Via een belastingaangifte voor tweede verblijven wenst een gemeente persoonsgegevens te verwerken van huurders. Hiervoor vraagt zij onrechtstreeks tal van persoonsgegevens op van huurders via de eigenaars/verhuurders van tweede verblijven.
Context
Verwerking gegevens huurders voor belasting tweede verblijven van gemeente
Rechtsgrond
Artikel 5 GDPR:
“1. Persoonsgegevens moeten:
a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).”
Artikel 6 GDPR:
“1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
2. De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
3. De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
a) Unierecht; of
b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
4. Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 12 GDPR:
“1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen één maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging, met vermelding van de redenen voor de vertraging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
b) weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
7. De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.”
Artikel 13 GDPR:
“1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene al bij de verkrijging van de persoonsgegevens de volgende informatie:
a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
e) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
f) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
b) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
c) wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
d) dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
e) of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
f) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
4. De leden 1, 2 en 3 zijn niet van toepassing indien en voor zover de betrokkene reeds over de informatie beschikt.”
Artikel 14 GDPR:
“1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;
d) de betrokken categorieën van persoonsgegevens;
e) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
f) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
b) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
c) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken en het recht op gegevensoverdraagbaarheid;
d) wanneer verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
e) dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
f) de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;
g) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
4. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
5. De leden 1 tot en met 4 zijn niet van toepassing indien en voor zover:
a) de betrokkene reeds over de informatie beschikt;
b) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
c) het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of
d) de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijk recht, waaronder een wettelijke geheimhoudingsplicht.”
Artikel 37 GDPR:
“1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:
a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
2. Een concern kan één functionaris voor gegevensbescherming benoemen, mits de functionaris voor gegevensbescherming vanuit elke vestiging makkelijk te contacteren is.
3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.
4. In andere dan de in lid 1 bedoelde gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
5. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.
6. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.
7. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit.”
Artikel 38 GDPR:
“1. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2. De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 39 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.
3. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke of de verwerker.
4. Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.
5. De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijke recht tot geheimhouding of vertrouwelijkheid gehouden.
6. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”
Artikel 83, lid 2 GDPR:
“Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.”
Feiten
In het kader van de belastingaangifte voor tweede verblijven vraagt de fiscale administratie van stad aan de verhuurder (de eigenaar) een aantal persoonsgegevens op van de huurder(s) van de woning of wooneenheid via de belastingaangifte voor tweede verblijven, met als doelstelling te bepalen welke personen recht hebben op een belastingvermindering. Het opvragen van de persoonsgegevens kadert met andere woorden in de vaststelling van het gemeentelijk belastingtarief. De persoonsgegevens worden dus niet rechtstreeks verkregen van de betrokkene, in dit geval de huurder.
De klager, in dit geval eigenaar en verhuurder, kadert deze werkwijze aan bij de Gegevensbeschermingsautoriteit en beweert dat door op die manier persoonsgegevens te verwerken van huurders, een inbreuk wordt gemaakt op de GDPR. Zo zouden er vragen worden gesteld over de “persoonlijke levenssfeer van de student-huurder, welke niet relevant zijn. De woorden “onbehoorlijk bestuur” worden door de verhuurder meer dan eens genoemd.
Hierbij gaat het om de verwerking van volgende persoonsgegevens:
- de naam en voornaam van de huurder;
- een noodnummer gelinkt aan de huurder;
- een inschrijvingsattest waaruit blijkt dat de huurder ingeschreven is in het voltijds dagonderwijs op 1 januari van het aanslagjaar;
- wanneer relevant, een kopie van de studietoelage waaruit blijkt dat de toelage van de studiebeurs voor de huurder als student meer dan € 200 is;
- wanneer relevant, een aankomstverklaring voor grensstudenten.
De stad stelt dat het opvragen van bovenstaande persoonsgegevens via de belastingaangifte twee doelen dient. Enerzijds het vaststellen van het belastingtarief en anderzijds het dienen van de openbare veiligheid.[1]
Bevoegdheid GBA
Wat betreft de vraag naar de bevoegdheid van de Geschillenkamer herinnert zij beide partijen eraan dat zij bevoegd is om in het algemeen toezicht te houden op de algemene regels met betrekking tot de bescherming van de persoonlijke levenssfeer ten opzichte van de gemeentelijke instellingen, zelfs al heeft Vlaanderen zelf een toezichthoudende autoriteit (Vlaamse Toezichtcommissie) in de zin van de GDPR opgericht.
Rechtmatigheid van de verwerking
Voor de beoordeling van de rechtmatigheid van de verwerking maakt de Geschillenkamer een onderscheid tussen de twee doelstellingen voor de verwerking, namelijk (1) het vaststellen van het bedrag van de gemeentebelasting op tweede verblijven enerzijds, en (2) de verwerking van persoonsgegevens om redenen van het waarborgen van de openbare veiligheid anderzijds.
(1) Het vaststellen van het belastingtarief op tweede verblijven
De stad baseert zich op de wettelijke verplichting, conform artikel 6.1.c) GDPR als grondslag voor de verwerking van persoonsgegevens. Artikel 6.1. c) GDPR bepaalt dat de verwerking alleen rechtmatig is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
Volgens de stad zou die wettelijke verplichting volgen uit het belastingreglement van 23 juni 2014 dat bepaalt dat het belastingtarief lager is indien de eigenaar van het tweede verblijf bewijsstukken kan voorleggen van de inschrijving en/of studietoelage van de student-huurder. Dit zou volgens de Geschillenkamer een rechtmatigheidsgrond kunnen zijn, maar daarnaast moet de verwerking nog beantwoorden aan de beginselen inzake de verwerking van persoonsgegevens overeenkomstig artikel 5 GDPR.
Zo stelt de Geschillenkamer vast dat er onvoldoende maatregelen zijn genomen conform artikel 5.1.a) GDPR opdat de verwerking behoorlijk en transparant ten aanzien van de betrokkene verloopt. Er wordt namelijk nergens aangegeven aan de betrokkene wiens persoonsgegevens worden verzameld, dat deze gegevens door haar worden verzameld, en voor welke doeleinden.
Bovendien mogen volgens het principe van doelbinding (artikel 5.1.b) GDPR) persoonsgegevens enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen zij niet verder op een met de doeleinden onverenigbare wijze worden verwerkt. Aangezien de stad zelf reeds aangeeft dat de persoonsgegevens die in de belastingaangifte worden verzameld ook voor andere doeleinden worden verwerkt – met name in kader van het waarborgen van de openbare veiligheid – wordt het beginsel van doelbinding niet gerespecteerd.
Tot slot valt het vragen van een noodnummer in het kader van een belastingaangifte niet te rijmen met het beginsel van minimale gegevensverwerking (artikel 5.1.c) GDPR). De verwerking van een noodnummer is niet noodzakelijk voor een belastingaangifte en dient een ander doel, namelijk het waarborgen van de openbare veiligheid.
(2) Verwerking van persoonsgegevens voor de openbare veiligheid
De stad beroept zich op artikel 6.1.e) GDPR als rechtmatigheidsgrond. Dit artikel stelt dat wanneer de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, de verwerking rechtmatig is. Dit zou volgens de Geschillenkamer inderdaad een rechtmatigheidsgrond kunnen zijn, maar daarnaast moet de verwerking nog beantwoorden aan de beginselen inzake de verwerking van persoonsgegevens overeenkomstig artikel 5 GDPR.
Ook hier verwerkt de stad de persoonsgegevens onvoldoende behoorlijk en transparant door de betrokkene geen transparantie te bieden over de verwerking, alsook door de vermengde doelbinding bij het verzamelen van de persoonsgegevens.
Artikel 14 GDPR: situatie waarbij de persoonsgegevens niet rechtstreeks bij de betrokkene zijn verzameld
Voorts stelt artikel 14 GDPR dat bepaalde informatie aan de betrokkene moet worden verstrekt wanneer de persoonsgegevens niet van de betrokkene zelf zijn verkregen, zoals onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en de contactgegevens van de functionaris voor gegevensbescherming. De stad laat na deze informatie over te maken waardoor een inbreuk op artikel 14 GDPR vaststaat.
Andere vaststellingen door de Inspectiedienst buiten de reikwijdte van de klacht
Ook het feit dat de privacyverklaring van de stad het gebruik van platformen zoals Facebook, Twitter en Google Analytics vermeldt, zonder de betrokkenen transparant te informeren over hoe die platformen omgaan met hun persoonsgegevens, ligt niet in lijn met de artikelen 12 en 13 van de GDPR. Wanneer een andere verwerkingsverantwoordelijke gebruik maakt van zulke platformen, ontslaat dat haar niet van de verplichting om zo transparant en begrijpelijk mogelijk de informatie zoals bedoeld in artikel 12 en 13 GDPR verschaffen. De informatie in het privacy beleid is te beknopt geformuleerd door de stad waardoor een inbreuk op artikel 12 en 13 GDPR wordt gepleegd.
Daar komt bij dat gezien de stad een overheidsinstantie is, zij conform artikel 37, lid 1, a) GDPR een functionaris voor gegevensbescherming (hierna: DPO) dient aan te stellen. Er werd door de stad een DPO aangesteld via een externe dienstverlener. Maar daarnaast bepaalt artikel 37.5 GDPR dat een DPO moet worden aangewezen op grond van zijn professionele kwaliteiten. Hij dient over voldoende deskundigheid te beschikken op het gebied van de wetgeving en de praktijk inzake gegevensbescherming om zijn taken conform artikel 39 te vervullen.
Nergens toont de stad aan dat de DPO voldoet aan de kwalitatieve vereisten opgelegd door de GDPR. Zo vermeldde de vacature voor de functie van DPO: “(uitgebreide) kennis van de GDPR is een pluspunt.” Uit die formulering blijkt niet dat de kandidaten kennis moéten hebben van de wetgeving inzake gegevensbescherming.
Tot slot kan de stad niet voldoende aantonen dat de DPO voldoende onafhankelijk kan werken en toelaat om verslag uit te brengen aan het hoogst leidinggevende orgaan, overeenkomstig artikel 38 van de GDPR.
Conclusie
De stad telt meer dan 30.000 tweede verblijven telt. Wanneer de verwerking van deze persoonsgegevens niet volgens de principes van de GDPR verlopen, blijkt door de omvang alleen al van het aantal betrokkenen de ernst van de inbreuk. Desondanks vindt de Geschillenkamer het niet nodig om een administratieve geldboete op te leggen.
Uitspraak
De Geschillenkamer besluit vooreerst tot de bevriezing van het verzamelen en verder verwerken van de persoonsgegevens van de huurders via de belastingaangifte voor de tweede verblijven. Daarnaast beveelt zij dat de verwerking in overeenstemming wordt gebracht met artikelen 12 tot en met 14 GDPR;
Tot slot waarschuwt zij de stad om in de toekomst haar verplichtingen in het kader van de aanwijzing en positionering van de DPO na te leven.
Onze mening
Er moet steeds transparant gecommuniceerd worden naar de betrokkenen toe zodat deze weet welke gegevens, door wie en voor welke doeleinden verwerkt worden. Hierbij moet steeds het beginsel van minimale gegevenswerking in acht worden genomen. Zo valt het opvragen van een noodnummer niet te rijmen in het kader van een belastingaangifte. Dit kan mogelijks wel in het kader van de openbare veiligheid maar dan kan dit noodnummer niet via de belastingreglementen georganiseerd worden.
Uit de GDPR volgt niet alleen dat een overheid verplicht is een DPO aan te stellen, maar ook dat deze beschikt over de nodige kwalificaties.
Er werd besloten om geen verdere sancties op te leggen aangezien er niet zou voldaan zijn aan de voorwaarden van artikel 83, lid 2 van de GDPR. Dit is volgens ons echter verkeerd gemotiveerd. De voorwaarden van dit artikel zijn volgens ons wel degelijk voldaan. De reden dat er geen administratieve geldboete werd opgelegd is dat artikel 221, §2 van de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens bepaald dat overheden en hun aangestelden of gemachtigden geen administratieve geldboetes opgelegd kunnen krijgen.
Definitief?
Ja
Integrale beslissing
[1] De verweerster neemt de doelstelling openbare veiligheid over in het belastingreglement, om te vermijden dat dit afzonderlijk in een politiereglement dient te worden geregeld.