Tag: GDPR

Getuigen van Jehova werden in Finland op hun vingers getikt voor de verwerking van persoonsgegevens bij hun deur-tot-deur prediken, wat resulteerde in een procedureslag. Het Europees Hof voor de Rechten van de Mens oordeelde in haar beslissing dd. 09.05.2023 uiteindelijk over de afweging tussen het recht op godsdienstvrijheid en het recht op privacy, meer bepaald databescherming.

Feiten en voorgaanden

De “Data Protection Ombudsman” (hierna: “de Ombudsman”), de Finse toezichthouder op het vlak van gegevensbescherming, onderzocht reeds in 2000 het prediken van deur tot deur van de Getuigen van Jehova en uitte haar bezorgdheid omtrent de verwerking van persoonsgegevens die hierbij plaatsvond en adviseerde dat dit enkel kon met de toestemming van de betrokkenen.

De Getuigen van Jehova namen immers notities bij deze praktijk en dit zou wel eens als een bestand van persoonsgegevens beschouwd kunnen worden. Na bevraging in dit kader bevestigde de gemeenschap van Getuigen van Jehova dat lokale congregaties een handmatig archiefsysteem hanteerden met de namen en adressen van personen die wensten niet bezocht te worden door Getuigen van Jehova. Volgens de gemeenschap gebeurde dit  op basis van de bewuste en vrijwillige toestemming tot verwerking van hun persoonsgegevens door het loutere feit dat ze vroegen niet bezocht te worden en dat de lokale congregaties hier geen gevolg aan konden geven zonder de naam en het adres te verzamelen. Volgens de gemeenschap zouden de individuele leden niet onder enige verplichting staan om de gegevens bij te houden. Deze gegevens zouden niet gezien worden door, in bezit komen van of bewaard worden door de gemeenschap of lokale congregaties en zouden in principe uiteindelijk door het individuele lid verwijderd worden.

De gemeenschap of de lokale congregaties zouden geen lijsten, indexen of folders bijhouden van geïnteresseerden. De congregatie handelt enkel als een informeel mailingssysteem waarbij een oudere van de congregatie persoonlijke notities van een individu doorstuurden naar een andere individuele Getuige van Jehova. Noch de oudere, noch de gemeenschap zouden kopieën bewaren of de persoonsgegevens op enige wijze gebruiken.

Aangezien dit niet door de beugel kon volgens de Ombudsman, diende deze een verzoek in bij haar Data Protection Board om de gemeenschap te verbieden persoonsgegevens te verzamelen en op andere wijze te gebruiken in het kader van haar deur-tot-deur prediken, zonder de toestemming van de betrokkenen.

De Data Protection Board legde de gemeenschap het verbod op tot verzamelen en verwerken van persoonsgegevens in verband met het deur-tot-deur prediken indien er geen ondubbelzinnig akkoord van de betrokkene bekomen is. Binnen een periode van 6 maanden moest de gemeenschap dit in orde brengen.

Bij het noteren van namen, adressen en andere persoonlijke gegevens – zij het als geheugensteuntje bij het opnieuw bezoeken van geïnteresseerden volgens de gemeenschap – worden wel degelijk persoonsgegevens, die kunnen worden teruggevonden, verzameld. Wanneer de betrokkene zijn religieuze gezindheid of gezondheidstoestand wordt genoteerd, wordt er zelfs gevoelige data verzameld. De Data Protection Board oordeelde dat zowel de gemeenschap als de leden verwerkingsverantwoordelijken zijn in dit verband.

De gemeenschap en twee individuele Getuigen van Jehova gingen hiertegen in beroep bij het “Administrative Court” van Helsinki. Ze verzochten om de beslissing te wijzigen zodat noch de gemeenschap, noch de individuele leden als verwerkingsverantwoordelijken bestempeld worden. De private notities in het kader van het deur-tot deur prediken zouden kaderen in louter persoonlijke doeleinden voor vergelijkbare gewoonlijke en private doeleinden. Er werd ook een mondelinge hoorzitting verzocht. Dit laatste werd geweigerd.

Het Adminstrative Court oordeelde eveneens dat de verzameling van persoonsgegevens in dit kader niet gezien kon worden als uitgevoerd ten louter persoonlijke doeleinden, maar dat dit kaderde binnen de activiteiten van de gemeenschap en de manifestatie van haar geloof en dat van haar individuele leden. De expliciete toestemming van de betrokkenen is dan ook noodzakelijk voor de verzameling en verwerking van hun persoonsgegevens. Er werd evenwel  geoordeeld dat de gemeenschap niet als verwerkingsverantwoordelijke gezien kon worden aangezien ze enkel instructies in verband met de verwerking van persoonsgegevens had gegeven. Het werd namelijk niet aangetoond dat de persoonsgegevens in een dossier voor de gemeenschap werd bijgehouden waarover deze enige bevoegdheid zou uitoefenen.

De Ombudsman ging hierop in beroep bij het “Supreme Adminstrative Court”.

Het Supreme Administrative Court verzocht een prejudiciële beslissing van het Hof van Justitie van de Europese Unie met betrekking tot de kwestie of de gemeenschap als verwerkingsverantwoordelijke beschouwd moet worden. Hierbij werd verwezen naar het feit dat de gemeenschap en haar lokale congregaties territorium kaarten bijhield met als doel de territoria te verdelen tussen de leden die deelnemen aan het deur-tot-deur prediken, alsook een “prohibition register” waarin werd opgenomen welke personen verzocht hadden niet bezocht te worden.

In haar arrest stelde het Hof van Justitie allereerst dat de activiteiten van de gemeenschap en haar leden bij het deur-tot-deur prediken door haar eigen aard, bedoeld is om het geloof van de gemeenschap van de Getuigen van Jehova te verspreiden en dus naar buiten toe, weg van de private sfeer van de persoon die de persoonsgegevens verwerkt in dat kader.

Het Hof van Justitie stelde daarnaast vast dat de gemeenschap van Getuigen van Jehova wel degelijk als gezamenlijke verwerkingsverantwoordelijke met haar leden beschouwd moet worden aangezien zij het doel en de middelen van het deur-tot-deur prediken en dus ook minstens indirect van de gegevensverwerking in dit kader bepaalde door het organiseren, coördineren en aanmoedigen van het prediken en de dataverzameling in dat verband.

Het Supreme Administrative Court vernietigde hierop de beslissing van de Administrative Court in zover dat deze laatste de beslissing van de Board vernietigde. Het verzoek tot een mondelinge hoorzitting werd hierbij eveneens afgewezen aangezien de schriftelijke verklaringen van de getuigen ervoor zorgde dat het Hof voldoende geïnformeerd dit kon beoordelen en een hoorzitting niet noodzakelijk was.

Het arrest van het Europees Hof voor de Rechten van de Mens

Op 10 juni 2019 werd door de gemeenschap van Getuigen van Jehova de zaak voor het Europees Hof voor de Rechten van de Mens (hierna: “EHRM”) gebracht. Er werd door hen een schending aangevoerd van zowel artikel 6 als artikel 9 van het Europees Verdrag voor de Rechten van de Mens (hierna: “EVRM”).

Artikel 6 EVRM – Recht op een eerlijk proces

De gemeenschap voerde aan dat haar recht op een eerlijk proces geschonden werd door het gebrek aan mondelinge hoorzittingen in de nationale procedures.

Artikel 6 § 1 EVRM bepaalt in dat verband als volgt:

“1. Bij het vaststellen van zijn burgerlijke rechten en verplichtingen of bij het bepalen van de gegrondheid van een tegen hem ingestelde vervolging heeft een ieder recht op een eerlijke en openbare behandeling van zijn zaak, binnen een redelijke termijn, door een onafhankelijk en onpartijdig gerecht dat bij de wet is ingesteld. (…)”

Er werd geen enkele mondelinge hoorzitting gehouden in de nationale procedures. Het dient wel opgemerkt te worden dat hierom enkel verzocht werd door de Gemeenschap in de administratieve procedures.

Door het EHRM wordt opgemerkt dat in de procedure voor het Administrative Court de Gemeenschap niet gespecifieerd had welk bewijs zij wenste te voor te leggen op de gevraagde mondelinge hoorzitting. Dit is vereist door artikel 38 (3) van de toepasselijke Administrative Judicial Procedure Act. Daarnaast werd eveneens niet verduidelijkt waarom het noodzakelijk zou zijn om dat bewijs in een hoorzitting en niet schriftelijk voor te leggen.

Het EHRM kan zich vinden in de beoordeling van de Administrative Court waarbij zij ten eerste geen nood zagen voor een hoorzitting voor de klachten van de individuele leden die afgewezen worden zonder onderzoek ten gronde en ten tweede, bij de zaken die wel ten gronde werden beoordeeld, de hoorzitting manifest onnodig was in het licht van de uitkomst van de zaak, welk in het voordeel van de Gemeenschap was.

Wat betreft de procedure voor het Supreme Administrative Court wordt het relevant geacht dat de Gemeenschap niet in haar eerste procedurestukken verzocht om de mondelinge hoorzitting, maar slechts in de laatste ronde na de prejudiciële beslissing van het Hof van Justitie. De Gemeenschap vond dat de relevante feitelijke problemen met betrekking tot de aard van het deur-tot-deur prediken, het concept van archiefsysteem en de deelname in de verwerken van de persoonsgegevens niet beantwoord zou zijn geweest door de prejudiciële beslissing. Hierbij werd de schriftelijke getuigenverklaring van 24 getuigen van Jehova gevoegd, welke zij wensten gehoord te zien in de hoorzitting.

Het horen van de getuigen werd niet noodzakelijk bevonden en de schriftelijke verklaringen werden in de beslissing in overweging genomen.

Verder benadrukt het EHRM dat de afwezigheid voor een tweede of derde aanleg-rechtscollege beoordeeld moet worden in het licht van de gehele procedures. De praktijk van verzamelen en verwerken van persoonsgegevens door individuele Getuigen van Jehova was het onderwerp van debat op nationaal niveau voor vele jaren en de Gemeenschap heeft dan ook gebruik gemaakt van de mogelijkheid om bewijs en argumenten aan te voeren met betrekking tot alle feitelijke en juridische punten. Het EHRM is dan ook overtuigd dat er geen beslissende feiten zijn die enkel in een hoorzitting naar voren gebracht konden worden, waarover nog discussie bestond. Daarnaast noodzaakten de juridische problemen aan de kern van de procedures geen mondelinge hoorzitting.

Het EHRM besluit dat er geen schending is van artikel 6 van het EVRM omwille van het ontbreken van een mondelinge hoorzitting in de nationale procedures.

Artikel 9 EVRM – Vrijheid van gedachte, geweten en godsdienst ↔ Artikel 8 EVRM –Recht op eerbiediging van privé-, familie- en gezinsleven

De kern van de hele kwestie bevindt zich op de balans tussen enerzijds de vrijheid van godsdienst (artikel 9 EVRM) en anderzijds het recht op eerbiediging van privéleven (recht op Privacy – artikel 8 EVRM).

Artikel 9 EVRM:

“1. Een ieder heeft recht op vrijheid van gedachte, geweten en godsdienst; dit recht omvat tevens de vrijheid om van godsdienst of overtuiging te veranderen, alsmede de vrijheid hetzij alleen, hetzij met anderen, zowel in het openbaar als privé zijn godsdienst te belijden of overtuiging tot uitdrukking te brengen in erediensten, in onderricht, in practische toepassing ervan en in het onderhouden van geboden en voorschriften.

2. De vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen kan aan geen andere beperkingen worden onderworpen dan die die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

In rechtspraak van het EVRM werd reeds bevestigd dat dit behoort tot een van de fundamenten van een democratische samenleving. Het behoort tot een van de meest cruciale elementen die bijdragen tot het vormen van de identiteit van gelovigen en hun levensopvatting, alsook is het zeer belangrijk voor de atheïsten, agnosten, sceptici en de onbekommerde. De vrijheid om al dan niet een religieuze overtuiging te hebben en al dan niet een godsdienst te belijden wordt beschermd door artikel 9 EVRM. Meer bepaald is het verspreiden van informatie over een bepaalde geloofsovertuiging aan anderen die deze geloofsovertuiging niet hebben, ook bekend als missionariswerk, beschermd.

Artikel 8 EVRM:

“1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

 

Het concept privéleven is zeer breed. Rechtspraak van het EHRM heeft duidelijk gemaakt dat het recht om privé te leven, weg van ongewenste aandacht wordt hieronder wordt geplaatst. Het werd eveneens reeds bevestigd en herhaald in dit arrest, dat het recht tot bescherming van persoonsgegevens door artikel 8 wordt gewaarborgd. Dit laatste is van fundamenteel belang voor een individu zijn genot van het recht tot eerbiediging van privé-en familieleven zoals vervat in artikel 8 EVRM.

Concrete afweging in deze zaak

Artikel 9 §2 EVRM laat ruimte voor een inmenging indien dit voorgeschreven is per wet, voor een legitiem doel en noodzakelijk is in een democratische samenleving.

Teneinde te oordelen of er aan schending van artikel 9 EVRM plaatsvond door het verbod dat door de Data Protection Board werd opgelegd om persoonsgegevens zonder expliciete toestemming te verwerken, beoordeelde het Hof achtereenvolgend:

  1. Het bestaan van een inmenging;
  2. Of de inmenging voorgeschreven is bij wet;
  3. Een legitiem doel wordt nagestreefd;
  4. De inmenging noodzakelijk in een democratische samenleving is.

Allereerst stelt het EHRM vast dat de toepassing van de vereiste van toestemming voor de verzameling en verwerking van persoonsgegevens en gevoelige gegevens door de Getuigen van Jehova in het kader van het deur-tot-deur prediken een inmenging uitmaakt van het recht op privéleven van de Gemeenschap.

Vervolgens staat het vast dat de inmenging een wettelijke basis had in de Personal Data Act.

Het legitiem doel bestaat uit het beschermen van de rechten en vrijheden van andere, betrokkenen in het licht van hun persoonsgegevens in dit geval.

Wat betreft de noodzaak in een democratische samenleving, verduidelijkt het EHRM dat de betrokkenen een redelijke verwachting van privacy hadden en mochten verwachten dat de bepalingen i.v.m. verwerking persoonsgegevens nageleefd werden bij de persoonsgegevens en gevoelige gegevens die verzameld en verwerkt werden bij het van deur-tot-deur prediken. Het vereisen van toestemming door de betrokkene is een gepaste en noodzakelijke waarborg teneinde te voorkomen dat enige communicatie of bekendmaking van persoonlijke en gevoelige gegevens in deze context voorvalt. Het EHRM ziet niet in hoe het vragen en verkrijgen van toestemming  het recht op vrijheid van godsdienst van de Gemeenschap en haar leden zou verhinderen. Enige bewijs van het tegendeel werd niet geleverd.

De nationale rechtbanken hebben dan ook een evenwichtige balans (“fair balance”) gevonden tussen beide rechten en er is geen schending van artikel 9 van het EVRM.

 

 

De Getuigen van Jehova hadden steeds (en zullen dus in de toekomst ook) de bepalingen en principes i.v.m. verwerking van persoonsgegevens moeten naleven en hebben nood aan de duidelijke en expliciete toestemming van de betrokkenen om de verwerking uit te voeren.

Indien u nog vragen heeft kan u steeds het Studio Legale team bereiken via het telefoonnummer 03/216.70.70 of via mail: info@studio-legale.be.

Betreft

Een notaris raadpleegde de gegevens van haar ex-medewerker in het rijksregister voor het verzenden van eco-cheques. Beging zij hierbij een inbreuk?

Context

Raadpleging gegevens rijksregister van ex-medewerker door notaris.


Rechtsgrond

Artikel 5.1.a) en c) GDPR: “1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

(…)

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”

 

Artikel 6 GDPR:

“1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

 


a) Unierecht; of

b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

 

4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

 


a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

 

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. (hierna Rijksregister-wet)

Artikel 100 WOG:

Ҥ 1

De geschillenkamer heeft de bevoegdheid om:

1° een klacht te seponeren;

2° de buitenvervolgingstelling te bevelen;

3° de opschorting van de uitspraak te bevelen;

4° een schikking voor te stellen;

5°  waarschuwingen en berispingen te formuleren;

6° te bevelen dat wordt voldaan aan de verzoeken van de betrokkene om zijn rechten uit te oefenen;

7° te bevelen dat de betrokkene in kennis wordt gesteld van het veiligheidsprobleem;

8° te bevelen dat de verwerking tijdelijk of definitief wordt bevroren, beperkt of verboden;

9° te bevelen dat de verwerking in overeenstemming wordt gebracht;

10° de rechtzetting, de beperking of de verwijdering van gegevens en de kennisgeving ervan aan de ontvangers van de gegevens te bevelen;

11° de intrekking van de erkenning van certificatie-instellingen te bevelen;

12° dwangsommen op te leggen;

13° administratieve geldboeten op te leggen;

14° de opschorting van grensoverschrijdende gegevensstromen naar een andere Staat of een internationale instelling te bevelen;

15° het dossier over te dragen aan het parket van de procureur des Konings te Brussel, die het in kennis stelt van het gevolg dat aan het dossier wordt gegeven;

16° geval per geval te beslissen om haar beslissingen bekend te maken op de website van de Gegevensbeschermingsautoriteit.

 §2

Wanneer na toepassing van § 1, 15°, het openbaar ministerie er van afziet een strafvervolging in te stellen, een minnelijke schikking of een bemiddeling in strafzaken bedoeld in artikel 216ter van het Wetboek van strafvordering voor te stellen, of wanneer het openbaar ministerie geen beslissing heeft genomen binnen een termijn van zes maanden te rekenen van de dag van ontvangst van het dossier, beslist de Gegevensbeschermingsautoriteit of de administratieve procedure moet worden hernomen.”

 

Feiten

De medewerker was in dienst bij de notaris en volgens zijn arbeidscontract alsook het contract i.v.m. de toekenning van ecocheques was hij woonachtig in Wallonië. In tegenstelling tot het contract waarin de maandelijkse bijschrijving van de ecocheques op de ecochequerekening van de medewerker werd opgenomen, werden de ecocheques steeds per post verzonden.

Om de reistijd te beperken verhuisde de medewerker naar Vlaanderen. Hij behield zijn woonplaats in Wallonië.

In 2020 kwam het ontslag van de medewerker, welke in een gespannen sfeer zou hebben plaatsgevonden waarbij alle vertrouwen tussen de notaris en de medewerker zoek was.

Er bleef nog € 56,07 aan ecocheques verschuldigd door de notaris aan de medewerker. Pas na twee herinneringen heeft de notaris deze ecocheques aan de medewerker verzonden na, volgens de eigen verklaring van de notaris, het Rijksregister te hebben geraadpleegd voor het correcte adres.

De medewerker hekelde deze raadpleging van het Rijksregister.

De notaris verklaarde in dit verband dat hij had willen nagaan wat het correcte adres was om de ecocheques naar te verzenden aangezien hij niet zeker was omwille van het feit dat de medewerker een adres in Vlaanderen en Wallonië had.

De Geschillenkamer benadrukt allereerst de omvang van haar eigen bevoegdheid om aan te tonen dat de klacht hierbinnen valt.

De controletaak van de GBA betreft de naleving van de GDPR in haar geheel. Haar bevoegdheid beperkt zich dus niet tot de “fundamentele beginselen van gegevensbescherming”. Evengoed omvat de bevoegdheid van de GBA ook bepalingen met betrekking tot gegevensbescherming vervat in specifieke wetgeving, zoals in casu de Rijksregisterwet alsook bv. de Camerawet zoals reeds in eerdere beslissingen is gebleken.[1]

Het verweer van de notaris dat de GBA onbevoegd is aangezien deze bevoegdheid zich beperkt tot de “fundamentele beginselen  van gegevensbescherming” wordt dan ook door de Geschillenkamer van tafel geveegd.

Daarnaast tracht de notaris te beweren dat de controle i.v.m. de toegang tot het rijksregister een bevoegdheid is van de minister van Binnenlandse Zaken.

De machtiging vervat in artikel 5.1 van de Rijksregisterwet aan de notarissen om toegang te krijgen tot het Rijksregister  wordt inderdaad door de minister van Binnenlandse Zaken uitgereikt.

Het onderzoek of de toegang rechtmatig was, behoort volgens de Geschillenkamer ongetwijfeld tot de bevoegdheid van de GBA. De toezichthoudende bevoegdheid werd namelijk niet bij wet aan de minister van Binnenlandse Zaken toegekend. Een minister voldoet overigens per definitie niet aan de voorwaarden om de taken van een onafhankelijke gegevensbeschermingsautoriteit onder de GDPR uit te oefenen. (artikel 51 GDPR)

Artikel 17 van de Rijksregisterwet verwijst overigens zelf naar de bevoegdheid van de GBA.

De klacht is dus ontvankelijk.

De Geschillenkamer oordeelt dat de raadpleging van het Rijksregister van de medewerker door de notaris niet beperkt werd tot de specifieke uitoefening van het beroep.

Het feit dat de notaris ook via een andere bron (Kruispuntbank van de Sociale Zekerheid) toegang tot de adresgegevens zou hebben gehad, doet hier geen afbreuk aan. Dit kan enkel in acht genomen worden bij de beoordeling van de sanctie.

De notaris heeft het Rijksregister zonder passende rechtsgrondslag geraadpleegd en aldus een gegevensverwerking verricht waarbij hij zich niet kon beroepen op een van de rechtmatigheidsgronden in artikel 6 GDPR. Hij schendt hierdoor artikel 6 als ook artikel 5.1.a) GDPR dat bepaalt dat de verwerking rechtmatig moet zijn.

Volgens de GBA was de raadpleging bovendien niet noodzakelijk aangezien de adressen in de overeenkomsten vervat waren en de notaris steeds de kans had om in reactie op de herinneringen van de medewerker, de vraag naar het correcte adres aan hem te stellen. Hierbij herinnert de Geschillenkamer aan het minimaliseringsbeginsel vervat in artikel 5.1.c) GDPR.

Met betrekking tot de sanctie maakt de Geschillenkamer een uitgebreide overweging van alle concrete omstandigheden:

  • De schending betreft de grondbeginselen van de GDPR waarvoor een hogere maximale boete kan opgelegd worden;
  • De notaris heeft als openbaar ambtenaar en strikt gereglementeerd vrij beroep een voorbeeldfunctie waardoor vereist wordt dat hij een voorbeeldige houding aanneemt m.b.t de naleving van de wet, inclusief regelgeving inzake gegevensbescherming;
  • Het betreft een alleenstaande schending m.b.t. één werknemer in de specifieke en eenmalige context van vertrouwensbreuk. Daarnaast zorgde de covid-19-pandemie en de opkomende lockdown voor bijkomende moeilijkheden voor de verzending. Er is geen enkele reden om aan te nemen dat de schending deel is van een structureel gebrek bij de werking van de notaris;
  • De notaris is van mening dat adresgegevens betrekkelijk onbeduidend zijn en niet bijzonder gevoelig. Hij heeft geen mogelijkheid om bij de raadpleging van het Rijksregister de zoekopdracht enkel hiertoe te beperken;
  • De notaris heeft verschillende maatregelen genomen om aan zijn verplichtingen als verwerkingsverantwoordelijke te voldoen (bv. benoeming DPO, register van verwerkingsactiviteiten, beleid inzake bescherming van persoonsgegevens voor burgers…);

Op basis van al deze elementen volstaat volgens de Geschillenkamer een berisping.

Uitspraak

De geschillenkamer stelt een inbreuk van artikel 6 GDPR juncto artikel 5.1.a) GDPR vast en legt een berisping op als sanctie.

Onze mening

Net zoals we in eerdere beslissingen met betrekking tot burgemeesters en schepenen hebben kunnen vaststellen, blijft de GBA terecht belang echten aan de voorbeeldfunctie van de notaris in haar beoordeling van de inbreuken.

De toegang tot het Rijksregister is een bevoegdheid van de notaris die énkel wordt verstrekt in het kader van de uitoefening van zijn specifieke beroep. De notaris ging in casu deze bevoegdheid te buiten.

De sanctie van berisping lijkt ons gepast gelet op het feit dat blijkt dat dit een eenmalig voorval is waarbij de notaris geleid werd door de vertrouwensbreuk en de moeilijke omstandigheden in het kader van de pandemie en in dit kader zich wou verzekeren van de correcte adressering teneinde geen verder geschil met de voormalige medewerker te bewerkstelligen.

Beslissing

Beslissing 48/2021

 

[1] Zie bv. Beslissing ten gronde nr. 80/2020 (https://studio-legale.com/rechtspraak-gba-beslissing-ten-gronde-nr-80-2020-van-17-december-2020/ ).

Betreft

Een verhuurder reageert niet tijdig, noch volledig op een verzoek tot inzage van een voormalige huurder. De Geschillenkamer laat hier haar licht over schijnen.

Context

Uitoefening recht op inzage door voormalige huurder t.a.v. voormalige verhuurder.

Rechtsgrond

Artikel 12, lid 3 en 4 GDPR:

“3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

 

Artikel 15, lid 1 GDPR:

“1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

a) de verwerkingsdoeleinden;

b) de betrokken categorieën van persoonsgegevens;

c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”

Feiten

De voormalige huurder stelde op 2 december 2019 een verzoek tot inzage in bij zijn voormalige verhuurder. Op 31 december 2019 wordt hij door zijn voormalige verhuurder verwittigd dat hij de antwoordtermijn met twee maanden verlengt.

Dat antwoord bleef uit en op 3 maart 2020 diende de voormalige huurder een klacht in.

De voormalige huisbaas ontkent niet dat het antwoord uitgebleven is. Hij zou advocaten hebben geraadpleegd om een afdoende antwoord voor te bereiden. Omwille van onderbemanning, werd dit blijkbaar vergeten en nooit verzonden.

Op 2 september 2020, in de loop van de procedure, werd een antwoord geboden. Volgens de voormalige huurder is dat antwoord onvolledig. De voormalige huisbaas beweert dat de vragen die onbeantwoord zijn gebleven niet onder het recht op inzage vallen en hij hier dus niet op moest antwoorden.

De Geschillenkamer verduidelijkt dat het recht van inzage uit drie componenten bestaat.

Als eerste heeft de betrokkene het recht om uitsluitstel te krijgen over het al dan niet verwerken van zijn persoonsgegevens door de verwerkingsverantwoordelijke.
Vervolgens, wanneer er een verwerking is, heeft hij het recht om inzage te krijgen van die persoonsgegevens en meer bepaald ook de informatie vermeld in artikel 15 lid 1, a) tot en met h).[1]

Tot slot heeft hij het recht om een kopie van die persoonsgegevens te verkrijgen.

Bij de uitoefening van het recht op inzage kan een verwerkingsverantwoordelijke inderdaad de initiële antwoord termijn van één maand verlengingen met twee maanden indien hij dit meedeelt binnen deze initiële termijn. Echter, indien hij niet van plan is om gevolg hieraan te geven, moet hij dit meedelen binnen de initiële termijn van één maand én de betrokkene informeren over de mogelijkheid om beroep in te stellen bij de GBA.

Het is duidelijk, en wordt niet ontkend, dat de voormalige verhuurder niet binnen de termijn heeft gereageerd. Hij reageerde pas op 2 september 2020 (kort nadat hij door de GBA geïnformeerd was van procedure ten gronde) terwijl het verzoek dateerde van 2 december 2019.

De voormalige huurder voert aan als reden de langdurige afwezigheid van de behandelende werknemer en volhardt wel degelijk voornemens te zijn geweest een antwoord te formuleren.

De Geschillenkamer oordeelt dat dergelijke omstandigheid hem niet ontslaat van zijn verplichtingen en er een schending is van artikel 15, lid 1 en artikel 12, leden 3 en 4 GDPR.

De Geschillenkamer stelt wel rekening te zullen houden met het feit dat aangetoond werd dat er inderdaad door advocaten begonnen werd met het opstellen van een antwoord en dat de voormalige verhuurder intussen organisatorische maatregelen heeft genomen om dergelijk voorval te vermijden naar de toekomst toe.

Drie vragen bleven echter onbeantwoord door de voormalige huisbaas en de voormalige huurder stelt dat dit ook een inbreuk uitmaakt op basis van het recht op inzage.

Het betreft vragen met betrekking tot 1) het bestaan van mogelijke lekken van de gegevens van de voormalige huurder wegens gebrekkige beveiliging, 2) de beveiligingsprotocollen van de voormalige verhuurder en 3) de beveiligings- en organisatorische maatregelen met betrekking tot de verwerking van persoonsgegevens door de werknemers of medecontractanten van de voormalige verhuurder

De Geschillenkamer oordeelt dat deze inderdaad buiten het bereik van het recht op inzage vallen en de voormalige verhuurder niet verplicht was hierop te antwoorden.

In het kader van een datalek dient slechts een melding gemaakt te worden aan een betrokkene wanneer deze “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Niets toont aan dat dit hier het geval zou zijn.

In het verband met de beveiligingsprotocollen en beveiligings- en organisatorische maatregelen stelt de Geschillenkamer vast dat deze niet in de lijst met informatie van artikel 15 zijn opgenomen.

Uitspraak

Een inbreuk op artikel 15, lid1 en artikel 12, leden 3 en 4 GDPR wordt vastgesteld en er wordt slechts een berisping opgelegd.


Onze mening

Terecht wordt een inbreuk vastgesteld door de Geschillenkamer op het recht op inzage gelet op de laattijdigheid van het antwoord door de voormalige huisbaas.

Een berisping kan volstaan gelet op de verzachtende omstandigheid dat wel degelijk de intentie is gebleken om te antwoorden én dat de voormalige huisbaas maatregelen heeft genomen om dit naar de toekomst toe te vermijden.

Beslissing

Beslissing 27/2023

[1] Zie in dit verband ons eerder artikel over het recht op inzage: https://studio-legale.com/recht-op-inzage/

Steeds vaker worden biometrische gegevens gebruikt voor allerhande doeleinden. Denk maar aan het scannen van een vingerafdruk van een werknemer om toegang te kunnen krijgen tot een kantoorgebouw[1] of, verregaander, het scannen van gezichten om op die manier hun aankoopgedrag te monitoren.[2] Uiteraard zijn dit verregaande verwerkingen die niet zomaar mogen worden gedaan onder de GDPR. Daarom lichten wij toe waaraan, volgens de Gegevensbeschermingsautoriteit, voldaan moet zijn om biometrische gegevens op een correcte manier te verwerken.

 

Wat?

In eerste plaats dient vastgesteld te worden wat biometrische gegevens juist zijn. De GDPR definieert het begrip in art. 4.14 als volgt:

Biometrische gegevens: “Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kernmerken van een natuurlijk persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.”

Met het geven van de twee voorbeelden op het einde, geeft de GDPR meteen ook de meest gekende, en begrijpelijke vormen van biometrische gegevens weer, namelijk gezichtsafbeeldingen en vingerafdruk gegevens.

De GDPR deelt de biometrische gegevens in twee categorieën in:

  • Fysieke, of ook wel lichamelijke kenmerken;
  • Gedragsgerelateerde kenmerken

Fysieke kenmerken zijn zeer eenvoudig. Dit zijn namelijk de fysische of fysiologische eigenschappen van een persoon, zoals gezichtsinformatie, irisscans, vingerafdrukken…

Gedragsgerelateerde kenmerken zijn moeilijker te omschrijven. De technologie staat niet stil waardoor dit in de toekomst waarschijnlijk beter uitgewerkt en vaker van toepassing zal zijn.

Een reeds bestaand voorbeeld hiervan is de identificatie aan de hand van het unieke stappatroon van personen.

 

Hoe?

Verwerking

Biometrische gegevens worden in twee verschillende fasen verwerkt, namelijk de inzamelingsfase en de vergelijkingsfase.

De inzamelingsfases bestaan uit twee delen:

  • De eerste inzamelingsfase: hierbij wordt de referentie-informatie (bijvoorbeeld een vingerafdruk) geregistreerd. Deze informatie wordt omgezet in een template. Dit template zorgt ervoor dat in de toekomst verwerkte gegevens geverifieerd kunnen worden ten opzichte van de referentie-informatie.
  • De tweede inzamelingsfase: de gegevens worden verwerkt en vergeleken met de template. Indien deze overeenstemmen oordeelt het systeem dat dit dezelfde persoon is als wie de referentie-informatie verwerkt werd (bijvoorbeeld de vingerafdruk komt overeen met deze in het systeem).

De tweede fase is de vergelijkingsfase. Hierbij wordt  de ingezamelde informatie vergeleken met alle biometrische informatie die beschikbaar is in het systeem. Op deze manier kan de gebruiker geïdentificeerd worden tussen alle geregistreerde personen.

 

Opslag van gegevens

Er zijn drie manieren om biometrische informatie op te slaan:

  • Type 1: Beheer van het template door de betrokkene zelf. De betrokkene bewaart de template waarbij er geen koppeling mogelijk is met andere informaticasystemen. Dit kan bijvoorbeeld een badge zijn om toegang te krijgen tot een gebouw. Dit is de werkwijze die principieel aangewend dient te worden. Er kan slechts zeer uitzonderlijk van afgeweken worden.
  • Type 2: Gedeeld beheer. Er is een centrale template databank die door de verwerkingsverantwoordelijke beheerd wordt zonder dat deze er gebruik van kan maken zonder toestemming van de betrokkene.
  • Type 3: exclusief beheer door de verwerkingsverantwoordelijke. Dit is de meest verregaande optie. Hiervoor dienen dan ook de meest strenge voorwaarden in acht genomen te worden.

Rechtsgrond

Voor het verwerken van biometrische gegevens is het belangrijk dat er, net zoals bij iedere verwerking, een rechtsgrond is op basis waarvan de gegevens verwerk worden.

In de praktijk zal de rechtsgrond meestal de uitdrukkelijk toestemming van de betrokkene zijn. Hierbij is het zeer belangrijk dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig wordt gegeven.

In uitzonderlijke gevallen zal de rechtsgrond het zwaarwegend algemeen belang zijn. Dit dient echter zeer restrictief toegepast te worden. Enkel wanneer het gebruik van biometrische gegevens onvermijdelijk is, zal er hiervan sprake kunnen zijn indien dit bij wet voorzien wordt.

Algemeen

Net zoals bij iedere verwerking zijn ook de volgende algemene zaken belangrijk:

  • Doelbinding;
  • Proportionaliteit;
  • Beveiliging;
  • Opslagbeperking;
  • Transparantieverplichting;

Gegevensbeschermingseffectbeoordeling

In geval er sprake is van een verwerking van biometrische gegevens met oog op de unieke identificatie van personen in een privéruimte  die toegankelijk is voor het publiek of in een openbare ruimte, zal er steeds een gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. Het is dan ook aangeraden, gelet op het inherente risico voor de rechten en vrijheden van de betrokkenen dat komt kijken bij het verwerken van biometrische gegevens om een gegevenseffectenberschermingsbeoordeling uit te voeren omdat het uitlaten hiervan slechts in uitzonderlijke gevallen gerechtvaardigd zal zijn.[3]

 

Besluit

Voor het verwerken van biometrische gegevens zal men dus steeds de beschermingsregels van de GDPR in acht moeten houden.

Indien u na het lezen van dit artikel vragen hebt omtrent de verwerking van biometrische gegevens, of de verwerking van persoonsgegevens in het algemeen, kan u contact opnemen via gdpr@studio-legale.be of op 03 216 70 70.

Gebruikte bronnen

Juridische bronnen:

  • Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
  • Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens;
  • Beslissing 01/2019 van 16 januari 2019 van de Gegevensbeschermingsautoriteit.

Nieuws:

  • CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.

[1] Autoriteit Persoonsgegevens, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers, 30 april 2020, https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers.

[2] X., “Face Recognition in retail”, https://www.raydiant.com/blog/everything-about-facial-recognition-in-retail

[3] Punt 6 van beslissing nr. 01/2019 van de gegevensbeschermingsautoriteit; Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens, 36-37,

https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf

Betreft       

Een koeriersbedrijf bezorgt een pakketje van haar bestemmeling bij de buren zonder toestemming. Mag dat zomaar?

Context      

Levering pakketje bij buren zonder toestemming

Rechtsgrond

Artikel 2.1. GDPR: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

Artikel 95, §1, 3° WOG: “De geschillenkamer beslist over de opvolging die het geeft aan het dossier en is bevoegd:

(…)

3° de klacht te seponeren;”

Feiten en beoordeling

De bestemmeling van een pakketje diende op 7 november 2022 een klacht in bij de GBA tegen de koeriersdienst die het pakketje bij de buren leverde zonder toestemming hiertoe. De buren bezorgde het pakketje aan de bestemmeling.

De bestemmeling baseert de klacht op dat de buren, door de bezorging van het pakketje aan hun adres, kennis hebben kunnen nemen van zijn persoonsgegevens, nl. naam en adres.

De Geschillenkamer beslist over te gaan tot technisch sepot.

De feiten vallen naar oordeel van de Geschillenkamer niet onder het materieel toepassingsgebied van de GDPR zoals vervat in artikel 2.1.

Overwegingen 6 en 7 van de GDPR verduidelijken het kader waaromtrent de invoering van de GDPR noodzakelijk werd geacht:

“(6) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.

 

 

(7) Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.”

Het toepassingsgebied van de GDPR kadert zich dus volgens de Geschillenkamer in het licht hiervan op de verwerking van gegevens in een digitale omgeving.

De levering van het postpakket aan de buren houdt dan ook geen geheel of gedeeltelijk geautomatiseerde verwerking in, noch een verwerking van persoonsgegevens die in bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.

Een behandeling van de klacht is dan ook niet mogelijk.

Uitspraak   

Op grond van Artikel 95, §1, 3° WOG wordt de klacht geseponeerd.

Onze mening        

Terecht wordt het loutere bezorgen van een postpakket aan buren die dit pakket aan de bestemmeling bezorgden niet geacht een verwerking van persoonsgegevens onder de GDPR uit te maken op zich.

Volgens ons is het wel niet zo evident om te stellen dat er sowieso in heel dit gebeuren geen persoonsgegevens verwerkt worden. Uiteraard verwerkt de koeriersdienst wel persoonsgegevens voor de levering en mogelijks ook deze van de buren bij de levering. Alleszins worden persoonsgegevens gebruikt van en bekendgemaakt aan de buren die mogelijk wel degelijk een verwerking uitmaken.

In casu, waarbij er geen melding is van een bijzonder gevoelig pakje en dat de buren dit onmiddellijk hebben rechtgezet, lijkt het ons een gepaste oplossing van de GBA om hier verder geen gevolg aan te geven. Er zijn echter wel situaties denkbaar waarin dit problematischer is. Bijvoorbeeld bij de levering van “gevoelige/niet-onschuldige” pakketjes (bv. medicatie, seksspeeltjes…).

De koeriersdiensten moeten (voorlopig) hiervoor dus geen GDPR-repercussies vrezen. Niettemin lijkt het ons aangewezen om steeds de leveringsvoorkeuren van klanten te respecteren en niet op eigen initiatief pakketjes bij de buren aan te bieden om verdere klachten te voorkomen.

Beslissing

Beslissing 181/2022

Betreft       

Er wordt een klacht ingesteld door een persoon zonder persoonlijk belang, die anoniem wenst te blijven, m.b.t. camerabewaking in een carwash. Volstaat een publiek belang om te doen blijken van een voldoende belang bij de GBA?

Context      

Anonieme klacht tegen het gebruik van bewakingscamera’s in een carwash

Rechtsgrond

Art. 6. Camerawet: “De beslissing tot het plaatsen van een of meer bewakingscamera’s in een voor het publiek toegankelijke besloten plaats wordt genomen door de verantwoordelijke voor de verwerking.

 

De verantwoordelijke voor de verwerking deelt de in § 1 bedoelde beslissing mee aan de Commissie voor de bescherming van de persoonlijke levenssfeer en de korpschef van de politiezone waar die plaats zich bevindt. Hij doet dat uiterlijk de dag vóór die waarop de bewakingscamera of -camera’s in gebruik worden genomen.

(…)

 

De verantwoordelijke voor de verwerking plaatst bij de toegang tot de voor het publiek toegankelijke besloten plaats een pictogram dat aangeeft dat er camerabewaking plaatsvindt. Het model van dat pictogram en de erop te vermelden inlichtingen worden door de Koning bepaald, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

(…)”

Art. 9. Camerawet: “Uitsluitend de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, heeft toegang tot de beelden.

 

De verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, neemt alle nodige voorzorgsmaatregelen teneinde de toegang tot de beelden te beveiligen tegen toegang door onbevoegden.

 

De personen die toegang hebben tot de beelden, hebben een discretieplicht omtrent de persoonsgegevens die de beelden opleveren, met dien verstande dat de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, de beelden : 1° kan overdragen aan de politiediensten of de gerechtelijke overheden indien hij feiten vaststelt die een misdrijf kunnen vormen en de beelden kunnen bijdragen tot het bewijzen van die feiten en het identificeren van de daders;2° moet overdragen aan de politiediensten indien zij hierom verzoeken in het kader van hun opdrachten van bestuurlijke of gerechtelijke politie en de beelden het vastgestelde misdrijf betreffen. Indien het een private plaats betreft, kan de verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, evenwel eisen dat er een gerechtelijk mandaat in het kader van een opsporingsonderzoek of gerechtelijk onderzoek wordt voorgelegd.”

Art. 17 Ger.W: “De rechtsvordering kan niet worden toegelaten, indien de eiser geen hoedanigheid en geen belang heeft om ze in te dienen.

(…)”

Art. 100 §1, 1°:

“De geschillenkamer heeft de bevoegdheid om:

         1° een klacht te seponeren;

         (…)”

Feiten

Een klant hekelt het feit dat er in een carwash gebruikt wordt gemaakt van bewakingscamera’s zonder vermelding dat de klanten worden gefilmd d.m.v. pictogrammen zoals de camerawetgeving voorschrijft. Er wordt ook met geen woord gerept over het gebruik van bewakingscamera’s in de privacyverklaring zoals gepubliceerd op de website van de carwash. Bovendien werden videobeelden en foto’s gebruikt op de facebookpagina van mevrouw Z door de carwash om haar ongelijk aan te tonen. De klant – die anoniem wenst te blijven – vermoedt eveneens dat het beeldmateriaal onbeperkt wordt bijgehouden.

Hoewel de geschillenkamer haar bevoegdheid bevestigt om kennis te nemen van klachten i.v.m. inbreuken op de Camerawet en inbreuken op de GDPR  nadat de Inspectiedienst terecht een aantal ernstige aanwijzingen i.v.m. inbreuken op de Camerawet en GDPR vaststelde, besluit de Geschillenkamer dat zij genoodzaakt is de klacht te seponeren omwille van een gebrek aan voldoende concreet belang.

Hoewel artikel 17 Ger. W., dat een vereiste van hoedanigheid en belang aan procespartijen oplegt, volgens de Geschillenkamer niet rechtstreeks van toepassing is op een procedure binnen de GBA, lijkt deze toch minstens naar analogie toepassing te vinden. In hoger beroep bij het Marktenhof zal dit hoe dan ook wel van toepassing zijn. De Geschillenkamer bevestigt dat een klager blijk moet geven van een voldoende belang.

De anonieme klager heeft uitdrukkelijk aangegeven dat hij niet over een persoonlijk belang beschikt en stoelt zich louter op het publiek belang voor de klacht. Gelet op het feit dat de klant niet aantoont of zelfs geen element aanvoert dat hem in verband brengt met de verwerking van persoonsgegevens door de carwash, toont hij geen afdoende belang, noch hoedanigheid aan.

Uitspraak   

Gelet op het gebrek aan belang en hoedanigheid in hoofde van de anonieme klager wordt besloten om voorliggende klacht te seponeren.

Onze mening        

Net zoals in ons burgerlijke procesrecht oordeelt de Geschillenkamer dat de klager dient te beschikken over enerzijds een voldoende persoonlijk belang en anderzijds een hoedanigheid. Het nastreven van een publiek belang is onvoldoende.

De concrete rechtsgrond die de Geschillenkamer hiervoor gebruikt blijft onduidelijk aangezien zij eerst aangeeft dat artikel 17 Ger. W. niet van toepassing is, om vervolgens alsnog een gebrek aan belang en hoedanigheid als reden voor seponering aan te voeren.  Eerder besloot de Geschillenkamer reeds om een klacht na intrekking door de betrokkene nog verder te behandelen. Het is ons niet geheel duidelijk waarom van deze mogelijkheid in dit verband geen gebruik gemaakt werd.

Er lijkt op zeer technisch punt door de Geschillenkamer beroep gedaan om geen beslissing te moeten vellen, terwijl we lezen dat de inspectiedienst wel degelijk verscheidene inbreuken, minstens ernstige aanwijzingen op inbreuken op zowel de Camerawet als de GDPR heeft vastgesteld.

 

Beslissing

 

Beslissing 80/2020

Betreft       

Het uploaden van een video op YouTube met vermelding van naam en adres van een buurtbewoner. Mag dat zomaar?

Context      

YouTube video waarbij de identiteit van een persoon zonder zijn toestemming wordt kenbaar gemaakt

Rechtsgrond

Artikel 4.1 GDPR: (Definities – Persoonsgegevens);

Artikel 6.1.d) & e) GDPR: (Rechtmatigheid van de verwerking);

Feiten

Op een gegeven ogenblik uploadt een buurtbewoner een video op YouTube waarbij de woning – en meer bepaald de schouw van een andere buurtbewoner die een houtvuur gebruikt – te zien is. Hierbij wordt ook de naam en het adres van de bewoner van de betreffende woning vermeld. De houtstoker maakt de zaak vervolgens aanhangig bij de GBA.

Voorafgaand aan de beoordeling en beslissing van de GBA

Op 17 april 2019 beslist de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde. Een week later ontvangt de Geschillenkamer vanwege de buurtbewoner die de video op Youtube zette, de mededeling dat hij de tussenkomst van de Geschillenkamer niet aanvaardt en hij in beroep wenst te gaan bij het Marktenhof tegen de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde.

Hij zou onder druk worden gezet door de Eerstelijnsdienst door het dreigen met het opleggen van een hoge geldboete zonder in kennis te zijn gesteld van enige inhoudelijke klacht. Hierdoor zou blijk zijn gegeven van partijdigheid en zou zijn gehandeld in strijd met het reglement van interne orde van de GBA. Ten tweede zou er tevens voor dezelfde feiten een klacht zijn ingediend bij  het Openbaar Ministerie waardoor de buurtbewoner vraagt om beide dossiers samen te voegen en te laten behandelen door een rechtbank ten gronde.

Op 10 mei 2019 verzoekt het Marktenhof bij Hof van Beroep te Brussel voor de toezending van het rechtsplegingsdossier overeenkomstig artikel 723 Ger.W. Het Marktenhof bekijkt het dossier en oordeelt dat een beslissing van de Geschillenkamer uitvoerbaar bij voorraad is en derhalve de procedure voor de Geschillenkamer moet worden voortgezet. De buurtbewoner blijft zich verzetten en op 29 mei 2019 vindt er een inleidingszitting plaats bij het Marktenhof waarbij de GBA verstek laat.

Het arrest van het Marktenhof[1] kan als volgt worden samengevat:

  • Vereiste van onpartijdigheid van de Geschillenkamer van de GBA

De situatie waarbij bepaalde personeelsleden van de GBA enerzijds adviezen geven en mailverkeer voeren met personen die denken gegriefd te zijn en dat dezelfde personeelsleden nadien, in dezelfde zaak, desgevallend fungeren als adviseur van de Geschillenkamer van de GBA of in een andere hoedanigheid, is vatbaar voor kritiek en sanctie.

Ook het feit dat dat de GBA reeds een inhoudelijk standpunt ten gronde heeft ingenomen door te dreigen met torenhoge boetes bij gebreke aan verwijdering van de video’s, én waar later één van haar organen te weten de Geschillenkamer als administratieve rechter zal moeten oordelen over het al dan niet bewezen zijn van een beweerde inbreuk, getuigt volgens het Marktenhof niet van een naleven van alle rechten van verdediging

  • Beslissing Geschillenkamer dat dossier gereed is voor behandeling

Aangaande de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde en daartoe een conclusiekalender heeft bepaald, stelt het Marktenhof dat het ontvankelijk verklaren van een klacht niet vooruit loopt op de beoordeling ervan.

  • Bedreiging van de burger met mogelijke veroordeling tot het betalen van hoge boetes

Het Marktenhof stelt dat, hoewel de bedreiging die wordt gericht aan de burger en waarbij hem voorgespiegeld wordt dat hij tot het betalen van hoge boetes zal kunnen worden veroordeeld door de GBA, deze niet in strijd is met een wettelijke bepaling, doch de GBA door de gehele wijze van handelen wel minstens de schijn wekt niet onpartijdig te zullen optreden.

Het Marktenhof beslist dat nieuwe conclusietermijnen dienen te worden bepaald waarbij de eerste termijn voor de houtstoker ten vroegste vervalt op de laatste dag van de maand die aanvangt nadat de procespartijen kennis hebben gekregen van het arrest. Het Marktenhof is hic et nunc niet gevat van een verhaal tegen een ‘beslissing’ ten gronde van de Geschillenkamer van de GBA en kan dienvolgens niet (bij voorbaat) oordelen over de wijze waarop de Geschillenkamer van de GBA dan wel het geschilpunt zou moeten oplossen.

Beoordeling GBA

Een video-opname van enkel en alleen een schouw waarop de uitstoot van rook te zien is zonder dat deze de identificatie van een persoon mogelijk maakt, is geen persoonsgegeven in de zin van artikel 4.1 GDPR. Echter, gezien de naam en het adres wel werd vermeld, maakt deze wel een verwerking uit van persoonsgegevens. De video-opname, alsmede de naam en het adres van de buurtbewoner zijn immers gepubliceerd met het oogmerk om te kunnen overgaan tot identificatie. De maker van de video erkent dit uitdrukkelijk doordat hij zelf aangeeft dat hij derden daarmee de gelegenheid  wil  bieden  om  te  achterhalen  wie de houtrookhinder veroorzaakt om zich vervolgens eventueel tegen die persoon burgerlijke partij te kunnen stellen…

Volgens artikel 6 van de GDPR is een  verwerking  van  persoonsgegevens  slechts  rechtmatig  indien  daartoe  een  rechtsgrond bestaat. Om de rechtmatigheid van de publicatie van het filmpje samen met de naam en het adres van de buurtbewoner aan te tonen, beroept de videomaker zich op artikel 6.1. d) GDPR (de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen) en artikel 6.1. e) GDPR (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen).

Voor wat betreft de rechtsgrond uit artikel 6.1.d) GDPR dient de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, voorop te staan. De videomaker voert echter niet aan dat de publicatie van de gegevens van de houtstoker van belang zouden zijn voor het leven van hemzelf, maar daarentegen wel van belang zou zijn voor de bescherming van de gezondheid van derden, meer bepaald de omwonenden door hen te beschermen tegen de hinder van houtrookemissie.

Uit overweging (46) van de GDPR volgt dat dat de verwerking van persoonsgegevens op grond van het vitale belang voor een  andere  natuurlijke  persoon  in  beginsel  alleen  is  toegestaan  indien  de  verwerking  kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Bijgevolg gaat de Geschillenkamer na of er desgevallend een andere rechtsgrond kan worden ingeroepen.

De videomaker beroept zich naast artikel 6.1.d) verder nog op artikel 6.1.e) GDPR. Volgens hem is  de  publicatie  noodzakelijk  voor  de  vervulling  van  een  taak  van algemeen belang Vermits uit zijn argumentatie niet blijkt dat  hij  zich  op  enige  rechtsgrond vastgesteld bij Unierecht of lidstatelijk recht beroept waaruit hij het recht zou kunnen putten om in het kader van het algemeen belang over te gaan tot de publicatie van de videobeelden met naam en adres van de houtstoker, is de Geschillenkamer van oordeel dat hij  zich niet kan beroepen op artikel 6.1. e) GDPR om de betreffende publicatie als rechtmatig te bestempelen.

Uit eigen initiatief onderzoekt de Geschillenkamer nog of de videomaker zich zou kunnen beroepen op de rechtsgrond van gerechtvaardigd belang in artikel 6.1. f) GDPR. Hiervoor herhaalt de Geschillenkamer zijn eerdere rechtspraak omtrent de voorwaarden die door het Hof van Justitie zijn vastgesteld, namelijk moet er voldaan worden aan 1) de doeltoets, 2) de noodzakelijkheidstoets en 3) de afwegingstoets.

  • Het aantonen van de ernst van de hinder en de impact van de rookemissie op de gezondheid van de omwonenden kan aangemerkt worden als een gerechtvaardigd doel;
  • Het feit dat de houtstoker met naam vermeld werd bij de video is niet als noodzakelijk te beschouwen voor het bereiken van het doeleinde. Hiermee wordt enkel bereikt dat deze als vervuiler aangemerkt wordt zonder enige mogelijkheid tot verweer. Zonder vermelding van de naam, kon het doeleinde ook bereikt worden.
  • Ook de afwegingstoets kan niet voldaan worden aangezien de houtstoker zich op geen enkel moment kon verwachten aan de publicatie van de beelden met zijn naam en adres. Enkel indien de toestemming werd gevraagd had dit mogelijk geweest onder de GDPR.

Uit het geheel van de uiteengezette elementen is de Geschillenkamer van oordeel dat de videomaker zich op geen enkele rechtsgrond kan beroepen waaruit de rechtmatigheid blijkt van de gegevensverwerking. De inbreuk op artikel 6.1. GDPR is aldus bewezen. De Geschillenkamer besluit hem hiervoor enkele een berisping te geven rekening  houdend  met  het  feit  dat  de videobeelden met vermelding van de naam en het adres van de houtstoker zijn verwijderd,  alsmede dat de inbreuk slechts voor een eerste keer werd begaan. Op het verzoek van de videomaker om hem een schadevergoeding toe te kennen, kan de Geschillenkamer niet ingaan vermits zij niet over die bevoegdheid beschikt.

Uitspraak   

  • Een berisping op te leggen voor wat betreft de inbreuk op artikel 6.1. GDPR.

Onze mening        

Gegevens zijn slechts persoonsgegevens in zoverre identificatie van een bepaalde persoon mogelijk is. Door het plaatsen van de naam en adres van de betrokkene bij de video op YouTube, kwalificeert de video als een persoonsgegeven.

De rechtmatigheidsgrond van vitaal belang voor andere natuurlijke personen is enkel mogelijk indien er geen beroep gedaan kan worden op andere rechtsmatigheidsgronden. De GDPR stelt m.a.w. een strenge voorwaarde om gebruik te kunnen maken van deze rechtmatigheidsgrond. Reden waarom zij in de praktijk maar sporadisch wordt gebruikt.

Het feit dat er slechts een berisping wordt opgelegd, lijkt ons voldoende gemotiveerd door de Geschillenkamer. Een eerste inbreuk vanwege de videomaker, die ook nog eens de beelden in de loop van de procedure heeft verwijderd, hoeft geen aanleiding te geven tot een boete. Een terechte beslissing, je mag niet zomaar beelden maken zonder toestemming en deze verspreiden.

 

Beslissing

Beslissing 71/2020

[1] De integrale tekst van het arrest is beschikbaar op de website van de Gegevensbeschermingsautoriteit via volgende link: https://www.gegevensbeschermingsautoriteit.be/publications/arrest-van-12-juni-2019-van-het-marktenhof.pdf

Diverse media berichtten over een strafklacht tegen ING België.[1] De kredietinstelling zou het e-mailverkeer van zo’n 2.000 werknemers hebben gecontroleerd. Dit roept de vraag op of men als werkgever überhaupt het e-mailverkeer van werknemers mag controleren. Mag dit of gelden er specifieke voorwaarden? Wij zochten het voor u uit.

Privacyrecht vs. controlerecht

Het recht op privacy is een grondrecht waardoor het de werkgever principieel niet toegestaan is om uw e-mailverkeer te controleren. Inbreuken hierop zijn m.a.w. strafbaar. Maar op het principieel verbod gelden weliswaar enkele uitzonderingen waardoor in uitzonderlijke omstandigheden en onder strikte voorwaarden het de werkgever wel toegelaten is om de e-mails van haar werknemers te checken. De werkgever beschikt van zijn kant namelijk over een controlerecht en het zijn deze twee principes die in de praktijk steeds in de weegschaal moeten worden gelegd om een juiste inschatting te maken over de toelaatbaarheid om het e-mailverkeer van de werknemer na te gaan.

Werkgevers kunnen verschillende redenen hebben om e-mailverkeer te controleren, zoals het handhaven van de bedrijfsbeleidsregels, het beschermen van bedrijfsinformatie, het voorkomen van ongepast gedrag of het voldoen aan wettelijke verplichtingen.

Wat zegt de Gegevensbeschermingsautoriteit?[2]

De Gegevensbeschermingsautoriteit (hierna: GBA) is het onafhankelijke toezichtsorgaan dat toezicht houdt op alles wat te maken heeft met de verwerking van persoonsgegevens onder de GDPR en kan aanzien worden als de privacy waakhond van België.

Samengevat hebben werkgevers volgens de GBA in beginsel het recht om toezicht te houden op de elektronische communicatie die werknemers verrichten met de middelen die hen voor hun werk ter beschikking zijn gesteld. Dit onder voorwaarde dat bepaalde principes zoals het recht op privacy en vertrouwelijkheid van de correspondentie worden gewaarborgd. Om de privacy van de werknemer te beschermen, moet de werkgever rekening houden met de volgende basisprincipes:

  • Finaliteitsbeginsel

De werkgever moet steeds een rechtmatig doel nastreven zoals bijvoorbeeld de opvolging van de professionele correspondentie met cliënteel. Een werkgever mag dus niet uit nieuwsgierigheid controles uitvoeren, mar wel om de belangen van het bedrijf te vrijwaren.

  • Evenredigheidsbeginsel

Ten tweede moet de werkgever de controle beperken tot het strikt noodzakelijke. De controle moet noodzakelijk zijn om die doelstelling te bereiken. Als een e-mail bestemd is voor de personeelsdienst, is het niet de bedoeling dat andere afdelingen deze e-mail kunnen lezen. Dit betekent dat de gegevensverzameling in principe globaal moet blijven en dat individualisering (dus de identificatie van een specifieke werknemer) in principe niet is toegestaan. De werkgever mag daarbij geen toegang hebben tot persoonlijke e-mails van de werknemer, tenzij de werknemer deze gebruikt voor zakelijke doeleinden.

  • Transparantiebeginsel

Ten slotte moet de werknemer op de hoogte worden gebracht van een eventuele elektronische controle en van de wijze waarop deze wordt uitgevoerd. De GBA beveelt aan deze informatie te verspreiden via het arbeidsreglement, maar een transparant ICT-beleid, een specifieke bepaling in de individuele arbeidsovereenkomst of een cao behoren ook tot de mogelijkheden. Een werkgever mag nooit achter de rug van zijn medewerkers controles uitvoeren.

Wat zegt de GDPR[3]?

Overeenkomstig artikel 6 van de General Data Protection Regulation (hierna: GDPR) dient elke verwerking van persoonsgegevens te steunen op een rechtmatigheidsgrond. Het wettelijk recht van de werkgever om gezag uit te oefenen, kan een rechtmatigheidsgrond zijn voor de werkgever om elektronisch toezicht uit te oefenen op internet en e-mailverkeer van haar werknemers. De toestemming van de werknemer kan volgens de GBA dan weer niet als wettelijke basis dienen aangezien de werknemer zich noodzakelijkerwijs in een ondergeschikte positie bevindt ten opzichte van zijn werkgever, en dus geen toestemming kan geven uit vrije wil.

CAO nr. 81[4]

Het doel van deze CAO nr. 81 is ervoor te zorgen dat de privacy van de werknemer wordt gerespecteerd wanneer de werkgever gegevens van de elektronische netwerkcommunicatie verzamelt om die te controleren en omvat de drie grondbeginselen van de privacywetgeving, zoals hierboven besproken, het finaliteits-, evenredigheids- en transparantiebeginsel.

Daarnaast speelt nog het principe van individualisering, dat stelt dat de controle van de werkgever normaal gesproken alleen kan op een globale en niet op een individuele manier. In bepaalde gevallen kan de werkgever echter controles uitvoeren bij een bepaalde werknemer, namelijk:

  • Preventie van illegale of lasterlijke feiten, feiten in strijd met de goede zeden of feiten die de waardigheid van anderen kunnen aantasten;

  • Bescherming van de economische, commerciële en financiële belangen van de onderneming waaraan een vertrouwelijkheidsaspect is verbonden;

  • Veiligheid en/of de goede technische werking van de netwerkcomputersystemen van de onderneming en de fysieke bescherming van de installaties van de onderneming.

Conclusie

De regeling die de werkgever in staat stelt legaal toegang te krijgen tot de elektronische communicatie van zijn werknemer is vatbaar voor interpretatie. Het recht op privacy van de werknemer en het recht op controle van de werkgever dienen telkens tegen elkaar te worden afgewogen. Volgens de GBA heeft de werkgever onder bepaalde voorwaarden het recht om toezicht te houden op de elektronische communicatie van haar werknemers. Hierbij dienen het finaliteits-, evenredigheids-, en transparantiebeginsel steeds in acht te worden genomen.

Het is raadzaam om specifiek juridisch advies in te winnen bij een professional op het gebied van privacyrecht om te begrijpen hoe de regels specifiek van toepassing zijn op uw situatie. Studio Legale Advocaten beschikt over drie erkende DPO’s die gespecialiseerd zijn in het privacyrecht en u hierbij kunnen begeleiden.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via joost.peeters@studio-legale.be of 03 216 70 70.

Juridische bronnen:

  • VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

  • Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Media links:

[1]https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html

[2]https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail

[3] VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[4] Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Betreft       

Het verwerken van gegevens over een vakbondslidmaatschap van haar werknemers door een ziekenhuis wordt door een vakbondsafgevaardigde niet goed onthaald. 

Context      

Verwerking vakbondsgegevens door een ziekenhuis

Rechtsgrond

Artikel 5.1.b) GDPR: “Persoonsgegevens moeten:

(…)

  1. b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig.”

Artikel 7.3 GDPR: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.”

Artikel 9.2.a) GDPR: “Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

 

  1. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

 

  1. a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven.”

Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

Feiten

Een vakbondsafgevaardigde van vakbond A vraagt op een gegeven moment het advies van de Gegevensbeschermingsautoriteit (GBA) in verband met het door zijn werkgever – zijnde een ziekenhuis – rechtstreeks op het salaris inhouden van de vakbondsbijdrage van de leden van vakbond B. De inhouding zou gebeuren onder onduidelijke omstandigheden en zonder daarbij de wil van de werknemers en de vertrouwelijkheid van hun gegevens te eerbiedigen. Hij stelt zich in het algemeen de vraag waarom een werkgever gegevens over het vakbondslidmaatschap van zijn werknemers zou verzamelen.

Na mailverkeer hierover met vraag  voor advies naar de GBA dient de vakbondsafgevaardigde een klacht in  en de Inspectiedienst van de GBA wordt gevat. Niet veel later laat de vakbondsafgevaardigde weten aan de Inspectiedienst dat het ziekenhuis een einde heeft gesteld aan het systeem van inhouding op het salaris. Deze beslissing kwam er op basis van het advies van haar functionaris voor gegevensbescherming (DPO).

Voorafgaand advies door GBA

We verwijzen naar de vorige beslissing nr. 71/2020 waarin het Marktenhof tussenkwam en reeds de GBA op de vingers tikte voor het feit dat mogelijks zowel mailverkeer en adviesverlening, als latere beoordeling van een klacht kan gebeuren door dezelfde personeelsleden van de GBA vatbaar is voor kritiek en eventueel sanctie.

In huidige beslissing ontbreekt meer diepgaande informatie om een concrete beoordeling toe te laten. Dit blijft toch een aandachtspunt.

De toestemming als rechtmatigheidsgrond

In principe is de verwerking van  gegevens over een vakbondslidmaatschap verboden  (artikel 9.1 GDPR).  Lid 2 van datzelfde artikel voorziet  echter  in  een  aantal  uitzonderingen,  waaronder  de  “uitdrukkelijke  toestemming  van  de betrokkene voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden”.

Volgens artikel 4.11) van de GDPR dient toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. Artikel 9.2.a) voegt daar nog aan toe dat voor een gegevensverwerking in verband met vakbondslidmaatschap de toestemming eveneens uitdrukkelijk moet zijn.

(i)      Vrije karakter van de toestemming

De toestemming werd bij schriftelijke machtiging gegeven als een door de werkgever aan de werknemer verleende faciliteit. Echter dient bij een arbeidsverhouding steeds extra aandacht te worden besteed aan het vrije karakter van de toestemming. Bij  wijze  van  uitzondering  kan de  toestemming  van  de  werknemer  wel worden beschouwd  als  geldig  verleend,  wanneer het al dan niet toestemming geven geen negatieve gevolgen kan hebben voor zijn persoon. In casu had het ziekenhuis geen voordeel bij de toestemming van de werknemer waardoor er van mag worden uitgegaan dat de werknemer zijn toestemming vrijelijk heeft gegeven.

(ii)     Specifieke karakter van de toestemming

Door het feit dat aan elke werknemer werd gevraagd een individueel machtigingsformulier in te vullen is voldaan aan de voorwaarde van het specifieke karakter van de toestemming. De machtiging vraagt immers de toestemming van de werknemer voor één gegevensverwerking, namelijk de verwerking die is verbonden aan de rechtstreeks inhouding op het salaris van de vakbondsbijdrage.

(iii)    Geïnformeerde karakter van de toestemming

Om toestemming met kennis van zaken te geven, moet de betrokkene onder meer de volgende informatie hebben ontvangen:

–         de identiteit van de verwerkingsverantwoordelijke;

–         het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;

–         welk(e) (soort) gegevens worden verzameld en gebruikt;

–         het bestaan van het recht om zijn toestemming in te trekken.

De eerste drie elementen worden relatief duidelijk op het verstrekte machtigingsformulier vermeld, maar aangezien nergens melding wordt gemaakt van het feit dat de werknemer zijn toestemming te allen tijde kan intrekken is niet voldaan aan artikel 7.3 van de GDPR waardoor de toestemming niet kan worden beschouwd als op geïnformeerde wijze gegeven. Hierdoor werd artikel 9.2.a) GDPR dan ook niet nageleefd.

(iv)       Uitdrukkelijke karakter van de toestemming

Aan deze voorwaarde werd voldaan aangezien de door de betrokkene ondertekende schriftelijke machtiging op uitdrukkelijke wijze bepaalt welke gegevensverwerking zal worden uitgevoerd.

Doeleinde van de verwerking

Wat betreft het doeleinde van de verwerking bepaalt artikel 5.1.b) 24.1 GDPR dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en  mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Aangezien het doeleinde van de verwerking slechts duidelijk werd na het verdere onderzoek en verzoek door inlichtingen door de Geschillenkamer, kan dit niet beschouw worden als zijnde uitdrukkelijk vermeld en besluit de Geschillenkamer dat de verwerkingsverantwoordelijke artikel 5.1.b) 24.1 GDPR heeft geschonden.

Uitspraak   

In verband met de effectieve uitspraak in het beschikkend gedeelte lijkt ons dat er een materiële vergissing gebeurde in de beslissing. Er wordt voorheen immers duidelijk vermeld in de beslissing dat:

  • er een schending van de artikelen 5.1.b) j° artikel 24.1, en artikel 9.2.a) j° artikel 7.3 van de GDPR heeft plaatsgevonden;
  • het niet nodig is om een van de maatregelen te nemen aangezien de verwerkingsverantwoordelijke om advies heeft gevraagd aan zijn functionaris voor gegevensbescherming en dat hij heeft besloten het advies op te volgen in die zin dat er aan de verwerking definitief een einde werd gesteld op 30 juni 2019, waardoor hij bewijst dat de verplichtingen die voortvloeien uit de GDPR ernstig zijn genomen.

Echter vermeldt het beschikkend gedeelte dat er geen schending van voormelde artikelen heeft plaatsgevonden. Aangezien evenwel nog steeds vermeld wordt bijkomend dat het toch niet nodig is om een van de maatregelen als bedoeld in artikel 100 §1 WOG te nemen, blijkt volgens ons duidelijk dat dit een materiële vergissing betreft.

Onze mening

Uit deze beslissing blijkt dat de voorwaarden voor het geven van een geldige toestemming zeer strikt worden toegepast. Hoewel immers de toestemming geacht wordt vrij te zijn gegeven, ondanks de werknemer-werkgever relatie en deze uitdrukkelijk werd gegeven, wordt alsnog een schending vastgesteld omwille van het gebrek aan voldoende informatie over de mogelijkheid tot intrekking van de toestemming te allen tijde.

In het kader van het belangrijke doelbindingsbeginsel, wordt eveneens strikt toegezien op het feit of het doeleinde van de verwerking vermeld uitdrukkelijk vermeld wordt, wat in deze eveneens niet het geval was aangezien slechts na onderzoek duidelijk werd wat het doeleinde is.

O.i. houdt de geschillenkamer terecht rekening met het feit dat duidelijk blijkt dat het ziekenhuis op ernstige wijze bezig is met GDPR in haar organisatie. Het won immers advies in te bij haar DPO en volgde dit advies ook op door middel van de definitieve stopzetting van de verwerking. Dit toont aan dat de GDPR serieus wordt genomen, wat in deze zaak ook heeft geleid tot uitblijven van enige sanctie. Accountability is namelijk een zeer belangrijk beginsel in het kader van de GDPR.

 

Integrale beslissing

Beslissing 72/2020

Europa stelt een einde aan anonieme crytpotransfers. Volgens het akkoord zal er bij elke transactie informatie van de initiator van de transactie moeten worden meegestuurd, de hele wereld rond

Met als doel het risico op witwassen en terrorismefinanciering aan te pakken hebben de onderhandelaars van het Raadvoorzitterschap en van het Parlement op 29 juni 2022 een voorlopig akkoord bereikt over het voorstel om de regels over informatie bij geldovermakingen uit te breiden naar overmakingen van cryptoactiva. Hierna gaat dit akkoord naar het Europees Parlement met de bedoeling de tekst aan te nemen. Van zodra het nieuwe kader is aangenomen, zal die 18 maanden later van kracht gaan. Hiermee blijkt dus ook een einde aan anonieme crypto transacties te komen.[1]

Dit voorstel is deel van een reeks wetgevingsvoorstellen van de Commissie ter versterking van de EU-regels ter bestrijding van witwassen van geld en financiering van terrorisme.[2]

De nieuwe tekst komt er na een aanbeveling van de Financial Action Task Force (FATF) over elektronische overmakingen. Deze aanbeveling is echter minder streng dan de tekst waarover op 29 juni 2022 een akkoord werd bekomen.[3]

De nieuwe regels verplichten cryptoactivadiensten om informatie over de initiator en de begunstigde van de transacties crypto-activa te bekomen en toegankelijk te maken. Hierdoor worden transacties van crypto-activa traceerbaar en zal de EU het risico op witwassen en terrorismefinanciering via nieuwe technologieën kunnen aanpakken.[4]

In de praktijk houdt dit in dat bij elke transactie privé-gegevens zullen worden meegestuurd, die de hele wereld rondgaan. Bij elke transactie zal informatie over de initiator bij de overmaking  worden gevoegd, ongeacht het bedrag.[5]

Opvallend is dat er geen minimumgrens werd vastgesteld vanaf wanneer de zogenaamde “travel-rule” geldt, terwijl dit voor niet crypto-transacties pas geldt vanaf € 1000.[6]

Ook werd overeengekomen dat voor het verwerken van persoonsgegevens de Algemene Verordening voor Gegevensbescherming (hierna AVG) van toepassing is.[7] Desondanks klinkt luid protest uit de cryptowereld zelf omtrent schending van gegevens beschermde- en privacyregels.[8]

Ook wij stellen ons vragen bij een eventuele schending van privacywetgeving en gegevensbeschermingsregels. Ondanks de uitdrukkelijk van toepassing verklaarde AVG door de Europese wetgever dient aan een aantal voorwaarden voldaan te zijn vooraleer er sprake kan zijn van een rechtmatige verwerking van persoonsgegevens. Naast het bestaan van een wettelijke basis, zal er op grond van art. 6 AVG ook moeten voldaan zijn aan een noodzakelijkheidsvereiste om de gekozen maatregel toe te passen om het gewenste doel te bereiken. Enkel in de mate dat deze maatregel noodzakelijk is om het doel te bereiken, zal aan deze voorwaarde voldaan zijn. Dit lijkt, volgens ons niet het geval te zijn, daar het wereldwijd doorsturen van persoonsgegevens onzen inziens disproportioneel is ten aanzien van het te bereiken doel: nl. het tegengaan van witwassen en terrorismefinaniciering. Dit mede omdat er bijvoorbeeld voor gewone –  niet-crypto-activa transacties –  wél een minimumgrens bestaat waaronder er niet aan de travel-rule moet worden voldaan.

Hierbij komt ook dat de aanbieders van cryptoactivadiensten als meldingsplichtige entiteiten in de zin van 4de antiwitwasrichtlijn worden aangemerkt.

Besluit

De EU is tot een akkoord gekomen om anti-witwaspraktijken en terrorismefinanciering door crypto tegen te gaan. Ondanks het nobele doel, lijkt het nieuwe akkoord echter niet voldoende rekening te houden met de vigerende regels van de AVG.

Indien u na het lezen van dit artikel met vragen zit of u wenst meer informatie, kan u steeds contact opnemen met Studio Legale op info@studio-legale.be of 03 216 70 70.

 

Gebruikte bronnen:

Juridische bronnen

  1. Report on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets;
  2. Aanbevelingen 15 en 16 van de Financial Action Task Force;
  3. KOLINSKA, D., “Crypto assets: deal on new rules to stop illicit flows in the EU” https://www.europarl.europa.eu/news/en/press-room/20220627IPR33919/crypto-assets-deal-on-new-rules-to-stop-illicit-flows-in-the-eu;

Media bronnen:

  1. Persmededeling Raad van de EU, “Witwasbestrijding: voorlopig akkoord over transparantie bij overmakingen van cryptoactiva”, https://www.consilium.europa.eu/nl/press/press-releases/2022/06/29/anti-money-laundering-provisional-agreement-reached-on-transparency-of-crypto-asset-transfers/;
  2. LEMMENS, K., “ Europa maakt komaf met anonieme cryptotransfers”, https://www.standaard.be/cnt/dmf20220630_97608473;
  3. NEIRYNCK, P., “Europese cryptowetgeving viseert verdachte transacties”, https://www.tijd.be/markten-live/analyse/europese-cryptowetgeving-viseert-verdachte-transacties/10399565.html;
  4. VAN HAVER, K., “Europa verbiedt anonieme overdrachten van cryptomunten”, https://www.tijd.be/politiek-economie/europa/economie/europa-verbiedt-anonieme-overdracht-van-cryptomunten/10320815.html.
  5. PAUSH-HOMBLE, K., “Digitaal geld: akkoord over Europese cryptoactiva-verordening (MiCA), https://www.consilium.europa.eu/nl/press/press-releases/2022/06/30/digital-finance-agreement-reached-on-european-crypto-assets-regulation-mica/.

[1] Persmededeling Raad van de EU, “Witwasbestrijding: voorlopig akkoord over transparantie bij overmakingen van cryptoactiva”, https://www.consilium.europa.eu/nl/press/press-releases/2022/06/29/anti-money-laundering-provisional-agreement-reached-on-transparency-of-crypto-asset-transfers/.

[2] Ibid; https://www.tijd.be/ondernemen/banken/wankele-cryptobank-silvergate-duikt-voor-miljard-in-het-rood/10440930.html.

[3] Aanbevelingen 15 en 16 van de Financial Action Task Force.

[4] Ibid.

[5] Art. 14 of the Report on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets.

[6] D., KOLINSKA, “Crypto assets: deal on new rules to stop illicit flows in the EU” https://www.europarl.europa.eu/news/en/press-room/20220627IPR33919/crypto-assets-deal-on-new-rules-to-stop-illicit-flows-in-the-eu

[7] Recital 17 of the Report on the proposal for regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets.

[8] K., LEMMENS, “ Europa maakt komaf met anonieme cryptotransfers”, https://www.standaard.be/cnt/dmf20220630_97608473; P., NEIRYNCK “Europese cryptowetgeving viseert verdachte transacties”, https://www.tijd.be/markten-live/analyse/europese-cryptowetgeving-viseert-verdachte-transacties/10399565.html; K., VAN HAVER, “Europa verbiedt anonieme overdrachten van cryptomunten”, https://www.tijd.be/politiek-economie/europa/economie/europa-verbiedt-anonieme-overdracht-van-cryptomunten/10320815.html.

 

Het UBO-register mag dan toch niet openbaar gemaakt worden voor het publiek

Met het arrest van 22 november 2022 stelt het Hof van Justitie dat het UBO-register mag blijven, maar dat aan de openbaarheid voor het grote publiek ervan een einde komt. Dit arrest volgt na prejudiciële vragen die door een Luxemburgse rechter werden gesteld.

Wat is het UBO-register?

Het UBO-register is een register voor uiteindelijke begunstigden in België voorzien door de Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten.

Deze wet is de omzetting van de Europese Richtlijn 2015/849 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme.

Op basis hiervan zijn lidstaten van de EU verplicht om maatregelen te nemen zodat enerzijds vennootschappen en andere juridische entiteiten die binnen hun juridisch grondgebied zijn opgericht toereikende, accurate en actuele informatie over hun uiteindelijke begunstigden inwinnen en bijhouden. Anderzijds moet er een centraal register met informatie over de uiteindelijke begunstigden van die entiteiten zijn om de toegang tot die informatie te vereenvoudigen.[1]

Wat veranderde er met het arrest

In het arrest dd. 22 november 2022 werd de ongeldigheid vastgesteld van de bepaling uit de Antiwitwasrichtlijn waardoor lidstaten verplicht werden ervoor te zorgen dat de informatie over de uiteindelijke begunstigden van binnen hun grondgebied opgerichte vennootschappen en andere juridische entiteiten in alle gevallen voor het grote publiek toegankelijk is.

Het Hof van Justitie stelde dat de eerbiediging van het privéleven uit artikel 7 en de bescherming van persoonsgegevens uit artikel 8 van het Handvest van de Grondrechten van de Europese Unie hierdoor ernstig geschonden worden.

Met de invoering van deze regel was de wetgever van mening hiermee bij te dragen tot de verwezenlijking van doelstelling van algemeen belang doordat de maatregel beoogt om het witwassen van gelden de financiering van terrorisme te voorkomen.

Het Hof van Justitie oordeelde echter dat de maatregel niet beperkt is tot wat strikt noodzakelijk is. Daarnaast is deze ook niet evenredig met het nagestreefde doel, én worden er te weinig waarborgen ingebouwd ter bescherming van de persoonsgegevens van de betrokkenen.[2]

In België konden burgers het UBO-register tot voor kort publiek raadplegen door voorafgaand een verzoek om raadpleging in te dienen. Bij het verzoek moest u als burger een formulier invullen dat het KBO-nummer bevat van de entiteit die het voorwerp is van uw raadpleging, de gegevens van de aanvrager en een verantwoording van het verzoek indienen. Een aanvraag kon dan geweigerd worden indien er geen legitieme redenen werden opgegeven ter consulatie van het register.[3]

Naar aanleiding van het arrest van het Hof van Justitie  van de Europese Unie publiceerde de FOD financiën een bericht op hun website met de boodschap dat ingevolge het arrest van 22 november 2022 de toegang van leden van het grote publiek tot informatie over uiteindelijke begunstigden tijdelijk is opgeschort. Het bericht bevestigde ook dat de toegang voor bevoegde en onderworpen autoriteiten gehandhaafd blijft.[4]

Ondertussen werd op de website van de FOD financiën een bericht gepost waar te lezen staat dan in afwachting van IT-ontwikkelingen om het UBO-register aan te passen aan de nieuwe wettelijke bepalingen, raadplegingsverzoeken kunnen worden verzonden per e-mail naar: ubobelgium@minfin.fed.be

Of er nu met het arrest van het Hof van Justitie een grote stap terug is genomen op het vlak van bestrijden van witwaspraktijken, valt te nuanceren daar het enkel gevolgen heeft op de toegang voor het grote publiek tot gegevens van uiteindelijke begunstigde van vennootschappen. Voor alle andere juridische structuren zijn de gegevens van de uiteindelijke begunstigde al sinds voor dit arrest enkel toegankelijk voor leden van het brede publiek die een legitiem doel voorhanden hebben.[5]

Nieuw is dat het UBO-KB een lijst heeft opgenomen met wat als een legitiem doel kan worden beschouwd.[6]

GDPR

In dit arrest werd als derde prejudiciële vraag een vraag gesteld met betrekking tot overeenstemming met de bepalingen van de gegevensbeschermingsrichtlijn. Omdat werd besloten dat de bepaling die de verplichting oplegt dat de registers publiek raadpleegbaar moeten zijn, nietig is, achtte het HvJ het niet meer nodig om de vraag met betrekking tot de overeenstemming met de gegevensbeschermingsrichtlijn te beantwoorden.

Gezien het Hof reeds voor de toets aan de eerste vraag vaststelde dat de maatregel niet beperkt is tot wat strikt noodzakelijk is, kan gesteld worden dat het wellicht niet om een rechtmatige verwerking van persoonsgegevens kan gaan op grond van art. 6 GDPR.

In het verleden werd de publieke toegang tot het Belgisch UBO-register reeds bekritiseerd door de Gegevensbeschermingsautoriteit.[7]  In het advies nr. 246 2022 van 9 november 2022 werd reeds opgemerkt dat de toegang of weigering van toegang tot het UBO-register onderworpen dient te zijn aan striktere criteria en voorwaarden. Tot op heden was het onduidelijk in welke gevallen het verlenen van toegang disproportioneel zou zijn voor de grondrechten van de uiteindelijke begunstigde, met name het recht op privacy en bescherming van persoonsgegevens.

Om tegemoet te komen aan de vereisten van gegevensbescherming, heeft de wetgever ten eerste de vier verschillende doeleinden van het UBO-register opgenomen:

  • De bescherming van het financiële stelsel door middel van preventie, opsporing en onderzoek van witwassen en terrorismefinanciering en de daarmee verban houdende basismisdrijven,
  • Het faciliteren van de toepassing en de controle van de verplichtingen inzake embargo’s, bevriezingen van tegoeden en ander beperkende maatregelen;
  • Het verhogen van transparantie van juridische constructies en entiteiten;
  • Het register moet een nuttig instrument vormen in strijd tegen witwasparktijken voor de actoren en instanties die toegang krijgen tot het register.

Ten tweede heeft de wetgever met de wet van 8 februari 2023 de categorieën persoonsgegevens die het UBO-register verwerkt, in de wet zelf opgenomen. Het gaat met name over:

  • Identificatiegegevens;
  • Contact- en verblijfsgegevens;
  • De categorie(ë)n van uiteindelijke begunstigde waartoe de natuurlijke persoon behoort;
  • De aard en de omvang van de door de natuurlijke persoon aangehouden economische belang of zeggenschap in de entiteiten en constructies die rapportering plichtig zijn;
  • De datum waarop de natuurlijke persoon uiteindelijke begunstigde is geworden en in geval van een onrechtstreekse uiteindelijke begunstigde ook de identificatiegegevens van de tussenpersonen.

Besluit

Naar aanleiding van het arrest wordt nu ook van het grote publiek een legitiem belang vereist indien zij het UBO-register wensen te raadplegen voor vennootschappen. Dit was voordien reeds vereist voor uiteindelijke begunstigden van alle andere juridische structuren.

Concreet kan het grote publiek nu in afwachting van IT-ontwikkelingen om het UBO-register aan te passen aan de nieuwe wettelijke bepalingen, raadplegingsverzoeken sturen per e-mail naar: ubobelgium@minfin.fed.be. Belangrijk daarbij is dat wordt toegelicht op welk legitiem belang u zich denkt te beroepen.

Daarnaast kwam de wetgever tegemoet aan de vereisten van gegevensbescherming door enerzijds de verschillende doeleinden van het UBO-register op te nemen in de wet, en anderzijds de categorieën van persoonsgegevens die het UBO-register verwerkt in de wet op te nemen.

Gebruikte juridische bronnen:

  • Wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme, BS 6 oktober 2017;
  • Koninklijk besluit van 8 februari 2023 tot wijziging van het koninklijk besluit van 30 juli 2018 betreffende de werkingsmodaliteiten van het UBO-register;
  • HvJ 22 november 2022, nr. C-37/20 , ECLI:EU:C:2022:912;
  • Handvest van de Grondrechten van de Europese Unie;
  • Gebruikshandleiding van de toepassing UBO versie “burger”, https://financien.belgium.be/sites/default/files/thesaurie/20220502_Handleiding_Burger_NL.pdf;
  • Advies van de Gegevensbeschermingsautoriteit nr. 246/2022 van 9 november 2022;
  • DESMYTTERE, F., “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 6-29.

Gebruikte media bronnen:

[1] Artikel 73-75 Wet 18 september tot voorkoming van het witwassen van geld en de financiering van terrorisme, BS 2017.

[2] HvJ 22 november 2022, nr. C-37/20 , ECLI:EU:C:2022:912.

[3] Gebruikshandleiding van de toepassing UBO versie “burger”, https://financien.belgium.be/sites/default/files/thesaurie/20220502_Handleiding_Burger_NL.pdf

[4] Nieuwsoverzicht FOD financiën, https://financien.belgium.be/nl/E-services/Ubo-register; F., DESMYTTERE, “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 6-29.

[5] R., GOOSSENS, “Een presentje voor de oliarchen”,  https://www.standaard.be/cnt/dmf20221202_98057145 , F., DESMYTTERE, “Het UBO-register: verboden toegang voor onbevoegden?”, AFT 2023/1, 28. (met de nuance voor uiteindelijke begunstigen van (internationale) vzw’s en stichtingen); P., VAN MALDEGEM, “UBO-register raadpleegbaar door grote publiek onder voorwaarden”, https://www.tijd.be/netto/analyse/belastingen/ubo-register-raadpleegbaar-door-grote-publiek-onder-voorwaarden/10449524.html.

[6] Art. 10, §3 UBO-KB.

[7] Advies nr. 246/2022 van 9 november 2022, overweging 35-44.

Als betrokkene waarvan de persoonsgegevens verwerkt worden, hebt u steevast het recht op inzage. Dit recht op inzage is echter niet absoluut. Wij verduidelijken wat dit inhoudt, hoe u dit recht uitoefent en welk gevolg hieraan  gegeven moet worden.

Allereerst is de gebruikte terminologie ietwat misleidend aangezien dit de indruk schept dat u werkelijk de verwerking zélf kan inzien, terwijl de werkelijkheid toch genuanceerder is. Het betreft eerder een recht om van de verwerking van uw persoonsgegevens kennis te krijgen. U kan dit recht op ieder moment uitoefenen, ongeacht of u omtrent de verwerking van uw persoonsgegevens werd geïnformeerd bij de aanvang hiervan.

Artikel 15 GDPR verduidelijkt op welke informatie u recht hebt, buiten de concrete persoonsgegevens zelf, bij het uitoefenen van uw recht op inzage:

  • de verwerkingsdoeleinden;
  • de betrokken categorieën van persoonsgegevens;
  • de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
  • de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
  • dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
  • dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
  • wanneer de persoonsgegevens niet bij de betrokkene zelf worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  • het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
  • Wanneer er doorgifte gebeurt aan een derde land of internationale organisatie, de passende waarborgen die genomen worden.

U hebt in principe recht op één gratis kopie, voor bijkomende kopieën mag de verwerkingsverantwoordelijke een redelijke vergoeding in verhouding met de administratieve kosten aanrekenen.

Indien u uw verzoek tot inzage doet in elektronische vorm (bv. per e-mail) dan volstaat het voor de verwerkingsverantwoordelijke om u de kopie eveneens in elektronische vorm over te maken, tenzij u uitdrukkelijk anders verzoekt.

Uw recht op inzage is echter niet absoluut. Artikel 15.4 GDPR verduidelijkt dat dit geen afbreuk mag doen aan de rechten en vrijheden van anderen.

Indien u bijvoorbeeld uw recht op inzage uitoefent t.a.v. uw (ex-)werkgever, heeft deze het recht en eigenlijk zelfs de plicht om de evaluatieformulieren te anonimiseren/censureren aangezien de persoonsgegevens van anderen (bv. de evaluator, collega’s) ook beschermd moeten worden onder de AVG. In deze optiek heeft de verwerkingsverantwoordelijke eveneens het recht om een precisering van uw verzoek te vragen. Indien u reeds gedurende lange tijd tewerkgesteld staat, kan het immers disproportioneel zijn en buitensporige last opleggen om alle gegevens over de gehele periode te moeten anonimiseren/censureren en kopie van maken om gevolg te geven aan uw verzoek. Er moet in dit verband steeds een concrete afweging gemaakt worden.[1]

In het recente arrest van het Hof van Justitie van 4 mei 2023 verduidelijkte het Hof dat het recht van inzage zeer ruim kan gaan in die zin dat ook kopie van de achterliggende documenten of uittreksels verstrekt moet worden, nooit mogen echter de rechten en vrijheden van anderen hierbij uit het oog verloren worden:

“het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.”[2]

Uw verzoek zelf is niet aan enige vormvoorwaarden onderworpen. Met het licht op efficiënte behandeling hiervan, doet u er wel goed aan zichzelf reeds duidelijk te identificeren aangezien iedere verwerkingsverantwoordelijkheid uiteraard de plicht heeft over te gaan tot identificatie alvorens enige informatie te verschaffen.

Vervolgens heeft de Verwerkingsverantwoordelijke in principe één maand de tijd om gevolg te geven aan uw verzoek. Binnen deze periode moet hij ofwel de gegevens verschaffen ofwel u meedelen om welke reden hij meent dit niet te moeten/kunnen doen en u informeren omtrent uw mogelijkheid om klacht in te dienen bij de toezichthoudende autoriteit (GBA) en mogelijkheid tot navolgend beroep bij de rechter (Marktenhof). De termijn kan wél verlengd worden met een bijkomende twee maanden indien de verwerkingsverantwoordelijke u hiervan verwittigd voor het verstrijken van de oorspronkelijke termijn.

Indien u nog vragen hebt over (de uitoefening van) uw recht op inzage kan u ons steeds contacteren per email: gpdr@studio-legale.be of telefonisch op het nummer 03/216.70.70.

Juridische bronnen

  • DE BOT, De toepassing van de Algemene Verordening Gegevensbescherming in de Belgische context. Commentaar op de AVG, de Gegevensbeschermingswet en de Wet Gegevensbeschermingsautoriteit, Wolters Kluwer Belgium, Mechelen, 2020.
  • DE SMEDT en M. CAPRONI, Praktische gids privacy in de onderneming, Wolterw Kluwer Belgium, Mechelen, 2019.

Rechtspraak

 

  • Geschillenkamer GBA 9 februari 2021, RABG 2021/12-13, 1272-1293.
  • HvJ 4 mei 2023, C-487/21,

[1] Zie bijvoorbeeld Beslissing ten gronde 15/2021 van 9 februari 2021 van de geschillenkamer van de GBA

[2] HvJ 4 mei 2023, C-487/21, nr. 45.

Betreft       

Een ex-burgemeester gebruikt gegevens verzameld tijdens zijn mandaat voor het sturen van een e-mail met verkiezingspropaganda voor zijn kandidatuur voor de Provincieraad.

Context      

Gebruik e-mail voor verkiezingspropaganda

Rechtsgrond

Artikel 5.1 a) en b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – rechtmatigheid, behoorlijkheid en transparantie & doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking);

Artikel 25 GDPR: (Gegevensbescherming door ontwerp en door standaardinstellingen);

Artikel 32 GDPR: (Beveiliging van de verwerking);

Artikel 33 GDPR: (=Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Feiten

Op 22 mei 2019 verstuurt een ex-burgemeester onderstaand verkiezingsbericht naar een inwoner van een bepaalde gemeente: “beste dames, heren en vrienden, ik ben er trots op als (Xde) kandidaat op de lijst (Y) te staan voor ons arrondissement (lijst van de betrokken gemeenten… ) Sta mij toe om uw stem te vragen. Met een goed resultaat zal ik met onze ploeg van het College en de Provincieraad nog doeltreffender kunnen zijn. Ik wil mijn uiterste best doen om ook onze lokale vertegenwoordigers en hun projecten te steunen.”

De betrokken inwoner is hier absoluut niet mee gediend en vraagt zich luidop af hoe het komt dat hij dergelijke berichten ontvangt op zijn persoonlijk e-mailadres. Dat het bericht werd verstuurd met talrijke ontvangers in kopie, maakt de frustratie des te groter. Na verder onderzoek is aan het licht gekomen dat het e-mailadres van de betrokkene is verzameld naar aanleiding van een verzoek om informatie die de betrokkene in 2014 aan het secretariaat van de ex-burgemeester had verzonden om een openbare netheidskwestie te signaleren. Hierdoor werd zijn e-mailadres opgenomen in de lijst om verkiezingsberichten uit te sturen. Op het moment van de verzending van het bericht was de ex-burgemeester echter geen burgemeester meer.

Aangezien de ex-burgemeester op het moment van het verzamelen van het betreffende e-mailadres (in 2014) de verwerkingsverantwoordelijke was, was het ook zijn verantwoordelijkheid om ervoor te zorgen dat de persoonsgegevens op een passende rechtsgrondslag en in strikte overeenstemming met de in de GDPR vastgestelde beginselen werden verwerkt. Hij is ook verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens niet verder worden verwerkt voor een doel dat onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld en verwerkt (artikel 5.1.f), artikel 6.4, en artikel 32 van de GDPR).

Het finaliteitsbeginsel is een cruciaal beginsel van de gegevensbescherming. Persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor zij zijn verzameld. Het persoonlijk e-mailadres werd in 2014 verzameld omdat de burger destijds een melding deed over een stortplaats waarvoor hij een opkuis vroeg. Nu werd zijn e-mailadres gebruikt voor verkiezingsdoeleinden. Het hoeft dan ook geen betoog dat er geen verband is tussen de twee verwerkingsdoeleinden. Iets wat de GBA dan ook terecht opmerkte.

Sterker nog, de GBA is van mening dat het hergebruik door een ex-burgemeester van persoonsgegevens die in de loop van zijn ambtstermijn zijn verzameld voor onverenigbare doeleinden, de grondslagen van de democratie en de gelijkheid tussen de kandidaten ondermijnen. Een terechte visie van de GBA volgens ons.

Wat betreft de ongewenste verspreiding van het e-mailadres aan derde personen, geeft de ex-burgemeester toe een behandelingsfout te hebben begaan. Ongeacht of er al dan niet sprake is van een behandelingsfout, blijft er op dit vlak een schending bestaan van artikel 32.1. en 32.4. van de GDPR. Weliswaar accepteert de Geschillenkamer het niet-opzettelijk karakter van de inbreuk als een verzachtende omstandigheid.

Ook artikel 33 van de GDPR werd geschonden nu de kandidaat-burgemeester deze inbreuk niet binnen de termijn van 72 uur heeft gemeld aan de toezichthoudende overheid.

De Geschillenkamer heeft al eerder te maken gekregen met klachten in verband met de onrechtmatige gegevensverwerking voor verkiezingsdoeleinden.[1] Toen werd er in de meerderheid van de gevallen een administratieve boete opgelegd.

De GBA tilt zwaar aan het feit dat de kandidaat-burgemeester op het tijdstip van het verzamelen van de gegevens burgemeester en parlementslid was. Gezien zijn rol in het openbare leven, zou van hem verwacht mogen worden dat hij er zorgvuldig op  toeziet dat de verzamelde gegevens niet ten persoonlijke titel worden hergebruikt, en dat hij een verkiezingscampagne voert met inachtneming van alle toepasselijke regels (inclusief de regels inzake gegevensbescherming). Elke overheidsmandataris heeft immers een voorbeeldfunctie inzake het naleven van de wetgeving.

Uitspraak   

De schendingen van artikel 5.1. b) (onverenigbare verdere verwerking), artikel 5.1. a) (rechtmatigheid) en artikel 6.1 van de GDPR (onrechtmatige verwerking) die in deze beslissing worden vastgesteld, vormen een schending van de fundamentele beginselen van gegevensbescherming. In feite zijn dit inbreuken waarvoor de maximum boetes het hoogst zijn. De Geschillenkamer legt dan ook een administratieve boete op van € 5.000,00.

Onze mening        

Het finaliteitsbeginsel is een van de belangrijkste beginselen uit de GDPR. Het is dan ook zeer belangrijk dat dit basisbeginsel wordt nageleefd. In de eerste gepubliceerde beslissing (over verkiezingen) was de Geschillenkamer nog mild gelet op de toen nog nieuwe GDPR-wetgeving. In latere beslissingen waarbij gegevens onrechtmatig werden verwerkt voor verkiezingsdoeleinden, werd wel steevast een boete opgelegd. Dat is ook in deze zaak het geval. Er wordt terecht strenger opgetreden. Ook het feit dat de betrokkene een openbare functie uitoefende op het ogenblik van de gegevensverwerking, is een verzwarende omstandigheid.

Net zoals  eerdere beslissingen wordt geoordeeld dat een openbaar ambtenaar extra voorzichtig dient omgegaan met het verwerken van persoonsgegevens. Hieromtrent citeerde de Gegevensbeschermingsautoriteit het Europees Comité voor gegevensbescherming als volgt:

“de naleving van de regels inzake gegevensbescherming, ook in het kader van verkiezingsactiviteiten en -campagnes, is essentieel voor de bescherming van de democratie. Het is ook een middel om het vertrouwen van de burgers en de integriteit van de verkiezingen te behouden.”

Deze uitspraak is in lijn met de eerdere uitspraken waarin persoonsgegevens misbruikt werden voor verkiezingsdoeleinden. De GBA blijft op dit vlak onverbiddelijk.

 

Vernietiging door arrest Marktenhof van 27 januari 2021

Nadat de ex-burgemeester in hoger beroep is gegaan bij het Marktenhof van het hof van beroep te Brussel besluit het Marktenhof tot de vernietiging van de beslissing van de GBA en beveelt de opschorting van de beslissing.

Het Marktenhof oordeelt immers dat de sanctie bestaande uit de administratieve geldboete van € 5.000 disproportioneel is.

Het Marktenhof gaat helemaal niet akkoord met de verantwoording van de geschillenkamer dat een basisbeginsel geschonden zou zijn en dat dit zou bijdragen aan de verantwoording van de proportionaliteitseis. Iedere zaak moet in concreto beoordeeld worden en het Marktenhof wijst erop dat elementen uit eerdere beslissingen/zaken geen invloed mogen hebben op deze concrete beoordeling. De boete van € 5.000 wordt dan ook te vanzelfsprekend opgelegd volgens het Marktenhof, wat een disproportioneel karakter heeft.

Bovendien kan het eventuele niet-naleven van de formele schriftelijke procedure door de ex-burgemeester onder geen beding een verzwarende omstandigheid uitmaken.

Tot slot hecht het Marktenhof belang aan het feit dat duidelijk blijkt dat de ex-burgemeester op geen enkel ogenblik de intentie heeft getoond om de principes van gegevensbescherming te schenden, maar dat de schending een gevolg is van nalatigheid of onachtzaamheid, welke situatie onmiddellijk werd rechtgezet en waarvoor de ex-burgmeester zijn excuses aanbood.

Het Marktenhof stelt zich dan ook uitdrukkelijk de vraag of een berisping niet kon volstaan. De geschillenkamer zou nagelaten hebben om het vermoeden van goede trouw in acht te nemen.

Onze mening

 

Het Marktenhof ziet streng toe op de motivering en beoordeling door de Geschillenkamer van haar beslissing.

Hoewel uiteraard iedere zaak inderdaad concreet behandeld moet worden en alle elementen in overweging genomen dienen te worden, zijn wij van oordeel dat het Marktenhof dan weer onterecht geen aandacht spendeert aan het feit dat een ex-burgemeester en huidig parlementslid een voorbeeldfunctie heeft en in dat licht het opportunistische gebruik van gegevens waartoe hij toegang uit zijn voorbeeldfunctie o.i. toch aanleiding dient te geven tot het opleggen van een boete.

 

Beslissing en arrest

Beslissing 53/2020

Arrest marktenhof 27 januari 2021

[1] Beslissing 11-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-11-2019-van-25-november-2019/) ; Beslissing 10-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-10-2019-van-25-november-2019/);  Beslissing 04/2019 van 28 mei 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-04-2019-van-28-mei-2019/);  en beslissing 30/2020 van 8 juni 2020 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-30-2020-van-8-juni-2020/).

Betreft       

Een klacht werd ingesteld tegen Google wegens de weigering om tot verwijdering/wissing van bepaalde links over te gaan. De klacht werd in de loop van de procedure echter ingetrokken door de klager…

Context      

Recht op gegevenswissing , recht op vergetelheid

Implicaties van een afstand van klacht voor de bevoegdheid van de GBA

Rechtsgrond

Artikel 12.4 GDPR: “Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.”

Artikel 17 GDPR: “1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

 

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

 

b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

 

c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

 

d) de persoonsgegevens zijn onrechtmatig verwerkt;

 

e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

 

f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

 

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

 

 a) voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b) voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c) om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;

d) met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.”

 

Feiten

Een persoon richt zich tot de Gegevensbeschermingsautoriteit omdat Google zou weigeren om de URL’s die verschijnen op “Google.be” en “Google.com” in de resultaten na een zoekopdracht op naam van de persoon te verwijderen. Nog voor er een zitting kan plaatsvinden, laat de persoon weten dat hij afstand wenst te doen van zijn klacht aangezien de URL’s waren verwijderd. Beide partijen geven aan de zaak niet verder te willen zetten.

Desondanks beslist de Geschillenkamer het onderzoek van de klacht voort te zetten. De Geschillenkamer stelt namelijk, net zoals in haar beslissing nr. 17/2020, dat eenmaal zij is gevat, zij bevoegd is om in volledige onafhankelijkheid  de  naleving  van  de  GDPR  te  onderzoeken  en  te  waken  over  de  effectieve toepassing  ervan,  en  dit  ongeacht  de  intrekking  van  de  klacht  door  de  klager  of  het  zonder voorwerp worden ervan. Het beslechten van geschillen is maar een van de taken van de Geschillenkamer. Zij moet meer in het algemeen toezicht houden op de naleving van de regels inzake gegevensbescherming.

Omwille van gebrek aan feitelijke elementen in deze zaak, beide partijen hadden na melding van afstand van de klacht namelijk geen verdere conclusies of documenten neergelegd, is het de Geschillenkamer niet mogelijk om verdere vaststellingen te doen omtrent een eventuele inbreuk op de GDPR en seponeerde zij alsnog de klacht.

 

Uitspraak   

De voorliggende klacht wordt geseponeerd bij gebrek aan feitelijke elementen.

Onze mening        

Onverminderd het feit dat partijen afstand hebben gedaan van de klacht, verklaart de Geschillenkamer van de Gegevensbeschermingsautoriteit zich nadat zij gevat is bevoegd om in onafhankelijkheid het onderzoek naar inbreuken verder zetten. Dit is logisch aangezien indien zij niet meer bevoegd zou zijn na dergelijke afstand van klacht, verwerkingsverantwoordelijken zouden kunnen volstaan met slechts gevolg te geven aan de verzoeken tot uitoefening van de rechten van de betrokkenen tijdens de procedure zelf. Iets wat de bescherming van persoonsgegevens niet ten goede zou komen en alleszins niet de bedoeling van de GDPR-beginselen is.

 

Definitief?  

Ja

Beslissing

Beslissing 63/2020

 

 

Betreft:

Teneinde een toegangsverbod ten uitvoer te brengen werd door een griffier van de Sportrechtbank een screenshot van de profielfoto van de Klager, na bewerking, overgemaakt de sportcommissarissen van een event, alsook in CC aan de organiserende instelling.

Context:

Hergebruik van een profielfoto beschikbaar op facebook en GDPR door de Sportrechtbank m.h.o.o. de uitvoering en handhaving van een opgelegd toegangsverbod

Rechtsgrond:

Artikel 4. 7) GDPR: Voor de toepassing van deze verordening wordt verstaan onder:
[…]
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen
voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Artikel 6. 1) AVG:

  1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[…]

  1. f) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Feiten:

Een screenshot van een op facebook beschikbare foto werd verspreid via e-mail gericht aan derden, waaronder vrijwilligers en medewerkers van verweerster zonder dat de persoon in kwestie hiervoor zijn toestemming zou gegeven hebben.

De welbepaalde foto werd van facebook gehaald nadat de Sportrechtbank een aanwezigheidsverbod had opgelegd aan Klager.

In gevolge een vonnis van de Sportrechtbank werd klager veroordeeld tot “een algemeen verbod om aanwezig te zijn op trainingen, kampioenschappen of enige andere wedstrijd van om het even welke aard, georganiseerd onder de sportieve autoriteit van Y, dit voor een periode van 1 jaar. Dit verbod strekt zich uit tot elke plaats waar de competitie zich afspeelt, […]”.

Eerste verweerder is werknemer (griffier) van tweede verweerder, de Sportrechtbank.

Om het aanwezigheidsverbod te kunnen handhaven  werd in opdracht van de Sportrechtbank door de griffier een e-mail met de profielfoto van klager in bijlage uitgestuurd aan de sportcommissarissen van een welbepaald nakend event, alsook in cc aan de organiserende instelling.

Vooraleer deze profielfoto werd verspreid, werd deze ook bewerkt. De tweede persoon die op de foto te zien was, werd onzichtbaar gemaakt zodat enkel klager nog zichtbaar was.

De Geschillenkamer stelt vast dat de eerste verweerder het doel en de middelen voor de uitvoering van het vonnis van de Sportrechtbank heeft bepaald doordat de e-mail met foto in bijlage in haar naam en opdracht werd verzonden door de tweede verweerder die louter optrad in zijn functie van werknemer van de eerste verweerder.

De eerste verweerder, de werkgever wordt dus aangemerkt als verwerkingsverantwoordelijke in de zin van art. 4.7) GDPR.

Vervolgens is de geschillenkamer van oordeel dat er weldegelijk sprake is van een verwerking in de zin van artikel 4. 2) GDPR, gezien de foto op geautomatiseerde wijze aan de hand van bepaalde technologieën werd geraadpleegd om vervolgens te worden gebruikt en doorgezonden aan derden.

De Geschillenkamer oordeelt vervolgens dat verweerders zich terecht op art. 6.1 f) GDPR beroepen als grondslag voor de verwerking. Ten eerste stelt ze dat het feit dat een foto vrij toegankelijk werd gemaakt door de betrokkene zelf, geenszins het vrije hergebruik toelaat van de foto door derden die deze raadplegen. De Geschillenkamer benadrukt hiermee het principe dat het feit dat iemands profielfoto vrij toegankelijk is voor het publiek, niet betekent dat anderen deze vrij mogen gebruiken. Het gebruik is slechts mogelijk in geval van de aanwezigheid van een rechtsgrond zoals in casu art. 6.1 f) GDPR.

Op grond van rechtspraak van het Hof van Justitie dient aan drie cumulatieve voorwaarden voldaan te zijn opdat een verwerkingsverantwoordelijke zich rechtsgeldig kan beroepen op deze rechtmatigheidsgrond:

  1. De belangen die de verwerkingsverantwoordelijke met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (= de “doeltoets”);
  2. De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (= de noodzakelijkheidstoets”); en
  3. De afweging van deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen doorweegt in het voordeel van de verwerkingsverantwoordelijke (= de “afwegingstoets”).

Volgens de Geschillenkamer is aan de doeltoets voldaan omdat het belang dat de verweerder als verwerkingsverantwoordelijke nastreefde overeenkomstig overweging 47 GDPR als een gerechtvaardigd belang kan worden beschouwd. Het doeleinde dat erin bestaat uitvoering te geven aan het vonnis van de Sportrechtbank kan worden aangemerkt met oog op een gerechtvaardigd belang.

Ook de aan de noodzakelijkheidstoets is voldaan. Allereerst omwille van het feit dat door de foto te bewerken op zo een manier dat de andere persoon die op de profielfoto stond niet meer zichtbaar was, het beginsel van minimale gegevensverwerking werd gerespecteerd. Daarnaast stelt de Geschillenkamer vast dat de foto van de klager noodzakelijk was voor zijn identificatie om het aanwezigheidsverbod te kunnen handhaven. De wijze waarop de foto ter beschikking werd gesteld, hetzij via bijlage bij de betreffende e-mail, hetzij door rechtstreekse raadpleging via de Facebook pagina van klager, acht de Geschillenkamer irrelevant. Daardoor is ook op dit punt het beginsel van minimale gegevensverwerking gerespecteerd.

Ten slotte is volgens de Geschillenkamer ook voldaan aan de afwegingstoets tussen de belangen van de verwerkingsverantwoordelijke enerzijds en de fundamentele vrijheden en grondrechten van betrokkene anderzijds. De vraag die hiervoor dient gesteld te worden is: “mocht betrokkene op het tijdstip en in het kader van de verzameling van persoonsgegevens redelijkerwijze verwachten dat verwerking met dat doel kan plaatsvinden?”. Doordat de klager zelf de foto heeft gepubliceerd op zodanige wijze dat deze vrij toegankelijk is voor eenieder, is de Geschillenkamer van oordeel dat het binnen de redelijke verwachtingen van de klager valt dat derden zich toegang verschaffen tot de publiek gedeelde informatie en deze gebruiker. Doordat de Sportrechtbank naast het aanwezigheidsverbod ook stipuleert dat de griffier van het secretariaat van verweerder 1 wordt verzocht om dit verbod ter kennis te brengen van alle organisatoren van wedstrijden op Belgisch grondgebied, stelt de Geschillenkamer dat verweerders zich terecht beroepen op art. 6.1 f) GDPR.

Uitspraak:

Op basis van deze redenen en de informatie die de Geschillenkamer ter beschikking had, werd besloten de voorliggende klacht te seponeren.

Onze mening:

Doordat verweerders het beginsel van minimale gegevensverwerking hebben gerespecteerd door de foto op zo een manier te bewerken dat de andere persoon niet meer zichtbaar was én dat het vonnis van de Sportrechtbank verzocht  aan de griffier van het secretariaat van verweerder om het aanwezigheidsverbod ter kennis te stellen van alle organisatoren van wedstrijden op Belgisch grondgebied, werden ook volgens ons voldoende maatregelen genomen om te stellen dat er geen schending heeft plaatsgevonden van de GDPR regelgeving.

Deze klacht werd terecht geseponeerd.

 Definitief?

Ja.

Beslissing

 

 

Beslissing 35/2020

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja

 

 

 


Beslissing

Beslissing 64/2020

 

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

 

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

 

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!