De Algemene Verordening Gegevensbescherming (GDPR) is nu bijna anderhalf jaar van kracht. De controleautoriteiten van onze buurlanden hebben tekortkomingen van verwerkingsverantwoordelijken reeds bestraft, al dan niet zwaar. Maar hoe zit dat bij ons?

Recht op inzage

De geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) heeft zelf ook een aantal beslissingen uitgevaardigd sinds haar oprichting. Meerdere daarvan hebben betrekking op de niet-naleving of de onjuiste toepassing van het recht op inzage en rechtzetting, of van het recht om vergeten te worden. Zowel particulieren als bedrijven kregen reeds sancties. Ook een overheidsinstantie werd op de vingers getikt: In juli van dit jaar berispte de GBA de FOD Volksgezondheid. Die had het immers nagelaten, ook na een aanmaning door de GBA, om in te gaan op het verzoek van een burger om zijn recht op inzage uit te oefenen.

Toestemming

Verder ligt ook de afwezigheid van toestemming of geldige toestemming aan de oorsprong van een aantal beslissingen van de GBA. Zo werd onlangs nog een handelaar beboet waar de klanten enkel een klantenkaart konden krijgen als ze hun elektronische identiteitskaart lieten inlezen. De administratieve boete bedroeg 10.000 euro.

In dit dossier wees de geschillenkamer van de GBA op het niet-eerbiedigen van het beginsel van minimale gegevensverwerking, dat verwerkingsverantwoordelijken verplicht om de hoeveelheid verzamelde persoonsgegevens en de bewaartermijn van die gegevens te beperken tot het strikte minimum, naargelang het doeleinde. Een elektronische identiteitskaart bevat immers allerhande gegevens over de houder, zoals naam, voornamen, adres enz., maar ook de foto en de streepjescode die gelinkt is aan het rijksregisternummer, en dat zijn meer gegevens dan strikt noodzakelijk voor de aanmaak van een klantenkaart. Bovendien wijst de GBA er wat dat betreft nog eens op dat de raadpleging en het gebruik van het rijksregisternummer onderworpen zijn aan strenge machtigingsregels.

De GBA wees er eveneens op dat er geen sprake kon zijn van geldige toestemming, aangezien de handelaar zijn klanten geen andere oplossing liet dan hun elektronische identiteitskaart te tonen om een klantenkaart te krijgen.

Oneigenlijk gebruik

Oneigenlijk gebruik is één van de andere aanleidingen van de klachten ingediend bij de GBA. Het gaat dan in het bijzonder om gegevens gebruikt voor het opstellen van kiezerslijsten.

In één van de zaken die ze onlangs behandelde, herinnerde de GBA aan de principes die van toepassing zijn op biometrische gegevens. Ze deed dat naar aanleiding van een lek van vingerafdrukgegevens. In het specifieke geval waren onderzoekers erin geslaagd om in België toegang te krijgen tot een grote hoeveelheid biometrische data van een onderneming, zoals vingerafdrukken en foto’s die de gezichtsherkenning van meer dan 2000 werknemers mogelijk maakten.

David Stevens, voorzitter van de GBA, zei daarover dat de Autoriteit bijzondere aandacht besteedt aan de verwerking van gegevens die de eenduidige identificatie van burgers mogelijk maken, en verwerkingsverantwoordelijken oproept tot de grootste waakzaamheid bij het hanteren van biometrische data.

Toezichthoudende autoriteit

Zelfs al is men momenteel nog niet heel consequent in de sancties, gaande van een berisping tot een boete van 10.000 euro, over de verplichting om de GDPR-verplichtingen toe te passen die verwerkingsverantwoordelijken niet of fout naleven, we mogen wel vaststellen dat de geschillenkamer van de GBA erop toeziet dat de beginselen uit de richtlijn naar behoren worden geëerbiedigd.

Merk wat dat betreft op dat artikel 58, § 2 van de GDPR stelt dat elke toezichthoudende autoriteit de bevoegdheid heeft tot het nemen van corrigerende maatregelen, gaande van een eenvoudige waarschuwing tot een administratieve geldboete. Die boete moet, krachtens artikel 83 van diezelfde verordening, doeltreffend, evenredig en afschrikkend zijn, of anders gezegd rekening houden met de aard, de ernst, de duur van de inbreuk, met de opzettelijke aard van de handelingen van de verwerkingsverantwoordelijke enz. Het is moeilijk uit te maken hoe streng onze GBA is op basis van de reeds opgelegde straffen, maar het mag duidelijk zijn dat die zwaarder zijn naargelang de omvang en/of gevoeligheid van de verwerkte gegevens.

Privésector

Merk tot slot nog op dat de administratieve sancties enkel gelden voor de privésector. In de Belgische wet van 30 juli 2018 die de zogeheten ‘open’ bepalingen van de GDPR ten uitvoer legt, is voorzien om het toepassingsgebied van sancties die niet van toepassing zijn op overheden en op hun aangestelden of gemachtigden, in te perken, tenzij het gaat om publiekrechtelijke personen die goederen of diensten aanbieden op een markt.

Het VBO vindt die uitzondering onaanvaardbaar, discriminerend en in strijd met het gelijkheidsbeginsel. Waarom private ondernemingen anders en strenger behandelen, terwijl ze dezelfde moeilijkheden als de publieke sector ondervinden om de GDPR toe te passen? Waarom zouden zij de enige zijn die bestraft mogen worden wanneer ze de wettelijke bepalingen inzake gegevensbescherming niet naleven, terwijl de overheid evenveel en zelfs meer data verwerkt, en meer bepaald alle gegevens van de burgers (identiteitsgegevens, fiscale gegevens, gezondheidsgegevens enz.)? Het VBO heeft dan ook besloten een beroep tot vernietiging in te stellen bij het Grondwettelijk Hof. Zowel de Raad van State als de Privacycommissie hadden trouwens al een negatief advies verstrekt over dat artikel in de wet van 2018, toen die nog als ontwerp voorlag in het Parlement. Het arrest van het Grondwettelijk Hof wordt niet voor 2020 verwacht.

Alle genoemde beslissingen van de GBA kunnen op de website van de Autoriteit worden geraadpleegd. De geschillenkamer geeft in de meeste gevallen immers de opdracht om ze te publiceren.

Nathalie Ragheno

Verbond van Belgische Ondernemingen

Ook Advocatennet sprak met Nathalie Ragheno over de inwerkingtreding van de GDPR-regeling. In onderstaand interview maakt zij een evaluatie van één jaar GDPR in België.