Rechtspraak GBA: Beslissing ten gronde nr. 34/2020 van 23 juni 2020

Beslissing ten gronde nr. 34/2020 van 23 juni 2020

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020