naleving van de transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten tweede dient te worden vastgesteld dat de privacyverklaring niet op voldoende gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens worden verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten vijfde stelt de Geschillenkamer vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer geen limitatieve lijst bevat van de (categorieën van) ontvangers van de door hem verzamelde persoonsgegevens zoals vereist door artikelen 13.1. en 14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?

Beslissing

Beslissing 34/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 33/2020 VAN 19 JUNI 2020

Betreft

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?

Waar hebben jullie mijn gegevens vandaan?

Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?

Beslissing

Beslissing 33/2020

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.

Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen

Rechtsgrond

Artikel 5.1.b) GDPR:

“1. Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”

Artikel 24.1 en 2 GDPR:

“1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”

Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.

Uitspraak

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.

Onze mening

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.

Definitief?

Integrale beslissing:

Beslissing 02/2019

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.

Context

Gemeenteraadsverkiezingen

Rechtsgrond

Artikel 5.1.b) GDPR:

“1. Persoonsgegevens moeten:

Artikel 6.4 GDPR:

a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”

Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.

Uitspraak

De Geschillenkamer besluit de burgemeester een berisping op te leggen.

Onze mening

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.

Definitieve beslissing?

Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact

afspraak maken upload

error: Helaas, deze content is beschermd!