Betreft
Een notaris raadpleegde de gegevens van haar ex-medewerker in het rijksregister voor het verzenden van eco-cheques. Beging zij hierbij een inbreuk?
Context
Raadpleging gegevens rijksregister van ex-medewerker door notaris.
Rechtsgrond
Artikel 5.1.a) en c) GDPR: “1. Persoonsgegevens moeten:
a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
(…)
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”
Artikel 6 GDPR:
“1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
a) Unierecht; of
b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. (hierna Rijksregister-wet)
Artikel 100 WOG:
Ҥ 1
De geschillenkamer heeft de bevoegdheid om:
1° een klacht te seponeren;
2° de buitenvervolgingstelling te bevelen;
3° de opschorting van de uitspraak te bevelen;
4° een schikking voor te stellen;
5° waarschuwingen en berispingen te formuleren;
6° te bevelen dat wordt voldaan aan de verzoeken van de betrokkene om zijn rechten uit te oefenen;
7° te bevelen dat de betrokkene in kennis wordt gesteld van het veiligheidsprobleem;
8° te bevelen dat de verwerking tijdelijk of definitief wordt bevroren, beperkt of verboden;
9° te bevelen dat de verwerking in overeenstemming wordt gebracht;
10° de rechtzetting, de beperking of de verwijdering van gegevens en de kennisgeving ervan aan de ontvangers van de gegevens te bevelen;
11° de intrekking van de erkenning van certificatie-instellingen te bevelen;
12° dwangsommen op te leggen;
13° administratieve geldboeten op te leggen;
14° de opschorting van grensoverschrijdende gegevensstromen naar een andere Staat of een internationale instelling te bevelen;
15° het dossier over te dragen aan het parket van de procureur des Konings te Brussel, die het in kennis stelt van het gevolg dat aan het dossier wordt gegeven;
16° geval per geval te beslissen om haar beslissingen bekend te maken op de website van de Gegevensbeschermingsautoriteit.
§2
Wanneer na toepassing van § 1, 15°, het openbaar ministerie er van afziet een strafvervolging in te stellen, een minnelijke schikking of een bemiddeling in strafzaken bedoeld in artikel 216ter van het Wetboek van strafvordering voor te stellen, of wanneer het openbaar ministerie geen beslissing heeft genomen binnen een termijn van zes maanden te rekenen van de dag van ontvangst van het dossier, beslist de Gegevensbeschermingsautoriteit of de administratieve procedure moet worden hernomen.”
Feiten
De medewerker was in dienst bij de notaris en volgens zijn arbeidscontract alsook het contract i.v.m. de toekenning van ecocheques was hij woonachtig in Wallonië. In tegenstelling tot het contract waarin de maandelijkse bijschrijving van de ecocheques op de ecochequerekening van de medewerker werd opgenomen, werden de ecocheques steeds per post verzonden.
Om de reistijd te beperken verhuisde de medewerker naar Vlaanderen. Hij behield zijn woonplaats in Wallonië.
In 2020 kwam het ontslag van de medewerker, welke in een gespannen sfeer zou hebben plaatsgevonden waarbij alle vertrouwen tussen de notaris en de medewerker zoek was.
Er bleef nog € 56,07 aan ecocheques verschuldigd door de notaris aan de medewerker. Pas na twee herinneringen heeft de notaris deze ecocheques aan de medewerker verzonden na, volgens de eigen verklaring van de notaris, het Rijksregister te hebben geraadpleegd voor het correcte adres.
De medewerker hekelde deze raadpleging van het Rijksregister.
De notaris verklaarde in dit verband dat hij had willen nagaan wat het correcte adres was om de ecocheques naar te verzenden aangezien hij niet zeker was omwille van het feit dat de medewerker een adres in Vlaanderen en Wallonië had.
De Geschillenkamer benadrukt allereerst de omvang van haar eigen bevoegdheid om aan te tonen dat de klacht hierbinnen valt.
De controletaak van de GBA betreft de naleving van de GDPR in haar geheel. Haar bevoegdheid beperkt zich dus niet tot de “fundamentele beginselen van gegevensbescherming”. Evengoed omvat de bevoegdheid van de GBA ook bepalingen met betrekking tot gegevensbescherming vervat in specifieke wetgeving, zoals in casu de Rijksregisterwet alsook bv. de Camerawet zoals reeds in eerdere beslissingen is gebleken.[1]
Het verweer van de notaris dat de GBA onbevoegd is aangezien deze bevoegdheid zich beperkt tot de “fundamentele beginselen van gegevensbescherming” wordt dan ook door de Geschillenkamer van tafel geveegd.
Daarnaast tracht de notaris te beweren dat de controle i.v.m. de toegang tot het rijksregister een bevoegdheid is van de minister van Binnenlandse Zaken.
De machtiging vervat in artikel 5.1 van de Rijksregisterwet aan de notarissen om toegang te krijgen tot het Rijksregister wordt inderdaad door de minister van Binnenlandse Zaken uitgereikt.
Het onderzoek of de toegang rechtmatig was, behoort volgens de Geschillenkamer ongetwijfeld tot de bevoegdheid van de GBA. De toezichthoudende bevoegdheid werd namelijk niet bij wet aan de minister van Binnenlandse Zaken toegekend. Een minister voldoet overigens per definitie niet aan de voorwaarden om de taken van een onafhankelijke gegevensbeschermingsautoriteit onder de GDPR uit te oefenen. (artikel 51 GDPR)
Artikel 17 van de Rijksregisterwet verwijst overigens zelf naar de bevoegdheid van de GBA.
De klacht is dus ontvankelijk.
De Geschillenkamer oordeelt dat de raadpleging van het Rijksregister van de medewerker door de notaris niet beperkt werd tot de specifieke uitoefening van het beroep.
Het feit dat de notaris ook via een andere bron (Kruispuntbank van de Sociale Zekerheid) toegang tot de adresgegevens zou hebben gehad, doet hier geen afbreuk aan. Dit kan enkel in acht genomen worden bij de beoordeling van de sanctie.
De notaris heeft het Rijksregister zonder passende rechtsgrondslag geraadpleegd en aldus een gegevensverwerking verricht waarbij hij zich niet kon beroepen op een van de rechtmatigheidsgronden in artikel 6 GDPR. Hij schendt hierdoor artikel 6 als ook artikel 5.1.a) GDPR dat bepaalt dat de verwerking rechtmatig moet zijn.
Volgens de GBA was de raadpleging bovendien niet noodzakelijk aangezien de adressen in de overeenkomsten vervat waren en de notaris steeds de kans had om in reactie op de herinneringen van de medewerker, de vraag naar het correcte adres aan hem te stellen. Hierbij herinnert de Geschillenkamer aan het minimaliseringsbeginsel vervat in artikel 5.1.c) GDPR.
Met betrekking tot de sanctie maakt de Geschillenkamer een uitgebreide overweging van alle concrete omstandigheden:
- De schending betreft de grondbeginselen van de GDPR waarvoor een hogere maximale boete kan opgelegd worden;
- De notaris heeft als openbaar ambtenaar en strikt gereglementeerd vrij beroep een voorbeeldfunctie waardoor vereist wordt dat hij een voorbeeldige houding aanneemt m.b.t de naleving van de wet, inclusief regelgeving inzake gegevensbescherming;
- Het betreft een alleenstaande schending m.b.t. één werknemer in de specifieke en eenmalige context van vertrouwensbreuk. Daarnaast zorgde de covid-19-pandemie en de opkomende lockdown voor bijkomende moeilijkheden voor de verzending. Er is geen enkele reden om aan te nemen dat de schending deel is van een structureel gebrek bij de werking van de notaris;
- De notaris is van mening dat adresgegevens betrekkelijk onbeduidend zijn en niet bijzonder gevoelig. Hij heeft geen mogelijkheid om bij de raadpleging van het Rijksregister de zoekopdracht enkel hiertoe te beperken;
- De notaris heeft verschillende maatregelen genomen om aan zijn verplichtingen als verwerkingsverantwoordelijke te voldoen (bv. benoeming DPO, register van verwerkingsactiviteiten, beleid inzake bescherming van persoonsgegevens voor burgers…);
Op basis van al deze elementen volstaat volgens de Geschillenkamer een berisping.
Uitspraak
De geschillenkamer stelt een inbreuk van artikel 6 GDPR juncto artikel 5.1.a) GDPR vast en legt een berisping op als sanctie.
Onze mening
Net zoals we in eerdere beslissingen met betrekking tot burgemeesters en schepenen hebben kunnen vaststellen, blijft de GBA terecht belang echten aan de voorbeeldfunctie van de notaris in haar beoordeling van de inbreuken.
De toegang tot het Rijksregister is een bevoegdheid van de notaris die énkel wordt verstrekt in het kader van de uitoefening van zijn specifieke beroep. De notaris ging in casu deze bevoegdheid te buiten.
De sanctie van berisping lijkt ons gepast gelet op het feit dat blijkt dat dit een eenmalig voorval is waarbij de notaris geleid werd door de vertrouwensbreuk en de moeilijke omstandigheden in het kader van de pandemie en in dit kader zich wou verzekeren van de correcte adressering teneinde geen verder geschil met de voormalige medewerker te bewerkstelligen.
Beslissing
[1] Zie bv. Beslissing ten gronde nr. 80/2020 (https://studio-legale.com/rechtspraak-gba-beslissing-ten-gronde-nr-80-2020-van-17-december-2020/ ).