Betreft
Twee klanten van een bank deden een verzoek om kennisgeving per kerende post van alle persoonsgegevens die de bank over hen bezat. De bank reageerde hierop dat de klanten een kopie van de voorkant van hun identiteitskaart dienden over te maken. De twee klanten meenden hieraan niet te moeten voldoen en volhardden in hun verzoek. Dit verzoek werd niet beantwoord door de bank waarna de twee klanten klacht indienden.
Context
Bankensector
Rechtsgrond
Artikel 12.3 GDPR: “De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen één maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging, met vermelding van de redenen voor de vertraging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.”
Artikel 15 GDPR: “1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 46 inzake de doorgifte.
De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.”
Feiten
Twee klanten van een bank hadden bankrekeningen die verbonden waren aan hun activiteiten als zaakvoerders van verschillende ondernemingen. Per brief werd door de klanten gevraagd om een kopie van alle persoonsgegevens. Daarnaast verzochten ze om bijkomende informatie die de bank over hen bezit in het kader van een betwisting met de bank.
Hierop werd door de bank bijkomende informatie gevraagd, evenals een kopie van de voorkant van de identiteitskaart van de klanten. De klanten weigerden een kopie van de voorkant van de identiteitskaart over te maken. Het is namelijk zo dat bij twijfel over de identiteit een kopie van een identiteitskaart gevraagd mag worden, maar in casu was er geen twijfel over de identiteit.
Door een menselijke fout en de afwezigheid door ziekte van de ontvanger van het verzoek, kwam er pas na enkele maanden een antwoord van de bank.
In de eerste plaats betwiste de bank de gegrondheid van de klacht, aangezien de klanten hun klacht gebaseerd hadden op de Titel 2 van de wet inzake gegevensbescherming. Deze bepalingen zijn echter niet van toepassing op banken. Dit werd door de bank ook opgeworpen.
In hun conclusies veranderden de klanten de basis van hun klacht dan ook naar de toepasselijke artikels uit de GDPR. De GBA diende dan ook te oordelen of zij wel bevoegd waren om kennis te nemen van deze klacht. Zij oordeelden dat de wettelijke basis voor de klacht in de loop van het geding gewijzigd kan worden, waardoor zij de bevoegdheid hadden om kennis te nemen van de klacht.
Daarnaast liggen er twee grieven voor in deze zaak: (1) het laattijdige en (2) onvolledige karakter van het antwoord van de bank op een verzoek om toegang tot persoonsgegevens en de vraag aan de klanten om een kopie te bezorgen.
(1) Wat betreft het niet naleven van de verplichting om te antwoorden op een verzoek om toegang tot persoonsgegevens binnen een maand na ontvangst van dat verzoek
Krachtens artikel 12.3. j° artikel 15 van de GDPR moet het antwoord op een verzoek om toegang tot persoonsgegevens worden gegeven binnen een maand na ontvangst van het verzoek. Deze termijn kan met twee maanden worden verlengd, afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken, op voorwaarde dat de verwerkingsverantwoordelijke de betrokkene in kennis stelt van deze verlenging en van de reden voor de vertraging, binnen een maand na ontvangst van het verzoek.
De bank heeft niet gereageerd binnen de voorgeschreven termijn op het verzoek om toegang en heeft ook niet binnen de maand de redenen opgegeven waarom het meedelen van die informatie werd uitgesteld.
De vraag tot toegang en kopie van de persoonsgegevens was voldoende duidelijk om de bank toe te laten op het verzoek te antwoorden binnen de wettelijke termijn van een maand vanaf de datum van ontvangst. Bijgevolg ligt een inbreuk voor op artikel 12.3, 15.1 en 15.3 GDPR.
(2) Wat betreft het al dan niet volledig karakter van het antwoord op het verzoek om toegang
De Geschillenkamer gaat hier niet verder op in omdat dit verzoek kadert binnen een ruimere commerciële betwisting en stelt dat een feitenrechter hierover moet oordelen. De Geschillenkamer verduidelijkt echter wel dat de verweerder ten minste een volledig overzicht had moeten geven van zaken zoals bepaald in artikel 15 GDPR. Wat betreft de klacht met betrekking tot de grief over het onvolledig karakter van het antwoord op het verzoek om toegang gaat de Geschillenkamer over tot seponering.
Uitspraak
Wat betreft het niet tijdig antwoorden op het verzoek tot inzage besloot de Geschillenkamer de bank een berisping op te leggen.
Wat betreft het niet volledig antwoorden op het verzoek tot inzage besloot de Geschillenkamer voorliggende klacht te seponeren.
Onze mening
Het verzoek om inzage moet in principe binnen één maand beantwoord worden. Er bestaat een mogelijkheid om dit te verlengen met twee maanden omwille van de complexiteit en moeilijkheid om volledig te beantwoorden aan het verzoek. Wél moet dit nog steeds binnen de maand gemeld worden.
Zeker moeten de gegevens in artikel 15 GDPR steeds bezorgd worden (o.a. verwerkingsdoeleinden, betrokken categorieën persoonsgegevens…)
Het is belangrijk om uw organisatie zo te organiseren dat steeds binnen de maand ofwel een volledig overzicht van de gevraagde gegevens kan bezorgd worden ofwel minstens aan de aanvrager gemeld wordt dat extra tijd nodig is.
Wat ons opvalt in deze is dat de Gegevensbeschermingsautoriteit zeer mild is voor de bank in kwestie. In verschillende andere gevallen werden zwaardere sancties opgelegd, dit terwijl men van een bank toch zou mogen verwachten dat zij de wetgeving beter naleeft. Banken hebben namelijk de middelen en de kennis om zich in orde te stellen. Wanneer zij dan nalaten deze middelen en kennis aan te wenden, zou men van de Gegevensbeschermingsautoriteit mogen verwachten dat zij krachtdadiger optreden.
Definitief?
Ja
Integrale beslissing