Recente beslissingen van de GBA: een overzicht

De beslissingen van de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) volgen elkaar zoals gebruikelijk aan het einde van het jaar opnieuw snel op. Hieronder vatten wij drie interessante beslissingen samen die recent gepubliceerd werden op de website van de GBA. Vervolgens worden de feiten die aanleiding gaven tot elke beslissing en de beweegredenen erachter in detail uiteengezet.


De eerste besproken zaak betreft een doorgifte door een sociale verhuurmaatschappij van persoonsgegevens van twee huurders van een sociale woning aan een Nederlandse onderneming met het oog op het laten verrichten van een verificatieonderzoek of nog aan de huurvoorwaarden werd voldaan. De wet voorziet in verband met de toelatings- en huurvoorwaarden namelijk in een controleplicht voor sociale huisvestingsmaatschappijen onder de mogelijkheid om hiervoor bepaalde bronnen te consulteren. De Geschillenkamer besluit echter tot haar onbevoegdheid omdat de bewuste feiten plaatsvonden voor het van toepassing worden van de AVG. De beslissing blijft evenwel interessant omdat de Geschillenkamer de problematiek aanhaalt die eruit bestaat dat wetgevende teksten vaak nalaten om de essentiële kenmerken van gegevensverwerkingen uitdrukkelijk vast te leggen waar verwerkingen hun grondslag vinden in een wettelijke verplichting of een opdracht in het algemeen belang. Dit is ook het geval ten aanzien van sociale verhuurmaatschappijen, voor wie het op basis van de geldende wetteksten niet duidelijk is welke gegevensverwerkingen zij precies mogen verrichten en onder welke modaliteiten, om na te gaan of aan de wettelijke toelatings- en huurvoorwaarden wordt voldaan.


De tweede zaak heeft betrekking op de doorgifte door een fitnessclub van persoonsgegevens van een klant aan een andere klant met het oog op de rechtzetting van een administratieve fout waardoor deze laatste klant onterecht de abonnementsgelden van de andere klant betaalde. Hierbij vestigt de Geschillenkamer de aandacht op het feit dat voor iedere concrete doorgifte van persoonsgegevens een rechtsgrond voorhanden moet zijn. Bovendien wijst zij erop dat de fitnessclub vooraf diende na te gaan of het beoogde doel niet bereikt kon worden zonder persoonsgegevens te delen. Mede gelet op de door de fitnessclub genomen maatregelen naar aanleiding van de inbreuk en klacht, besluit de Geschillenkamer ondanks de onrechtmatig bevonden doorgifte om slechts een berisping uit te spreken.


De derde zaak die hieronder besproken wordt is in het bijzonder interessant voor ondernemingen die overwegen om een beroep te doen op dataleveranciers om hun marketingactiviteiten een boost te geven. De Geschillenkamer vestigt hier de aandacht op het belang van het voorafgaandelijk voeren van een degelijk onderzoek naar de herkomst van persoonsgegevens en de omstandigheden waarin ze werden verkregen, ook wanneer een onderneming voornemens is om deze aan te kopen bij een gespecialiseerde partner. Een onderneming mag er dus niet zomaar vanuit gaan dat de betrokken persoonsgegevens rechtmatig verkregen werden door haar partner en bruikbaar zijn voor de beoogde doeleinden. Bovendien herhaalt de Geschillenkamer welke de na te leven principes zijn bij het sturen van direct marketing naar betrokkenen wiens gegevens onrechtstreeks werden verkregen, zoals de informatieplicht omtrent de bron van de gegevens en het bieden van de mogelijkheid om bezwaar te maken tegen dergelijke verwerking. De inbreuken leiden tot een boete van maar liefst €10.000, mede gelet op het feit dat een eerdere “light” beslissing van de Geschillenkamer in dezelfde zaak niet werd nageleefd.


Hieronder wordt iedere beslissing verder in detail besproken.



1. Sociale verhuurmaatschappij geeft persoonsgegevens huurders door aan Nederlands bedrijf in functie van vermogensonderzoek


Twee huurders van een sociale woning dienen klacht in tegen hun sociale huisvestingsmaatschappij omdat deze hun gegevens heeft doorgegeven aan een Nederlandse firma om een verificatieonderzoek te laten uitvoeren met als doel vaststellen of nog aan de huurvoorwaarden wordt voldaan.


De Inspectiedienst krijgt opdracht tot het uitvoeren van een onderzoek en stelt in hoofde van de huisvestingsmaatschappij verschillende inbreuken vast zoals op de informatieplicht, het beginsel van de rechtmatigheid van de verwerking, de vereisten waaraan de DPO moet voldoen en de vereisten inzake doorgiften van persoonsgegevens buiten de EER. De Geschillenkamer besluit vervolgens echter om de klacht te seponeren wegens haar temporele onbevoegdheid omdat de bestreden verwerkingen zijn verricht voordat de GDPR van toepassing werd. Het verificatieonderzoek werd namelijk reeds afgerond omstreeks einde maart 2018, waarna bij brief van 11 april 2018 een einde werd gemaakt aan de huurovereenkomst. Hierin kregen de huurders een termijn toegekend tot 31 oktober 2018 om de bewuste woning en garage te verlaten en vrij ter beschikking te stellen.


De Geschillenkamer bevestigt dat zij weliswaar bevoegd is voor gegevensverwerkingen die zijn aangevat voor het van toepassing worden van de AVG en de inwerkingtreding van de oprichtingswet van de GBA op 25 mei 2018, en die daarna nog steeds doorgaan. Dit is echter niet het geval voor eenmalige verwerkingen die hebben plaatsgevonden voor die datum, of meermalige verwerkingen die voor die datum zijn gestopt.


Volledigheidshalve maakt de Geschillenkamer van de gelegenheid gebruik om de aandacht te vestigen op de onderliggende bredere problematiek van de verwerking van persoonsgegevens in functie van de controle op de inschrijvings- en toelatingsvoorwaarden in het kader van de sociale huur. Sociale huisvestingsmaatschappijen consulteren in de praktijk namelijk overheidsinformatie of doen zelfs een beroep op private onderzoeksbureaus om na te gaan of (kandidaat-)huurders niet in strijd met de inschrijvings- of huurvoorwaarden over woningen of bouwpercelen beschikken in binnen- of buitenland. De Vlaamse Codex Wonen bevat omtrent deze controleplicht een uitdrukkelijke bepaling die aan de relevante sociale huisvestingsmaatschappijen toelaat om hiervoor bepaalde niet-limitatief opgesomde bronnen te consulteren.


Hierbij wijst de Geschillenkamer op het belang van het omschrijven van de essentiële kenmerken van de gegevensverwerkingen in de toepasselijke normen wanneer verwerkingen hun grondslag vinden in een wettelijke verplichting, of in een taak van algemeen belang dan wel in uitoefening van het openbaar gezag. Hierbij spreekt zij zich uit tegen meer algemene machtigingen in de wet om te handelen, zoals noodzakelijk voor de vervulling van een taak, waarbij de instanties belast met een taak van algemeen belang aangewezen zijn op hun eigen afwegingen van welke verwerkingen noodzakelijk en gerechtvaardigd zijn ten aanzien van de betrokkenen. Dit is in casu het geval aangezien de betrokken bepaling nalaat om de gerechtvaardigde gegevensverwerkingen met het oog op voornoemde controle nauwkeurig te omschrijven. Bovendien verwijzen voornoemde Codex en de betreffende sociale huisvestingsmaatschappij verkeerdelijk naar de toepassing van de toestemming van de betrokken (kandidaat-)huurder als rechtsgrond, terwijl dit onder de GDPR geen rechtsgrond kan bieden voor de verwerking door de duidelijke wanverhouding tussen de betrokkene en de sociale huisvestingsmaatschappij, die immers beschikt over een specifiek publiekrechtelijk statuut als verwerkingsverantwoordelijke, en door de negatieve gevolgen bij weigering om toe te stemmen. Sociale huisvestingsmaatschappijen dienen er dan ook aandacht voor te hebben om verwerkingen met het oog op nagaan of een (kandidaat-)huurder aan de wettelijke voorwaarden voldoet, niet te baseren op toestemming en dan ook geen toestemmingsformulieren in die zin te gebruiken.


Gelet op de seponering, beperkt de Geschillenkamer zich in casu tot deze algemene beschouwingen en neemt zij zich voor om deze maatschappelijke problematiek verder te onderzoeken wanneer verdere procedures hieromtrent bij haar aanhangig worden gemaakt.




2. Fitnessclub geeft persoonsgegevens klant onrechtmatig door aan andere klant


Een klant van een fitnessclub blijkt door een administratieve fout abonnementsgelden te betalen van een andere klant. Hierop krijgt deze eerste klant van de fitnessclub het advies om klacht in te stellen bij de politie waarbij zij om dit mogelijk te maken, de gegevens doorgeeft van de klant wiens abonnementsgelden onterecht betaald worden, waaronder haar naam, adres, geboortedatum, e-mailadres en de data van haar laatste bezoeken aan de fitnessclub. Deze laatste klant dient daarom klacht in tegen de fitnessclub bij de GBA.