Advocatenkantoor | Law firm
VIII. Verwerking van persoonsgegevens
1. Het fundamentele recht op eerbiediging van het privéleven
Wanneer wordt gesproken over privacy, wordt al te vaak meteen gedacht aan de wet van Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens. Hoewel deze wet vaak misleidend de ‘privacy wet’ wordt genoemd, behandelt deze enkel de verwerking van persoonsgegevens. Zij regelt dus slechts een beperkt aspect van het fundamentele recht van ieder mens op eerbiediging van het privéleven.
Het fundamentele recht op eerbiediging van het privéleven is opgenomen in artikel 8 van het Europees Verdrag voor de Rechten van de Mens, artikel 17 van het Internationaal Verdrag voor Burgerlijke en Politieke Rechten en artikel 22 van de Belgische Grondwet.
Het begrip ‘privéleven’ dient zeer ruim te worden geïnterpreteerd. De situaties en vragen gerelateerd aan de bescherming van dit recht zijn dan ook erg talrijk en gevarieerd. Voorbeelden van het recht op eerbiediging van het privéleven zijn onder meer de bescherming van de fysieke en morele integriteit van een persoon, diens fysieke of sociale identiteit en persoonlijke autonomie, diens recht op identiteit en persoonlijke ontwikkeling, diens recht op een naam, seksuele geaardheid, politieke en religieuze overtuiging, enz. Ook het recht om contacten aan te knopen of relaties te ontwikkelen met zijn gelijken, daar inbegrepen in het kader van een professionele, arbeids- of commerciële relatie, valt onder deze bescherming.
Hoewel het recht op eerbiediging van het privéleven fundamenteel is, is het niet absoluut. Het is onderhevig aan beperkingen en we zijn dan ook gewend dat onze persoonlijke levenssfeer van tijd tot tijd wordt doorbroken. Te denken valt bv. aan een alcoholcontrole, het verwerken van medische informatie door het ziekenfonds, de controle van e-mailverkeer door de werkgever, de winkelier die de adresgegevens van zijn klanten verwerkt, de sportclub die de ouders contacteert van haar jeugdleden, edm. Dergelijke inmengingen in de persoonlijke levenssfeer zijn slechts geoorloofd wanneer cumulatief voldaan is aan volgende drie voorwaarden:
A. Legaliteitsbeginsel
Een inmenging is enkel mogelijk wanneer dit wordt voorzien door een rechtsnorm. De term rechtsnorm dient ruim te worden geïnterpreteerd en duidt op wetten en Koninklijke besluiten, maar evenzeer op bedrijfsinterne reglementen, individuele of collectieve arbeidsovereenkomsten en dergelijke meer. Zo vloeit uit de wet op de arbeidsovereenkomsten van de werknemer voort dat de werknemer verplicht is het werk zorgvuldig, eerlijk en nauwkeurig te verrichten op de tijd, plaats en wijze zoals overeengekomen en te handelen volgens de bevelen en instructies van de werkgever. Het is evident dat de werkgever het recht heeft te controleren of de werknemer deze verbintenissen nakomt, hoewel dit een zekere inmenging kan betekenen in diens private sfeer. Dit wordt ondermeer erkend in de beruchte CAO 81, de Collectieve Arbeidsovereenkomst tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische online communicatiegegevens.
Dit controlerecht van de werkgever dient evenwel te worden afgewogen tegen de ernst van de inmenging. De controle van de inhoud van privé e-mailberichten die werden verzonden van het werkadres van de werknemer, is niet mogelijk op basis van bovenvermelde algemene norm uit de wet op de arbeidsovereenkomsten. Om daartoe te kunnen overgaan is een specifieke rechtsvorm (bv. een uitdrukkelijke bepaling in de individuele arbeidsovereenkomst of een uitdrukkelijk reglement voor het gebruik van e-mail) verplicht. Het kan natuurlijk ook met de toestemming van de werknemer.
B. Finaliteitsbeginsel
De inmenging in het privéleven moet een gerechtvaardigd doel hebben zoals de bescherming van de rechten en vrijheden van derden. Zo kan een werkgever niet willekeurig ingrijpen in het privéleven van werknemers en zullen zijn controlemaatregelen dienen te worden verantwoord vanuit de belangen van de onderneming. De ingeroepen belangen mogen uiteraard van economische aard zijn.
C. Relevantie- en proportionaliteitsbeginsel
De inmenging in het privéleven dient relevant en geschikt te zijn in functie van het ingeroepen belang. De inmenging mag bovendien niet buitenproportioneel zijn en dient derwijze te worden toegepast dat zij zo weinig mogelijk schade berokkent aan diegene op wiens privéleven een inmenging geschiedt. Zo zal de organisator van een tombola enkel de naam en adres van de deelnemers kunnen verzamelen en bv. niet hun inkomen, familiale situatie edm.
De afweging van legaliteit, finaliteit en relevante/proportionaliteit dient keer op keer in concreto te gebeuren. Het is dan ook zeer moeilijk hieromtrent algemene richtlijnen te formuleren.
2. Verwerking van persoonsgegevens
A. Inleiding
Wanneer men overgaat tot de verwerking van persoonsgegevens, dient men naast en bovenop de voormelde regels betreffende de eerbiediging van het privéleven rekening te houden met de wetten op de verwerking van persoonsgegevens:
a. De Conventie en de Raad van Europa
Het verdrag met betrekking tot de bescherming van personen ten opzichte van de automatische verwerking van persoonsgegevens trad in werking op 1 oktober 1985. België ondertekende en ratificeerde dit verdrag. Het verdrag bevat een aantal basisrechten en -plichten betreffende de geautomatiseerde verwerking van persoonsgegevens met betrekking tot natuurlijke personen, zowel in de privé-sector als in de publieke sector. De deelnemende landen mogen het toepassingsgebied uitbreiden, maar dienen minimaal deze basisrechten en -plichten in hun wetgeving op te nemen.
b. De Europese richtlijn
De toepasselijke Europese richtlijn is “Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens”. Deze heeft tot doel de wetgeving van de Europese lidstaten te harmoniseren door deze te verplichten een aantal bepalingen op te nemen in hun nationale wetgeving. De lidstaten dienden dit te doen uiterlijk 24 oktober 1998.
c. De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens (hierna de ‘WVP’)
De belangrijkste regels betreffende de verwerking van persoonsgegevens zijn terug te vinden in de WVP en het belangrijkste uitvoeringsbesluit ervan (KB dd. 13 februari 2001). Daarnaast zijn er nog bijzondere wetgevingen waarin bepalingen betreffende de verwerking van gegevens zijn opgenomen, zoals de wetgeving op de Kruispuntbank, het Rijksregister, het consumentenkrediet edm. In dit hoofdstuk worden deze echter niet behandeld en beperken we ons tot de WVP en haar uitvoeringsbesluiten.
B. Wanneer is de WVP van toepassing?
De WVP is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (art. 3 WVP).
De begrippen ‘persoonsgegevens, ‘verwerking’ en ‘bestand’, zijn zeer ruim gedefineerd. De WVP heeft dan ook een erg ruim materieel toepassingsgebied.
Belangrijk te noteren is dat de bepalingen van de WVP moeten worden toegepast, ongeacht de vraag of de eerbiediging van het privéleven gerespecteerd wordt (zie punt 1 hierboven). Ook de verwerking van persoonsgegevens waarbij geen recht op privacy betrokken is, dient volgens deze bepalingen te gebeuren.
De WVP is zowel van toepassing op de verwerking van persoonsgegevens door private als door publieke instanties. De niet-naleving ervan wordt beteugeld met verschillende straf- en burgerrechtelijke sancties.
C. De betrokkene en de verantwoordelijke voor de verwerking
Om de WVP te verstaan dient men twee termen goed voor ogen te houden (art. 1 WVP).
– De betrokkene
Onder de ‘betrokkene’ wordt de natuurlijke persoon verstaan op wie de te verwerken persoonsgegevens betrekking hebben.
– De verantwoordelijke voor de verwerking
Onder ‘verantwoordelijke voor de verwerking’ wordt diegene (natuurlijke persoon, rechtspersoon, vereniging of openbaar bestuur) verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Het criterium is dus niet het feitelijk uitvoeren van de verwerking, maar het hebben van de beslissingsbevoegdheid over de verwerking. Het is de verantwoordelijke voor de verwerking die onder de WVP de grootste verantwoordelijkheid draagt betreffende de verwerking.
Diegene die de verwerking feitelijk uitvoert wordt de ‘verwerker’ genoemd.
Dit is diegene (natuurlijke persoon, rechtspersoon, vereniging of openbaar bestuur) die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt. Personeel of andere personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken, zijn geen verwerkers. Wanneer de verantwoordelijke voor de verwerking de verwerking door personeel laat uitvoeren, wordt de verwerker en de verantwoordelijke voor de verwerking geacht dezelfde persoon te zijn.
Ook de verwerker heeft een aantal verplichtingen onder de WVP. Meer hierover onder het punt ‘Verwerking van gegevens in opdracht’ verder in dit hoofdstuk.
D. Wat zijn persoonsgegevens?
Onder de term ‘persoonsgegevens‘ wordt iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan (de zgn. betrokkene, art. 1 WVP). Het begrip identificeerbaar dient zeer ruim te worden opgevat. Het betreft alle gegevens die er toe leiden dat een persoon direct of indirect kan worden geïdentificeerd. Niet alleen naam, fysiek adres, identificatienummers, maar eveneens e-mailadressen, gebruiksnamen, paswoorden en dergelijke meer kwalificeren als persoonsgegevens. Ook specifieke elementen die kenmerkend zijn voor iemands fysieke, fysiologische, psychische, economische, culturele of sociale identiteit worden beschouwd als persoonsgegevens. Hetzelfde geldt voor foto’s, video- en filmbeelden, maar ook voor twitter en facebook accounts, edm. die toelaten om een persoon te identificeren. er dient niet alleen naar de gegevens op zich te worden gekeken, maar ook naar wat er uit de gegevens kan worden afgeleid.
Zeer algemene gegevens of louter statistische gegevens vallen hier niet onder, zolang zij niet rechtstreeks of onrechtstreeks tot identificatie van personen kunnen leiden.
De WVP is enkel van toepassing op natuurlijke personen. Gegevens betreffende bedrijven, instellingen of andere rechtspersonen vallen dus niet onder het toepassingsgebied. Het is onduidelijk wat de situatie is, wanneer de informatie betrekking heeft op zowel rechtspersonen als natuurlijke personen.
E. Wat is verwerking?
Verwerking is “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens” (art. 1 WVP).
Het begrip verwerken is dus zeer ruim gedefinieerd en heeft betrekking op zowat alle handelingen die met persoonsgegevens kunnen gebeuren, onafhankelijk of de verwerking gebeurt via een geautomatiseerd procédé. Enkel wanneer de verwerking niet geautomatiseerd is en de verwerkte gegevens niet bestemd zijn om in een bestand te worden opgenomen, is de WVP niet van toepassing.
Belangrijk te noteren is dat de wet van toepassing is op alle stappen van de verwerking.
F. Wat is een bestand?
Een bestand is “elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze” (art. 1 WVP) Alle bedrijfshandelingen, marketingacties, procédés en dergelijke meer die tot gevolg hebben dat persoonsgegevens (zelfs gedeeltelijk) geautomatiseerd verwerkt worden (bv. deze worden opgenomen in een mailinglijst) of worden opgeslagen in een bestand (bv. in het individueel personeelsdossier), vallen hieronder.
Opdat er sprake is van een bestand, moeten de persoonsgegevens volgens bepaalde criteria toegankelijk zijn. Deze criteria dienen de toegang tot de gegevens te vergemakkelijken. Van een dossier waarvan de inhoud louter alfabetisch of numeriek is gerangschikt, kan worden geargumenteerd dat dit geen bestand is in de zin van de WVP.
De WVP maakt geen onderscheid tussen het rechtstreekse dan wel onrechtstreekse verkrijgen van persoonsgegevens. Ook wanneer persoonsgegevens onrechtstreeks worden verwerkt (bv. door het doorlopen van een bepaalde procedure, al beoogt die op zich niet het verwerken van persoonsgegevens) is de WVP van toepassing. Hierbij kan bv. worden gedacht aan het organiseren van een online forum waarbij de deelnemers hun e-mailadres dienen in te vullen. Hoewel de organisator van het forum als zodanig geen persoonsgegevens wenst te verwerken maar enkel een forum wenst uit te baten, is de WVP van toepassing.
G. Hoe dienen persoonsgegevens te worden verwerkt?
De WVP legt een aantal criteria op volgens dewelke persoonsgegevens dienen te worden verwerkt (art. 4 WVP).
1° Persoonsgegevens dienen op eerlijke en rechtmatige wijze te worden verwerkt.
Met eerlijk wordt bedoeld dat de verwerking transparant moet zijn voor de betrokkene en dat deze mogelijkheden dient te hebben om tegen de verwerking te protesteren. De verwerking mag ook niet in strijd zijn met andere regelgevingen (bv. spam). Met verwerking op rechtmatige wijze wordt bedoeld dat alle bepalingen van de WVP dienen te worden nageleefd.
2° Welbepaalde doeleinden
Persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen. Zij mogen dus niet in het wilde weg worden vergaard. Dit doeleinde dient voorafgaandelijk te worden vastgesteld (bv. de organisatie van een online tombola). Iedere verwerking van persoonsgegevens dient steeds te gebeuren in het kader van dit doeleinde en met de rechtmatige verwachtingen van de betrokkene in het achterhoofd. In het voorbeeld van de online tombola, kunnen de gegevens van de deelnemers niet zomaar worden aangewend voor andere marketingacties.
Eén verwerking kan dienen voor meerdere doeleinden. Bv. de gegevens van een klant kunnen worden aangewend voor facturatiedoeleinden en voor het zenden van nieuwsbrieven, indien hij dit heeft aanvaard.
3° Voldoende informatie, maar niet meer dan nodig
De persoonsgegevens die worden verwerkt, dienen toereikend, terzake en niet overmatig te zijn. Deze overweging dient steeds te worden gemaakt vanuit de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt. Wanneer men bv. persoonsgegevens verwerkt met als doel ze te gebruiken voor een online tombola, zal men niet meer gegevens mogen verwerken dan strikt nodig voor de organisatie ervan. Dit houdt in dat niet meer gegevens dan naam, voornaam, e-mailadres en login kunnen worden verwerkt. Het is bv. niet relevant om gegevens betrefende het inkomen van de deelnemers te vragen, op te slaan en te verwerken. Natuurlijk zijn er steeds grijze zones. Zo kan bv. het geslacht relevant zijn wanneer de prijs bestaat uit een dames/herenfiets.
4° Nauwkeurige en actuele informatie
De verwerkte persoonsgegevens dienen nauwkeurig te zijn en actueel te worden gehouden. Men dient alle redelijke maatregelen te nemen om de gegevens die onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren. Men zal dit zeker moeten doen wanneer de betrokkene hierom verzoekt.
5° Niet langer bewaren dan nodig
De persoonsgegevens mogen niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. In het geval van het voorbeeld van de tombola zullen zij dan ook na de uitreiking van de prijs dienen te worden vernietigd.
Wel is het mogelijk algemene of statistische gegevens langer bij te houden (bv. aantal deelnemers, deelnemers per land, etc.). Deze gegevens mogen er wel niet toe kunnen leiden dat individuele personen kunnen worden geïdentificeerd.
H. Legitieme verwerking
Persoonsgegevens mogen enkel legitiem worden verwerkt. Hiermee wordt bedoeld dat men persoonsgegevens enkel mag verwerken in volgende gevallen (deze opsomming is limitatief) (art. 5 WVP):
1° Toestemming van de betrokkene
Persoonsgegevens kunnen worden verwerkt met de toestemming van de betrokkene. Deze dient voorafgaandelijk te worden gevraagd en duidelijk en ondubbelzinnig zijn. De aan de betrokkene verstrekte informatie dient dus volledig te zijn en mag niet misleidend zijn. De betrokkene dient duidelijk te weten voor welke doeleinden zijn persoonsgegevens zullen worden verwerkt.
Dat de toestemming van de betrokkene ondubbelzinnig dient te zijn, wil niet zeggen dat deze noodzakelijk schriftelijk dient te worden gegeven. Of de toestemming kan worden gegeven via algemene voorwaarden is een open vraag. Veiligheidshalve is het aangewezen een duidelijke privacy policy op te stellen en deze via aanvinken te laten bevestigen. Het is van belang dat men achteraf kan aantonen dat de betrokkene effectief zijn toestemming heeft verleend. Het opslaan van de registratie is dan ook aanbevolen. Een mogelijkheid is ook de betrokkene per e-mail een kopie te bezorgen van de privacy policy met de bevestiging van zijn aanvaarding ervan.
De betrokkene kan zijn toestemming ten allen tijde intrekken.
2° Uitvoering van een overeenkomst
De verwerking van persoonsgegevens kan gebeuren wanneer deze noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene een van de partijen is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen. Zo zullen de persoonsgegevens kunnen worden verwerkt van een consument die online een aankoop doet, maar evenzeer van deze die informatie opvraagt met het oog op een mogelijke aankoop.
Wel dienen de verwerkte gegevens relevant te zijn binnen het kader van de bedoelde overeenkomst. Iedere verwerking dient immers te gebeuren binnen het kader van welbepaalde doeleinden (zie boven). Wanneer de persoonsgegevens worden verwerkt in het kader van een online aankoop, zal men bv. geen gegevens kunnen verwerken die betrekking hebben op de medische toestand van de betrokkene (ook al kan men die uit de aankoop afleiden).
3° Wettelijke verplichting
De verwerking is eveneens toegestaan wanneer deze noodzakelijk is om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie. Zo zal een online winkel klantengegevens kunnen (en moeten) verwerken in haar boekhouding.
4° Vitaal belang voor de betrokkene
In geval van vitaal belang voor de betrokkene, kan men zonder zijn toestemming persoonsgegevens verwerken. Deze toelating dient zeer eng te worden te worden geïnterpreteerd. Enkel situaties waarin de verwerking essentieel is voor de betrokkene (bv. zijn leven is in gevaar) komen in aanmerking. De term ‘vitaal belang’ laat zeker niet toe om een consument in te lichten dat hij via een andere toeleverancier 20 procent kan besparen op zijn telefoonfactuur.
5° Taken van openbaar belang en openbaar gezag
De verwerking is toegestaan voor de vervulling van een taak van openbaar belang en voor de uitoefening van het openbaar gezag. De verwerking van persoonsgegevens door politiediensten valt hieronder. De verwerking door private bedrijven (zoals bv. parkeerbedrijven) valt hier niet automatisch onder.
6° In het belang van de verantwoordelijke van de verwerking
Het eigen (gerechtvaardigde) belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, kan volstaan om -zonder toestemming van de betrokkene- zijn gegevens te verwerken. Het is hierbij wel vereist dat het belang van de betrokkene niet overweegt. Dit is een feitelijke afweging die keer op keer dient te worden gemaakt.
Iemand die over wil gaan tot de verwerking van persoonsgegevens, dient na te gaan op welke van bovenstaande gevallen hij zich kan beroepen. Zonder deze grond is de verwerking van de persoonsgegevens onrechtmatig.
I. Verwerking van bijzondere persoonsgegevens
Voor de verwerking van persoonsgegevens met een bijzondere gevoeligheid gelden bijkomende regels (art. 6 WVP). Het betreft gegevens betreffende raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap van een vakvereniging en het seksuele leven.
Het uitgangspunt is dat de verwerking van deze gegevens verboden is. De verwerking ervan is dus principieel niet toegestaan. Wel zijn er enige uitzonderingen voorzien. Deze betreffen volgende gevallen):
1° De betrokkene heeft schriftelijk toegestemd (deze toestemming kan ten allen tijde door de betrokkene worden ingetrokken, tenzij in bij KB bepaalde gevallen);
2° Indien noodzakelijk in het kader van het arbeidsrecht;
3° Wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde (enkel en alleen indien de betrokkene fysiek of juridisch niet in staat is zijn instemming te getuigen);
4° Ledenadministratie van bepaalde organisaties (bv. geloofsgemeenschappen, politieke partijen en dergelijke meer);
5° Indien de gegevens duidelijk door de betrokkene zelf openbaar zijn gemaakt;
6° Wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (bv. in een juridische procedure);
7° In diverse andere gevallen voor wetenschappelijke doeleinden, gezondheidssector en openbaar belang.
Ook de verwerking van persoonsgegevens die de gezondheid betreffen, is verboden (art. 7 WVP). Dit verbod is evenwel niet van toepassing in devolgende gevallen:
1° De betrokkene heeft schriftelijk toegestemd (deze toestemming kan ten allen tijde door de betrokkene worden ingetrokken, tenzij in bij KB bepaalde gevallen);
2° Indien noodzakelijk in het kader van het arbeidsrecht;
3° Wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde (enkel en alleen indien de betrokkene fysiek of juridisch niet in staat is zijn instemming te getuigen);
4° Indien de gegevens duidelijk door de betrokkene zelf openbaar zijn gemaakt
5° Wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (bv. in een juridische procedure);
6° in diverse andere gevallen betreffende de sociale zekerheid, volksgezondheid, wetenschappelijk onderzoek, gezondheidssector, strafrechtelijke vervolging en openbaar belang.
Zelfs indien men onder een van deze uitzonderingen valt, blijft het opletten met de verwerking van persoonsgegevens die als bijzonder worden gekwalificeerd. Op de verwerking ervan zijn vaak nog bijkomende voorwaarden van toepassing. Er geldt tevens een geheimhoudingsplicht.
J. Gevallen waarin de WVP niet van toepassing is
De WVP voorziet in een aantal uitzonderingen waarin zij niet, of niet volledig, van toepassing is (art 3 WVP). De belangrijkste zijn:
– De verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. Te denken valt hierbij aan een persoonlijk vriendenbestand op Facebook. Wanneer een dergelijk bestand evenwel wordt bijgehouden door de secretaris van een VZW of door een werknemer in opdracht van zijn werkgever, is de WVP wel degelijk van toepassing.
– Andere uitzonderingen zijn voorzien voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de verwerking betrekking heeft op persoonsgegevens die kennelijk publiek zijn gemaakt door de betrokken persoon of die in nauw verband staan met het publiek karakter van de betrokken persoon of van het feit waarin die persoon betrokken is.
– De overige uitzonderingen betreffen vnl. de taken van veiligheids- en politiediensten en openbare instellingen.
K. Rechten van de betrokkene
Hieronder wordt een overzicht gegeven van de rechten van de betrokkene op basis van de WVP (art. 9 tot 15 WVP). Deze rechten houden voor de verantwoordelijke voor de verwerking de overeenkomende verplichtingen in.
De betrokkene heeft deze rechten zowel wanneer de persoonsgegevens zijn verstrekt door de betrokkene zelf als wanneer deze zijn verkregen via een derde partij.
a. Het recht op eerbiediging van het privéleven
Diegene wiens persoonsgegevens worden verwerkt (de betrokkene) heeft onder de WVP een heel set van rechten. Voor de volledigheid wordt erop gewezen dat deze rechten bovenop het fundamentele recht op eerbiediging van het privéleven komen als besproken in het begin van dit hoofdstuk (art. 2 WVP). Dit fundamentele recht vloeit voort uit internationale verdragen betreffende mensenrechten en uit de Grondwet, en niet uit de WVP. De verantwoordelijke dient het privéleven van de betrokkene te respecteren.
b. Plicht tot informeren van de betrokkene
Indien persoonsgegevens betreffende de betrokkene bij hemzelf worden verkregen, heeft de betrokkene recht op de hieronder opgesomde informatie. De verantwoordelijke voor de verwerking dient deze aan de betrokkene te bezorgen voorafgaand aan de verwerking. Dit dient ook te gebeuren wanneer de betrokkene zich spontaan elektronisch aanmeldt.
De hieronder opgelijste informatie is de minimale informatie die dient te worden bezorgd. (Nog) beter informeren is dus toegestaan.
a) de naam en het adres van de verantwoordelijke voor de verwerking;
b) de doeleinden van de verwerking;
c) het bestaan van het recht om zich kosteloos tegen de verwerking te verzetten, indien de verwerking verricht wordt met het oog op direct marketing;
d) andere bijkomende informatie, met name:
. de ontvangers of de categorieën ontvangers van de gegevens;
. het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet-beantwoording;
. het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben;
. bijkomende informatie naar gelang het soort gegevens dat wordt verkregen.
e) andere informatie als door de Koning bepaald.
De informatie onder punt d dient niet te worden medegedeeld indien de verantwoordelijke kan bewijzen dat dit niet nodig is om een eerlijke verwerking te waarborgen. Bij twijfel is het aangewezen zoveel mogelijk informatie te verschaffen.
Deze informatieplicht geldt tevens niet in volgende gevallen:
a) de betrokkene is reeds op de hoogte;
b) de kennisgeving is onmogelijk of kost onevenredig veel moeite;
c) in geval van toepassing van zekere wettelijke bepalingen.
c. Hoe informeren?
De informatie dient te worden verstrekt uiterlijk op het ogenblik dat de informatie wordt verkregen van de betrokkenen. Het vergaren van persoonsgegevens en het verstrekken van informatie dient dus gelijktijdig te gebeuren. Algemeen kan men stellen dat het veilig is de betrokkene maximaal voorafgaandelijk te informeren. Indien de gegevens niet rechtstreeks van de betrokkene komen, maar worden verkregen van een derde, dient de informatie te worden verstrekt op het ogenblik van registratie van de persoonsgegevens of bij de eerste mededeling aan derden.
De wijze waarop dient te worden geïnformeerd, is niet wettelijk bepaald. Het is dus mogelijk dit op elektronische wijze te doen. Ook hier dient te worden opgelet met het louter werken via algemene voorwaarden. Beter is het werken met een privacy policy die de betrokkene dient aan te vinken en met een click te aanvaarden. In gevoelige omstandigheden wordt best gewerkt via verzendings- en ontvangstbevestiging per e-mail of zelfs op papier.
Aangezien de verantwoordelijke de bewijsplicht heeft (en de niet-naleving gesanctioneerd wordt met burgerlijke en strafrechtelijke sancties) is het aangewezen om het bewijs van de kennisgeving te registreren.
Welke informatie dient te worden gegeven, dient geval per geval te worden beoordeeld. De tekst hieronder kan dienen als leidraad:
“De door u verstrekte gegevens worden verwerkt door [naam van de verantwoordelijke voor de verwerking]. Voor alle correspondentie betreffende uw gegevens kan u ons contacteren op [fysiek adres] of via [e-mail].
Het doel van de verwerking is: [de doeleinden van de verwerking].
[In geval van direct marketing: U heeft het recht zich kosteloos tegen deze verwerking te verzetten, door de verantwoordelijke te contacteren op bovenvermeld fysiek adres of via e-mail naar (e-mail verantwoordelijke).]
Uw gegevens kunnen door ons worden medegedeeld aan volgende derde partijen: [voeg een beschrijving van deze partijen toe]. Een lijst van deze partijen bezorgen wij u op eerste verzoek. U heeft het recht om inzage te krijgen in uw gegevens, alsook om deze te verbeteren of te verwijderen. U kan hiertoe met ons contact opnemen via bovenvermelde contactgegevens.
De verwerking werd door ons aangegeven bij de Commissie voor de escherming van de persoonlijke levenssfeer (Hoogstraat 139, 1000 Brussel). Voor bijkomende informatie kan u het register van de Commissie raadplegen.”
d. Recht op mededeling
De betrokkene heeft het recht dat hem volgende informatie wordt medegedeeld:
– het feit dat zijn persoonsgegevens worden verwerkt;
– welke gegevens worden verwerkt;
– zijn recht op verbetering en verhaal;
– zijn inzagerecht in de openbare registers (bij de Privacy Commissie).
Om dit recht uit te oefenen, dient de betrokkene een gedagtekend en ondertekend verzoek te richten aan de verantwoordelijke voor de verwerking. Deze dient binnen de 45 dagen, te rekenen van het tijdstip van indiening van het verzoek, de gevraagde informatie mede te delen.
e. Recht op verzet
De betrokkene is ten allen tijde gerechtigd om zich te verzetten tegen de verwerking van zijn persoonsgegevens, op voorwaarde dat hij hiertoe een zwaarwegende en gerechtvaardigde reden heeft die verband houdt met zijn bijzondere situatie. Dit recht kan niet worden uitgeoefend wanneer de verantwoordelijke de gegevens van de betrokkene verwerkt in het kader van een overeenkomst tussen beide partijen of in het kader van een wettelijke verplichting. De verplichting tot motivering geldt niet in het geval van direct marketing. In dat geval kan de betrokkene zich kosteloos en zonder opgave van reden verzetten.
Om dit recht uit te oefenen, dient de betrokkene een gedagtekend en ondertekend verzoek te richten aan de verantwoordelijke voor de verwerking. Deze dient, binnen een maand te rekenen van het tijdstip van indiening van het verzoek, mede te delen aan de betrokkene dat de desbetreffende gegevens zijn aangepast of verwijderd voor zover de kennisgeving niet onmogelijk blijkt of onevenredig veel moeite kost.
Indien het verzet gegrond is, mag de verantwoordelijke de gegevens niet langer verwerken. De gegevens dienen dan te worden terugbezorgd of vernietigd.
f. Recht op verbetering
De betrokkene is gerechtigd om alle onjuiste persoonsgegevens die op hem betrekking hebben kosteloos te doen verbeteren of aanvullen. Hij kan tevens ten allen tijde kosteloos de verwijdering bekomen van alle persoonsgegevens die gelet op het doel van de verwerking, onvolledig of niet ter zake zijn, of waarvan de verwerking verboden is, of die na verloop van de toegestane duur zijn bewaard.
Om dit recht uit te oefenen, dient de betrokkene een gedagtekend en ondertekend verzoek te richten aan de verantwoordelijke voor de verwerking. Deze dient binnen een maand, te rekenen van het tijdstip van indiening van het verzoek, de nodige actie te ondernemen.
g. Recht op verhaal
De WVP geeft de betrokkene bepaalde procedurele waarborgen (zie hierna) ten einde genoegdoening te bekomen indien zijn rechten niet worden nageleefd.
Hij heeft ook recht op schadevergoeding voor zover hij aantoont dat er sprake is van (i) een onrechtmatige verwerking, (ii) schade en (iii) een oorzakelijk verband tussen beide. Indien de betrokkene hierin slaagt, dient de verantwoordelijke voor de verwerking zijn integrale schade te vergoeden, tenzij hij bewijst dat het schadeverwekkende feit hem niet kan worden toegerekend.
h. Verbod op automatische besluitvorming
De WVP bevat het principe dat besluiten waaraan voor een persoon rechtsgevolgen verbonden zijn of die hem in aanmerkelijke mate treffen, niet louter mogen worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren. Voor dergelijke besluiten is dus steeds een menselijke tussenkomst vereist. Als voorbeeld kan men denken aan een human resource tool die op basis van antwoorden op een vragenlijst besluiten trekt betreffende de persoonlijkheid van een persoon en hieraan het rechtsgevolg ‘ niet aannemen’ koppelt.
Het is mogelijk om via overeenkomst of op basis van een specifieke wettelijke bepaling van dit verbod af te wijken, maar zulks kan enkel onder welbepaalde voorwaarden.
L. Verplichtingen van de verantwoordelijke
1. De aangifte van de verwerking van persoonsgegevens
Via een aangifte informeert de verantwoordelijke voor de verwerking de Commissie dat hij een verwerking van persoonsgegevens zal uitvoeren. De Commissie neemt deze aangifte op in het openbaar register dat voor iedereen toegankelijk is. Een aangifte dient dus niet voor het bekomen van toelating tot de verwerking maar enkel voor het aangeven van een verwerking. Het feit dat aangifte is gebeurd, wil ook niet zeggen dat de verwerking rechtmatig gebeurt.
Hoewel de WVP ook van toepassing is op niet-automatische verwerkingen, dienen enkel automatische verwerkingen te worden aangegeven. Manuele verwerkingen dienen dus niet te worden aangegeven. Bovendien zijn er een aantal geautomatiseerde verwerkingen vrijgesteld. Deze vrijstellingen zijn opgelijst in het Uitvoeringsbesluit van 13 februari 2001. Het betreft een aantal vrij courante verwerkingen, betreffende onder meer personeelsbeheer, loonbeheer, boekhouding, klanten- en leveranciersbeheer. Let wel, aan de vrijstellingen zijn specifieke voorwaarden verbonden. Indien niet aan deze voorwaarden is voldaan, dient de verwerking wel degelijk te worden aangegeven.
Wanneer één verwerking meerdere doeleinden heeft, dan dienen meerdere aangiftes te gebeuren, tenzij de doeleinden samenhangend zijn (bv. aankoop en verzending van goederen). Wanneer verschillende verwerkingen eenzelfde doeleinde (of samenhangende doeleinden) hebben, dient slechts één aangifte te worden ingediend.
Let wel, het feit dat men vrijgesteld is van aangifte, betekent niet dat men de andere bepalingen van de WVP niet dient na te leven.
2. De procedure van aangifte
De aangifte (art. 17 e.v. WVP) moet gebeuren vooraleer gedeeltelijk of volledig wordt overgegaan tot geautomatiseerde verwerking (bv. voor men persoonsgegevens verzamelt). Ook wanneer de verwerking wordt beëindigd en ingeval van wijziging van informatie, dient een aangifte te gebeuren.
De aangifte bij de Commissie kan zowel langs papieren weg als elektronisch via internet gebeuren. De elektronische aangifte is goedkoper dan deze op papier (respectievelijk 25 € en 125 €).
In de aangifte worden de te verwerken persoonsgegevens niet opgenomen (men kan de gegevens van toekomstige klanten immers niet kennen). Wat men wel doet, is het geven van een omschrijving van de kenmerken van de verwerking. Volgende gegevens dienen te worden opgenomen:
– de benaming van de verwerking;
– de doeleinden;
– de categorieën van verwerkte gegevens (en dus niet de gegevens zelf);
– de eventuele wettelijke of reglementaire basis om te kunnen verwerken;
– de mogelijke ontvangers aan wie de gegevens kunnen worden verstrekt;
– de waarborgen die verbonden worden bij een mededeling aan derden;
– de manier waarop de betrokkenen worden verwittigd indien hun gegevens aan derden worden medegedeeld;
– de contactpersoon bij wie men terecht kan om zijn rechten uit te oefenen;
– de maatregelen genomen om de uitoefening van rechten door de betrokkene te vergemakkelijken;
– de bewaartermijn;
– de veiligheidsmaatregelen;
– de eventuele doorzending naar het buitenland.
Deze gegevens worden opgenomen in het openbare register en zijn voor iedereen toegankelijk.
M. Verwerken van persoonsgegevens in opdracht
Informaticabedrijven verwerken vaak persoonsgegevens in opdracht van de klant. Dit is bijvoorbeeld het geval wanneer een online marketing campagne wordt opgezet waarbij gebruik wordt gemaakt van klantenlijsten en e-mailadressen, wanneer reacties van bezoekers van websites worden opgeslagen en verwerkt, wanneer toegangsrechten tot applicaties worden beheerd edm. Om een onderscheid te maken tussen diegene die de opdracht geeft tot de verwerking (de klant) en diegene die de verwerking van de persoonsgegevens effectief uitvoert (de leverancier), maakt de WVP een onderscheid tussen de ‘verantwoordelijke voor de verwerking’ en de ‘verwerker’ (art.1 WVP).
Onder ‘verantwoordelijke voor de verwerking’ wordt zoals boven uiteengezet diegene (natuurlijke persoon, rechtspersoon, vereniging of openbaar bestuur) verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Onder verwerker wordt de natuurlijke persoon of rechtspersoon verstaan die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. De verwerker komt dus veelal overeen met diegene die in opdracht persoonsgegevens verwerkt. Personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking vallen, zoals bv. personeelsleden, kwalificeren niet als verwerker. Zij vormen immers deel van de organisatie van de verantwoordelijke.
Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken (behoudens wettelijke uitzonderingen). Dit is niet onlogisch. Het is de verantwoordelijke voor de verwerking die de aansprakelijkheid draagt om er voor te zorgen dat de persoonsgegevens correct en wettelijk worden verwerkt.
Wanneer de verantwoordelijke ervoor kiest om met een verwerker te werken, dient hij volgende verplichtingen in acht te nemen (art. 16 WVP):
1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking;
2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst;
4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden;
5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.
N. Technische verplichtingen
Om de veiligheid en vertrouwelijkheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen en die nodig zijn voor de bescherming van de persoonsgegevens (art. 16 WVP):
– tegen toevallige of ongeoorloofde vernietiging;
– tegen toevallig verlies;
– tegen de wijziging van of de toegang tot;
– tegen iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico’s.
Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen. Het is daarom aan te bevelen te informeren bij de Commissie of er specifieke aanbevelingen zijn voor de verwerking waartoe men wenst over te gaan.
O. Internationale toepassing
1. Toepasselijkheid van de (Belgische) WVP
De WVP is van toepassing in twee gevallen (art. 3bis WVP):
1° op de verwerking van persoonsgegevens die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied. Indien een Amerikaans bedrijf, dat daar ook gevestigd is, gegevens verwerkt van Belgische consumenten en deze gegevens bedoeld zijn voor haar activiteiten in Amerika (en dus niet voor de activiteiten van een Belgische vestiging), dan is de WVP niet van toepassing.
2° op de verwerking van persoonsgegevens door een verantwoordelijke die geen vaste vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de verwerking van persoonsgegevens gebruik gemaakt wordt van al dan niet geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens over het Belgisch grondgebied. Dit kan het geval zijn wanneer een Amerikaans bedrijf beroep doet op een Belgische toeleverancier voor diensten waarbij de verwerking van persoonsgegevens zijn betrokken.
Het spreekt voor zich dat de toepassing van deze regelgeving in een internetomgeving niet steeds duidelijk is.
2. Het grensoverschrijdend uitwisselen van persoonsgegevens
Het grensoverschrijdend uitwisselen van persoonsgegevens binnen de Europese Gemeenschap stelt in principe geen probleem. Richtlijn 95/46/EG heeft de wetgevingen van de lidstaten immers geharmoniseerd op dit aspect.
Buiten de Europese Gemeenschap mag men slechts persoonsgegevens uitwisselen met landen die een passend beschermingsniveau waarborgen en voor zover de WVP wordt nageleefd (art. 21 e.v. WVP).
De vraag of het beschermingsniveau passend is, wordt in eerste instantie door de verantwoordelijke zelf beoordeeld op basis van alle relevante omstandigheden. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.
De verantwoordelijke zal ook moeten rekening houden met de beslissingen van de Europese Commissie terzake. Voor een actuele stand van zaken kan best contact opgenomen worden met de Commissie voor de bescherming van de persoonlijke levenssfeer (zie verder).
In een beperkt aantal gevallen kunnen er toch persoonsgegevens worden uitgewisseld, ook met landen die geen adequate bescherming bieden. Dit is onder meer het geval wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming geeft of wanneer de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking.
P. Procedurele aspecten
1. Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL)
De Commissie voor de bescherming van de persoonlijke levenssfeer (Hoogstraat 139, 1000 Brussel en www.privacycommission.be) is belast met het toezicht op de naleving van de WVP (art. 23 e.v. WVP). In dit kader kan zij onderzoeken voeren en aanbevelingen en adviezen geven. Hoewel deze aanbevelingen en adviezen niet bindend zijn, hebben zij wel een hoge morele waarde. Bovendien kan de Commissie indien zij misdrijven (inbreuken op de WVP) vaststelt, aangifte doen bij het parket. Zij is dus niet zonder tanden.
2. Strafsancties
De WVP wordt beteugeld met geldboetes die zwaar kunnen oplopen en gevangenisstraffen tot twee jaar (art. 37 e.v. WVP). Verder kan de strafrechter de verbeurdverklaring uitspreken van de dragers waarop de onrechtmatig verwerkte gegevens zijn opgeslagen of de uitwissing van de gegevens bevelen. De verbeurdverklaring of de uitwissing kunnen worden gelast, ook wanneer de dragers van persoonsgegevens niet aan de veroordeelde toebehoren. De strafrechter kan ook het verbod uitspreken om gedurende ten hoogste twee jaar rechtstreeks of door een tussenpersoon, het beheer te hebben over enige verwerking van persoonsgegevens.
3. Burgerlijke procedure
De WVP voorziet een specifieke procedure volgens dewelke de betrokkene een vordering kan instellen om kennis te krijgen van persoonsgegevens, alsook om deze te laten verbeteren of te verwijderen of zich tegen de verwerking ervan te verzetten. Deze vordering wordt ingesteld bij de voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kort geding (art. 14 WVP).
De voorzitter van de rechtbank van de woonplaats van de eiser is bevoegd.
De voorzitter kan alle nuttige maatregelen opleggen aan de verantwoordelijke om de naleving van de WVP af te dwingen. Indien nodig kan hij een dwangsom opleggen.