De beslissingen van de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) volgen elkaar zoals gebruikelijk aan het einde van het jaar opnieuw snel op. Hieronder vatten wij drie interessante beslissingen samen die recent gepubliceerd werden op de website van de GBA. Vervolgens worden de feiten die aanleiding gaven tot elke beslissing en de beweegredenen erachter in detail uiteengezet.
De eerste besproken zaak betreft een doorgifte door een sociale verhuurmaatschappij van persoonsgegevens van twee huurders van een sociale woning aan een Nederlandse onderneming met het oog op het laten verrichten van een verificatieonderzoek of nog aan de huurvoorwaarden werd voldaan. De wet voorziet in verband met de toelatings- en huurvoorwaarden namelijk in een controleplicht voor sociale huisvestingsmaatschappijen onder de mogelijkheid om hiervoor bepaalde bronnen te consulteren. De Geschillenkamer besluit echter tot haar onbevoegdheid omdat de bewuste feiten plaatsvonden voor het van toepassing worden van de AVG. De beslissing blijft evenwel interessant omdat de Geschillenkamer de problematiek aanhaalt die eruit bestaat dat wetgevende teksten vaak nalaten om de essentiële kenmerken van gegevensverwerkingen uitdrukkelijk vast te leggen waar verwerkingen hun grondslag vinden in een wettelijke verplichting of een opdracht in het algemeen belang. Dit is ook het geval ten aanzien van sociale verhuurmaatschappijen, voor wie het op basis van de geldende wetteksten niet duidelijk is welke gegevensverwerkingen zij precies mogen verrichten en onder welke modaliteiten, om na te gaan of aan de wettelijke toelatings- en huurvoorwaarden wordt voldaan.
De tweede zaak heeft betrekking op de doorgifte door een fitnessclub van persoonsgegevens van een klant aan een andere klant met het oog op de rechtzetting van een administratieve fout waardoor deze laatste klant onterecht de abonnementsgelden van de andere klant betaalde. Hierbij vestigt de Geschillenkamer de aandacht op het feit dat voor iedere concrete doorgifte van persoonsgegevens een rechtsgrond voorhanden moet zijn. Bovendien wijst zij erop dat de fitnessclub vooraf diende na te gaan of het beoogde doel niet bereikt kon worden zonder persoonsgegevens te delen. Mede gelet op de door de fitnessclub genomen maatregelen naar aanleiding van de inbreuk en klacht, besluit de Geschillenkamer ondanks de onrechtmatig bevonden doorgifte om slechts een berisping uit te spreken.
De derde zaak die hieronder besproken wordt is in het bijzonder interessant voor ondernemingen die overwegen om een beroep te doen op dataleveranciers om hun marketingactiviteiten een boost te geven. De Geschillenkamer vestigt hier de aandacht op het belang van het voorafgaandelijk voeren van een degelijk onderzoek naar de herkomst van persoonsgegevens en de omstandigheden waarin ze werden verkregen, ook wanneer een onderneming voornemens is om deze aan te kopen bij een gespecialiseerde partner. Een onderneming mag er dus niet zomaar vanuit gaan dat de betrokken persoonsgegevens rechtmatig verkregen werden door haar partner en bruikbaar zijn voor de beoogde doeleinden. Bovendien herhaalt de Geschillenkamer welke de na te leven principes zijn bij het sturen van direct marketing naar betrokkenen wiens gegevens onrechtstreeks werden verkregen, zoals de informatieplicht omtrent de bron van de gegevens en het bieden van de mogelijkheid om bezwaar te maken tegen dergelijke verwerking. De inbreuken leiden tot een boete van maar liefst €10.000, mede gelet op het feit dat een eerdere “light” beslissing van de Geschillenkamer in dezelfde zaak niet werd nageleefd.
Hieronder wordt iedere beslissing verder in detail besproken.
Twee huurders van een sociale woning dienen klacht in tegen hun sociale huisvestingsmaatschappij omdat deze hun gegevens heeft doorgegeven aan een Nederlandse firma om een verificatieonderzoek te laten uitvoeren met als doel vaststellen of nog aan de huurvoorwaarden wordt voldaan.
De Inspectiedienst krijgt opdracht tot het uitvoeren van een onderzoek en stelt in hoofde van de huisvestingsmaatschappij verschillende inbreuken vast zoals op de informatieplicht, het beginsel van de rechtmatigheid van de verwerking, de vereisten waaraan de DPO moet voldoen en de vereisten inzake doorgiften van persoonsgegevens buiten de EER. De Geschillenkamer besluit vervolgens echter om de klacht te seponeren wegens haar temporele onbevoegdheid omdat de bestreden verwerkingen zijn verricht voordat de GDPR van toepassing werd. Het verificatieonderzoek werd namelijk reeds afgerond omstreeks einde maart 2018, waarna bij brief van 11 april 2018 een einde werd gemaakt aan de huurovereenkomst. Hierin kregen de huurders een termijn toegekend tot 31 oktober 2018 om de bewuste woning en garage te verlaten en vrij ter beschikking te stellen.
De Geschillenkamer bevestigt dat zij weliswaar bevoegd is voor gegevensverwerkingen die zijn aangevat voor het van toepassing worden van de AVG en de inwerkingtreding van de oprichtingswet van de GBA op 25 mei 2018, en die daarna nog steeds doorgaan. Dit is echter niet het geval voor eenmalige verwerkingen die hebben plaatsgevonden voor die datum, of meermalige verwerkingen die voor die datum zijn gestopt.
Volledigheidshalve maakt de Geschillenkamer van de gelegenheid gebruik om de aandacht te vestigen op de onderliggende bredere problematiek van de verwerking van persoonsgegevens d in functie van de controle op de inschrijvings- en toelatingsvoorwaarden in het kader van de sociale huur. Sociale huisvestingsmaatschappijen consulteren in de praktijk namelijk overheidsinformatie of doen zelfs een beroep op private onderzoeksbureaus om na te gaan of (kandidaat-)huurders niet in strijd met de inschrijvings- of huurvoorwaarden over woningen of bouwpercelen beschikken in binnen- of buitenland. De Vlaamse Codex Wonen bevat omtrent deze controleplicht een uitdrukkelijke bepaling die aan de relevante sociale huisvestingsmaatschappijen toelaat om hiervoor bepaalde niet-limitatief opgesomde bronnen te consulteren.
Hierbij wijst de Geschillenkamer op het belang van het omschrijven van de essentiële kenmerken van de gegevensverwerkingen in de toepasselijke normen wanneer verwerkingen hun grondslag vinden in een wettelijke verplichting, of in een taak van algemeen belang dan wel in uitoefening van het openbaar gezag. Hierbij spreekt zij zich uit tegen meer algemene machtigingen in de wet om te handelen, zoals noodzakelijk voor de vervulling van een taak, waarbij de instanties belast met een taak van algemeen belang aangewezen zijn op hun eigen afwegingen van welke verwerkingen noodzakelijk en gerechtvaardigd zijn ten aanzien van de betrokkenen. Dit is in casu het geval aangezien de betrokken bepaling nalaat om de gerechtvaardigde gegevensverwerkingen met het oog op voornoemde controle nauwkeurig te omschrijven. Bovendien verwijzen voornoemde Codex en de betreffende sociale huisvestingsmaatschappij verkeerdelijk naar de toepassing van de toestemming van de betrokken (kandidaat-)huurder als rechtsgrond, terwijl dit onder de GDPR geen rechtsgrond kan bieden voor de verwerking door de duidelijke wanverhouding tussen de betrokkene en de sociale huisvestingsmaatschappij, die immers beschikt over een specifiek publiekrechtelijk statuut als verwerkingsverantwoordelijke, en door de negatieve gevolgen bij weigering om toe te stemmen. Sociale huisvestingsmaatschappijen dienen er dan ook aandacht voor te hebben om verwerkingen met het oog op nagaan of een (kandidaat-)huurder aan de wettelijke voorwaarden voldoet, niet te baseren op toestemming en dan ook geen toestemmingsformulieren in die zin te gebruiken.
Gelet op de seponering, beperkt de Geschillenkamer zich in casu tot deze algemene beschouwingen en neemt zij zich voor om deze maatschappelijke problematiek verder te onderzoeken wanneer verdere procedures hieromtrent bij haar aanhangig worden gemaakt.
Een klant van een fitnessclub blijkt door een administratieve fout abonnementsgelden te betalen van een andere klant. Hierop krijgt deze eerste klant van de fitnessclub het advies om klacht in te stellen bij de politie waarbij zij om dit mogelijk te maken, de gegevens doorgeeft van de klant wiens abonnementsgelden onterecht betaald worden, waaronder haar naam, adres, geboortedatum, e-mailadres en de data van haar laatste bezoeken aan de fitnessclub. Deze laatste klant dient daarom klacht in tegen de fitnessclub bij de GBA.
De Geschillenkamer oordeelt dat de fitnessclub geen rechtsgrond heeft om de gegevens van klaagster zonder meer door te geven aan de klant die wegens een administratieve fout onterecht haar abonnementsgelden betaalde. Dit kadert immers niet binnen de contractuele relatie tussen de fitnessclub en klaagster met het oog op het gebruik van de sportfaciliteiten. In het licht van de bestaande overeenkomst is dan ook sprake van een onverenigbare verdere verwerking. Ook een beroep op het gerechtvaardigd belang is niet mogelijk aangezien de noodzakelijkheidstoets en de afwegingstoets niet worden doorstaan. De fitnessclub kon de persoon voor wie verkeerdelijk abonnementsgelden waren betaald, immers ook intern identificeren en eerst zelf met haar contact opnemen om diens administratieve fout recht te zetten, in plaats van haar gegevens onmiddellijk door te geven aan een andere klant. Ook wanneer er een gerechtvaardigd doel voorhanden lijkt te zijn (hier het rechtzetten van de incorrecte facturatie van abonnementsgelden), is het als onderneming dus aangewezen om twee keer na te denken alvorens klantengegevens door te geven aan een derde (klant). Hierbij dient de onderneming na te gaan of dit gekaderd kan worden binnen de verwerkingen die reeds rechtmatig plaatsvinden, en in het bijzonder te onderzoeken of er geen andere werkwijze mogelijk is die eveneens kan leiden tot het bereiken van het beoogde (gerechtvaardigde) doel, maar waarbij het niet of in mindere mate nodig is om persoonsgegevens te delen of anderszins verder te verwerken.
Ondanks de inbreuken, gaat de Geschillenkamer over tot het uitspreken van een eenvoudige berisping en acht zij het niet nodig om een geldboete op te leggen. Dit gelet op het feit dat het om een eenmalige onrechtmatige verwerking gaat, die mogelijk toe te schrijven is aan een menselijke fout, en gelet op het feit dat er inmiddels geschikte maatregelen zijn genomen om herhaling te voorkomen (uitdelen van flyers aan medewerkers met daarop de AVG-verplichtingen, verbetering van de interne procedures, het aanspreken van de betrokken medewerker, …). Hiermee bevestigt de Geschillenkamer het belang van een (pro)actieve medewerking in het kader van onderzoeken en procedures voor de GBA.
Een burger ontvangt van een onderneming een aan hem persoonlijk gerichte brief met de uitnodiging om een prijsofferte aan te vragen. Uit de brief blijkt dat de onderneming op de hoogte is dat de ontvanger bouw of verbouwplannen heeft, hoewel hij geen klant is.
De ontvanger reageert door te vragen via welke organisatie de onderneming zijn persoonsgegevens verkregen heeft. Bovendien oefent hij zijn recht van bezwaar tegen direct marketing uit en verzoekt hij om de verwijdering van al zijn gegevens in het bezit van de onderneming. De persoon in kwestie richt het verzoek eerst per e-mail aan de onderneming en bij het uitblijven van een antwoord ook per aangetekende brief. Ook hierop komt geen antwoord.
In februari 2020 dient de betrokkene klacht in bij de GBA. Op 23 oktober 2020 legt de Geschillenkamer, alvorens een beslissing ten gronde te nemen, reeds het bevel op aan de onderneming om binnen een maand gevolg te geven aan de uitoefening van bovenvermelde rechten door de betrokkene. Het betreft hier een zogenaamde “light” beslissing, een vereenvoudigde procedure die de Geschillenkamer kan volgen wanneer de in een klacht uiteengezette feiten op zichzelf voldoende duidelijk zijn om een inbreuk op de AVG vast te stellen, zonder hieromtrent te moeten verzoeken om het standpunt van de verweerder. Op die manier kan in gevallen die zich hiertoe lenen sneller tegemoet worden gekomen aan de behoeften van de burger, door bijvoorbeeld vlot een bevel of waarschuwing te richten aan de verwerkingsverantwoordelijke. Bij een passend gevolg, kan het geschil daarmee meteen worden afgesloten. Klager verneemt echter opnieuw niets van de onderneming en meldt dit aan de Geschillenkamer, die in maart 2020 dan toch een volwaardige procedure ten gronde aanvat.
Hierin erkent de onderneming dat zij de persoonsgegevens van klager heeft verkregen via een derde onderneming, die aanbood om aan haar publiek beschikbare gegevens van particulieren te verkopen, met name gegevens die in het kader van officiële bouwaanvragen en -vergunningen evenals bouwintenties op omgevingsloketten van Belgische overheden worden gepubliceerd. Op deze manier werd klager samen met andere personen wiens gegevens op deze manier gepubliceerd waren, gericht en ongevraagd aangeschreven. De onderneming ging niet onmiddellijk in op de verzoeken van klager omdat zij er naar eigen zeggen te goeder trouw vanuit ging dat de gegevens die zij tegen betaling had bekomen, volkomen “wettig” waren. Zij wijst hierbij naar de partij die de persoonsgegevens te koop aanbood en tracht zelf de strafuitsluitingsgrond van de onoverkomelijke dwaling in te roepen.
De Geschillenkamer bevestigt evenwel dat uit artikelen 24 en 25 van de AVG een ‘due diligence’-verplichting voortvloeit voor verwerkingsverantwoordelijken, wanneer zij overwegen om samen te werken met intermediaire organisaties om hun marketingcampagnes te verbeteren. Alvorens ondernemingen bij dergelijke organisaties persoonsgegevens opvragen of aankopen, dienen zij zich dan ook te vergewissen van de herkomst van die gegevens, de manier waarop ze werden verzameld, onder welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijn en voor welke verwerkingen. In casu had de onderneming geen dergelijk onderzoek verricht.
In het marketingbericht dat zij richtte aan klager, was ook de onder de AVG vereiste informatie niet opgenomen. De Geschillenkamer beschouwt het herhaaldelijke nalaten van de onderneming om enig gevolg te geven aan de verzoeken van klager binnen de geldende antwoordtermijn van 1 maand bovendien als verzwarende omstandigheid. Zelfs bij weigering om gevolg te geven aan een verzoek, moeten de redenen hiervan immers meegedeeld worden aan de betrokkene, samen met een verwijzing naar diens klachtmogelijkheden. De Geschillenkamer neemt evenwel in aanmerking dat de onderneming niet langer over de persoonsgegevens van klager beschikt (door de uitwerking van een nieuw klantenbestand) en dat zij de verzoeken van klager uiteindelijk naar diens tevredenheid heeft ingewilligd.
De Geschillenkamer beslist in deze zaak om een administratieve boete van €10.000 op te leggen wegens inbreuken op de informatieplicht (in het bijzonder wat betreft de bron van de gegevens), en het initiële nalaten om enig gevolg te geven aan de verzoeken tot inzage, bezwaar en verwijdering van de betrokkene, zelfs na een “light” beslissing van de Geschillenkamer. Bovendien wordt de onderneming bevolen om alle betrokkenen wiens persoonsgegevens zij via haar toenmalige zakenpartner heeft verkregen, in kennis te stellen van de vereiste informatie bij de onrechtstreekse verkrijging van persoonsgegevens conform artikel 14 AVG.
Uiteraard blijft Mr. Franklin voor u de beslissingen van de Geschillenkamer van de GBA nauwgezet opvolgen en houden wij u op de hoogte van verdere interessante uitspraken.
Indien u meer informatie wenst omtrent onze diensten kan u ons steeds vrijblijvend contacteren.