Verwerking van gegevens verzameld naar aanleiding van de verstrekking van een gereglementeerd krediet

 

Definitie

Artikel I.9, 56° - Verwerking van gegevens

de verwerking van persoonsgegevens omschreven in artikel 1, § 2, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens;

Verwerking en bewaring van gegevens bij gereglementeerde kredieten

Het wettelijke kader

Kredietgevers en tussenpersonen moeten persoonsgegevens verzamelen van de consument en de zekerheidssteller (VII.69 en VII.126) om hun kredietwaardigheid te beoordelen (VII.77 en VII.133) en hen een krediettype en een kredietbedrag voor te stellen die aangepast zijn aan hun financiële situatie en aan het doel van het krediet (VII.75 en VII.131). Kredietverleners verzamelen zo een groot aantal persoonsgegevens. Deze hebben betrekking op de identiteit, de samenstelling van het gezin, de oorsprong en de aard van inkomsten en schulden, uitgaven en levensgewoonten, plannen, enz.

Het algemene kader voor de verwerking van persoonsgegevens wordt bepaald door de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG ("General Data Protection Regulation" dikwijls GDPR genoemd ), die sedert 25 mei 2018 rechtstreeks van toepassing is in de rechtssystemen van de Lidstaten.

Daarvoor werd het algemene kader verstrekt door de wet van 8 december 1992 inzake de bescherming van de persoonlijke levenssfeer. Die wet was de omzetting van Richtlijn 95/46. Daarnaast waren een aantal bijzondere bepalingen opgenomen in de WCK. De omkadering van deze gegevensverwerking door de wetgever voor de gereglementeerde kredieten nam twee vormen aan die bijna haaks op elkaar staan. Enerzijds wou de wetgever de strikte vertrouwelijkheid van de gegevens garanderen die door de consument worden verstrekt. Anderzijds wil de wetgever in de strijd tegen overmatige schuldenlast ook (in eerste instantie) een zekere bekendmaking mogelijk maken bij wanbetaling en het niet-nakomen van verplichtingen door consumenten inzake gereglementeerde kredieten (sedert 2001). De wet van 8 december 1992 werd opgeheven door de wet van 30 juli 2018 betreffende de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens.

De bepalingen van het WER inzake de gegevensverwerking werden sedert de invoegetreding van de GDPR niet aangepast. Ze moeten bijgevolg worden geïnterpreteerd in het licht van de GDPR. De GDPR creëerde een uniform kader op Europees niveau voor de bescherming van de gegevens van natuurlijke personen(zie de doelstelling uiteengezet in overweging 13). In het rechtsstelsel heeft een Europese verordening voorrang op alle nationale reglementeringen. De AVG heeft bijgevolg voorrang op de bepalingen die in het WER betrekking hebben op de verwerking van gegevens. Als tegenstrijdige of onverenigbare bepalingen niet worden gewijzigd, kunnen ze niet langer worden toegepast. De bepalingen van het WER die verband houden met gegevensverwerking blijven dus van toepassing als het bijkomende bepalingen betreft die niet in strijd zijn met de AVG en niet door identieke bepalingen van de AVG zijn vervangen.

Teneinde natuurlijk e personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechts zekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijk e personen in alle lidstaten en in verplichting en en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Voor de goede werking van de interne markt is het nodig dat het vrije verkeer van persoonsgegevens in de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijk e personen in verband met de verwerking van persoonsgegevens. Om rekening te houden met de specifieke situatie van kleine, middelgrot e en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van register s betreft. Voorts worden de instelling en, organen en instanties van de Unie, en de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip kleine, middelgrot e en micro- onderneming en dient te worden overgenomen uit artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie

Ontstaan

Zie historiek

De WCK werd in 1991 aangenomen, hetzij achttien maanden voor de invoering van de gemeenrechtelijke regelen inzake de bescherming van de persoonlijke levenssfeer in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Dit heeft de wetgever ertoe genoodzaakt in de wet van 1991, het hoofdstuk VI op te nemen, getiteld “Over de verwerking van persoonsgegevens betreffende het consumentenkrediet”. Het betrof in zekere zin een lex specialis zonder lex generalis. Hieruit zijn grote moeilijkheden ontstaan met betrekking tot de afbakening van het toepassingsgebied van deze bepalingen. De wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG die tegelijkertijd de wet van 8 december 1992 en de bepalingen van de WCK inzake de verwerking van persoonsgegevens wijzigt, bracht ter zake een verduidelijking.

De verwerking van persoonsgegevens betreffende het consumentenkrediet is dus onderworpen aan het algemene kader van de wet van 8 december 1992 en, voor wat de door derden geraadpleegde bestanden betreft, aan de bepalingen van Hoofdstuk VI van de WCK. De wet van 13 juni 2010 heeft nieuwe wijzigingen met zich meegebracht door het Toezichtcomité, dat oorspronkelijk werd geregeld door artikel 72, maar dat sedert de oprichting van de Commissie voor de bescherming van de persoonlijke levenssfeer geen nut meer had, af te schaffen. De wijziging droeg eveneens op de uitbreiding van de Centrale voor de Kredieten aan Particulieren tot de zekerheidsstellers en tot bepaalde andere aspecten inzake de toegang van professionals tot hetbestand in de Centrale.

De bepalingen van de WCK zijn zonder wijziging (of een reorganisatie omwille van de duidelijkheid) in het WER omgezet. Sindsdien heeft de communautaire wetgever de GDPR aangenomen, die sinds 25 mei 2018 rechtstreeks van toepassing is in de rechten van de lidstaten.

Verwerking van gegevens bij gereglementeerde kredieten

Wat persoonsgegevens betreft, maakt de wetgever zich vooral zorgen over de circulatie en de centralisatie van de gegevens. Aan de ene kant legt het WER de kredietgever en de kredietmakelaar de verplichting op om alle gegevens te verzamelen die noodzakelijk zijn om de geschiktheid van een krediet te beoordelen. Aan de andere kant beperkt het wetboek de circulatie van de gegevens tot een kleine groep die uit welbepaalde derde partijen bestaat en de gegevens voor welbepaalde doeleinden gebruikt. Elk ander gebruik van de gegevens is verboden. De persoonsgegevens moeten bijgevolg de interne bestanden van de beroepsbeoefenaars niet verlaten. De externe bestanden (de bestanden die aan derden overgemaakt mogen worden), mogen slechts de gegevens bevatten die op beperkende wijze in de wet zijn opgesomd.

De bepalingen van de regeling voor gereglementeerde consumentenkredieten zijn opgenomen in twee onderafdelingen:

  • een eerste onderafdeling getiteld Overmaking van persoonsgegevens (VII.116 tot VII.119 [CK] tot VII.147/32 tot VII.147/35 [HK] verduidelijkt de regels betreffende externe bestanden die uitsluitend welbepaalde gegevens mogen bevatten en die uitsluitend aan welbepaalde derde partijen voor welbepaalde doeleinden mogen worden overgemaakt.
  • een tweede onderafdeling getiteld Verwerking van gegevens (VII.120 tot VII.122 [CK] en VII.147/36 tot VII.147/38 [HK]) die van toepassing is op zowel externe bestanden als op interne bestanden en waarin overigens nogmaals de beginselen van de GDPR worden uiteengezet.

In de strijd tegen kredietmisbruik riep de wetgever een nationaal register in het leven waarin een aantal persoonsgegevens van de kredietnemer zijn opgenomen: de Centrale voor Kredieten aan Particulieren, met de Nationale Bank als overkoepelend orgaan en oorspronkelijk opgericht per koninklijk besluit van 15 april 1985. De bedoeling was om zekere wanbetalingen met betrekking tot verkoopovereenkomsten, persoonlijke leningen en leningen op afbetaling te registreren. De wet van 10 augustus 2001 inzake de Centrale voor Kredieten aan Particulieren (CKP) breidde de activiteiten van de Centrale uit en voegde zo een positief perspectief toe. De Centrale registreert voor alle kredietovereenkomsten een aantal bij wet bepaalde gegevens (consumentenkredieten en hypothecaire kredieten) - het positieve onderdeel - en voor wanbetalingen in het kader van die overeenkomsten - het negatieve onderdeel. De bepalingen betreffende de Centrale voor Kredieten aan Particulieren maken thans deel uit van hoofdstuk 3 van titel 4 van Boek VII van het Wetboek van economisch recht.

Zie de commentaar over de werking van de Centrale.

De GDPR, het algemene kader

De Europese wetgever ziet de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens als een grondrecht. Dat grondrecht is opgenomen in artikel 8, paragraaf 1 van het Handvest van de grondrechten van de Europese Unie en in artikel 16, paragraaf 1 van het Verdrag betreffende de Werking van de Europese Unie. Als gevolg van de technologische evolutie en de spectaculaire stijging van het gebruik van persoonsgegevens achtte de Europese wetgever het noodzakelijk om het kader dat door Richtlijn 95/46/EG werd geschapen, te herzien. De GDPR herziet op een nogal fundamentele wijze de verplichtingen van de verwerkingsverantwoordelijken en van hun subverwerkers.

Een meer gedetailleerde commentaar bij de GDPR vindt men op de site van de Gegevensbeschermingsautoriteit. Deze instelling werd opgericht door de wet van 3 december 2017 (Wet tot oprichting van de Gegevensbeschermingsautoriteit, B.S. van 10 januari 2018) en is de opvolger van de Commissie voor de bescherming van de persoonlijke levenssfeer:https://www.gegevensbeschermingsautoriteit.be/

De definities

Wat zijn persoonsgegevens?

Volgens art. 4, 1) van de GDPR, worden als persoonsgegevens beschouwd, alle informatie over een geïdentificeerde of identificeerbare natuurlijk e persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer , locatiegegevens, een online identificator of van een of meer element en die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

De definitie is erg breed en maakt geen enkel onderscheid tussen vertrouwelijke informatie, openbare informatie, beroepsgebonden of niet-beroepsgebonden informatie, zoals een identificator, een naam, een foto, een sociale-zekerheidsnummer, een intern registratienummer, een nummerplaat, een postadres, een telefoonnummer, locatiegegevens, een online gebruikersnaam (zoals een IP-adres), een klankopname, enz. Als het mogelijk is om verschillende gegevens te koppelen (zoals leeftijd, geslacht, stad, diploma, enz.) of deze met de hulp van technische middelen naar één persoon leiden ("singling out"), worden de gegevens nog steeds als persoonsgegevens beschouwd.

Wij zijn de betrokkenen?

De GDPR beschermt niet alleen de consumenten in de betekenis die het WER aan dit woord geeft. De verordening neigt ertoe, alle natuurlijke personen te beschermen wier gegevens worden verwerkt, ongeacht het statuut, de activiteit of de herkomst van deze personen. Het is dan ook dit criterium dat het toepassingsgebied van de ratione personae afbakent. De AVG gebruikt het begrip betrokkene om alle geïdentificeerde of identificeerbare natuurlijke personen aan te duiden wier gegevens worden verwerkt. Als 'betrokkene' wordt bijgevolg zowel de persoon beschouwd die een lening aangaat, als de natuurlijke persoon die een (persoonlijke of reële) zekerheid stelt, de kredietbemiddelaar of de verzekeringsmakelaar die zijn activiteiten uitoefent als natuurlijk persoon, en de echtgenoot van de consument-lener die in het kader van de kredietovereenkomst niet optreedt maar wiens identiteit en inkomsten worden geregistreerd naar aanleiding van de gegevensverzameling die plaatsvindt ter beoordeling van de kredietwaardigheid (in de veronderstelling dat die gegevens relevant en toereikend zijn).

Wat is een gegevensverwerking?

Het WER omvat een definitie :

de verwerking van persoonsgegevens omschreven in artikel 1, § 2, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens;

Afbeelding verwijderd.

Artikel 4, 2) van de RGPD vervangt de definitie van de wet van 8 december 1992, die er in zeer beperkte mate van afweek : "verwerking" : een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvraag en, raadpleeg en, gebruiken, verstrek en door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens

De bepalingen van de GDPR gelden ongeacht of de verwerking geautomatiseerd is of niet. Een verwerking is geautomatiseerd als deze geheel of gedeeltelijk plaatsvindt met behulp van geautomatiseerde processen. De notie 'geautomatiseerd proces' is erg breed aangezien ze op nagenoeg alle informatietechnologieën slaat en dus niet alleen op de traditionele gegevensbanken maar ook op een hele reeks andere toepassingen zoals de elektronische overdracht van gegevens, het inzamelen van gegevens via het internet, geautomatiseerde callcenters, enz.

Persoonsgegevens die geanonimiseerd werden, zijn niet langer onderworpen aan de GDPR. Anonimisering is een verwerking die start bij identificeerbare persoonsgegevens en gegevens oplevert die niet langer identificeerbaar zijn. Hoewel het eindproduct niet onder de RGPD valt, is anonimisering als zodanig wel degelijk onderworpen aan de AVG.

Zowel bij consumentenkredieten als bij hypothecaire kredieten hebben de regels zowel betrekking op de verwerking als, gezien de zeer gevoelige aard van de verzamelde gegevens, op de overdracht ervan aan derden.

Wat is een bestand?

Het WER definieert 'bestand' in artikel I.9, 57° met een verwijzing naar de definitie die in de wet van 8 december 1992 is opgenomen: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. Deze definitie werd ongewijzigd overgenomen in artikel 4, 6) van de GDPR.

De vorm van het bestand doet weinig ter zake. Het kan gaan om fiches, kettingpapier, informaticabestanden, gidsen of elke andere verschijningsvorm die een gestructureerd geheel vormt. Het geheel van de gegevens moet gestructureerd zijn zodat deze op basis van bepaalde criteria toegankelijk zijn. Dit onderscheidt een bestand van een dossier: De bepalingen van het algemeen wetsontwerp tot bescherming van de persoonlijke levenssfeer stellen: “Het begrip "bestand" moet worden verstaan in de meest klassieke betekenis van het woord. Een reeks dossiers, in alfabetische of rekenkundige orde gerangschikt, vormt dus geen bestand in de zin van de wet, ongeacht of het om geautomatiseerde dossiers gaat of niet. In verband met dat onderscheid kan worden opgemerkt dat gegevens van gevoelige aard ook in dossiers kunnen voorkomen. Die problemen houden echter verband met een problematiek die echter veel ingewikkelder is wegens de verscheidenheid van de stukken die bepaalde dossiers kunnen bevatten (advies van een overheid, allerlei correspondentie, enz.)”(Par. St., Senaat, 1989-1990, 916-1, 7). Vanuit deze optiek is het niet verboden een dossier of een geheel van dossiers door te geven aan een kredietverzekeraar of, door overdracht of subrogatoire betaling, aan een derde (toegelaten in de zin van artikel 25 WCK), hierbij inbegrepen alle persoonsgegevens die de verdere uitvoering van de kredietovereenkomst mogelijk moeten maken.

Wat is eenverwerkingsverantwoordelijke?

Het WER bevat een definitie van 'verwerkingsverantwoordelijke':

De verantwoordelijke voor de verwerking omschreven in artikel 1, § 4, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Afbeelding verwijderd.

De definitie in artikel 4, 7) van de AVG wijkt behoorlijk af van de definitie die in Richtlijn 95/46 en bijgevolg in de wet van 8 december 1992 was opgenomen. Artikel 4, 7) definieert de verwerkingsverantwoordelijke als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

In de reglementering inzake de bescherming van de persoonlijke levenssfeer vormt het finaliteitsbeginsel een essentiële grondslag: de doeleinden moeten vastliggen, uitdrukkelijk geformuleerd en gerechtvaardigd zijn, en de verzamelde gegevens dienen toereikend, ter zake dienend en beperkt te zijn ten aanzien van het doeleinde dat de verwerking nastreeft. De verwerkingsverantwoordelijke wordt daarom gedefinieerd in relatie tot de macht die hij heeft over de keuze van de doeleinden en middelen voor de verwerking van persoonsgegevens.

In het kader van de kredietactiviteiten moeten de kredietgever of de kredietbemiddelaar die de gegevens van de consument verzamelt en vastlegt in zijn bestanden, de kredietverzekeraar en meer in het algemeen degenen aan wie de kredietovereenkomst (of de daaruit voortvloeiende vordering) overeenkomstig artikel VII.102 of VII.147/17 via subrogatie wordt overgedragen of overgedragen, als verwerkingsverantwoordelijken worden beschouwd. Bij weigering van het krediet moeten de identiteit en het adres van de verwerkingsverantwoordelijke worden medegedeeld aan de consument (VII.79 en VII.137). Ten slotte heeft de kredietgever bijzondere informatieverplichtingen bij het verzamelen van informatie of bij de eerste registratie van een niet-betaling in een extern bestand of bij de Centrale voor Kredieten aan Particulieren.

De GDPR verlicht de formaliteiten waaraan de verwerkingsverantwoordelijken in het kader van Richtlijn 95/46 onderworpen waren (waardoor de verplichting om de doeleinden vooraf bij de gegevensbeschermingsautoriteit aan te geven, werd opgeheven), maar versterkt aanzienlijk hun verplichtingen op het gebied van het waarborgen van de verwerking en de bescherming van de vertrouwelijkheid van gegevens. De verordening breidt deze verplichtingen uit tot de subverwerkers aan wie de verwerkingsverantwoordelijke de verwerking geheel of deels toevertrouwt.

Wie is de functionaris voor gegevensbescherming?

De GDPR creëert een nieuwe speler en een nieuwe bevoegdheid wat de verwerking van persoonsgegevens betreft. De functionaris voor gegevensbescherming controleert de gegevensverwerkingen die binnen zijn organisatie plaatsvinden. Hij informeert en adviseert de verwerkingsverantwoordelijke, houdt toezicht op de toepassing van de GDPR, is betrokken bij het nadenken over alle vragen die aan de verwerkingsverantwoordelijke met betrekking tot gegevensbescherming worden gesteld, en werkt samen met de toezichthoudende autoriteit. Betrokkenen kunnen rechtstreeks met hem contact opnemen als ze vragen hebben die verband houden met de verwerking van hun persoonsgegevens. De verwerkingsverantwoordelijke mag hem geen instructies geven met betrekking tot zijn opdracht, en hij is gebonden aan het beroepsgeheim (artikelen 37, 38 en 39 van de GDPR).

Algemene beginselen van toepassing op de verwerking van persoonsgegevens

De rechtsgronden voor een rechtmatige verwerking

Volgens artikel 5.1, a) van de GDPR moet de verwerking van persoonsgegevens rechtmatig
om te worden toegestaan. Artikel 6.1 van de GDPR bepaalt dat de verwerking rechtmatig is wanneer deze gebaseerd is op een van de zes daarin genoemde rechtsgrondslagen:

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (art.6.1, a. GDPR).Om als geldig te worden beschouwd, moet de toestemming aan bepaalde voorwaarden van de GDPR voldoen. De aldus gegeven toestemming kan te allen tijde worden ingetrokken

  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen (art. 6.1, b, GDPR).

  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
    Voor zover de bepalingen van het WEB (VII.69 en VII.126) beroepsbeoefenaren verplichten om persoonsgegevens te verzamelen met het oog op de beoordeling van de solvabiliteit, vormen deze bepalingen de basis voor de legitimiteit van de verwerking van de gegevens die nodig zijn voor gereglementeerde kredieten.

  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen (art. 6.1, d, GDPR).

  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen
    van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Overweging nr 47, GDPR :

De gerechtvaardigde belangen van een verwerkingsverantwoordelijke, waaronder die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, kan een rechtsgrond bieden voor verwerking, mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachting en van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke.

Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling geboden om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrecht en van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever staat om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren, mag die rechtsgrond niet van toepassing zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk is voor fraude voorkoming is ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.

Overweging nr 40

Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Unierechtelijke of lidstaat rechtelijke bepalingen als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te voldoen aan wettelijke verplichting die op de verwerkingsverantwoordelijke rust of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen.

Overweging nr 44

Een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijn

Rechtmatigheid van de verwerking op basis van een voorafgaande toestemming

Indien de kredietgever of -bemiddelaar de verwerking baseert op de voorafgaande toestemming van de natuurlijke persoon, specificeert de GDPR de voorwaarden voor de geldigheid van deze toestemming (artikel 7).

De toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. (...) Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. (overweging nr 32).

vrijelijk, specifiek, geïnformeerd en ondubbelzinnig : De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering (overweging nr 43, in fine.

Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.(7.2., GDPR).

Volgens Art. 7.3, GDPR, kan de betrokkene zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

Het bewijs van deze toestemming ligt bij de verantwoordelijke (7.1, GDPR).

De toestemming van de consument moet gebaseerd zijn op voorlichting.Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens (overweging nr. 42) .

De betrokkene moet vrijelijk instemmen. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een diensten overeenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst (7.4, GDPR). Het Gemeenschapsrecht bevat het beginsel van minimalisering : Persoonsgegevens moet toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (art. 5.1, c GDPR). Artikel 7.4. specificeert daarom dat een toestemming niet als vrij kan worden omschreven, als om het product of de dienst te verkrijgen, de betrokkene moet instemmen met de verwerking van gegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Een kredietgever of een beroepsbeoefenaar mag dus niet de toestemming van de consument inroepen om in het kader van een kredietovereenkomst gegevens te verzamelen die in werkelijkheid niet noodzakelijk zijn voor de uitvoering van de overeenkomst.

Indien de verwerking wordt uitgevoerd op basis van toestemming, is voor elke verwerking die niet het doel of de doeleinden nastreeft waarvoor de betrokkene uitdrukkelijk toestemming gaf, een nieuwe toestemming vereist voor de uitbreiding van de oorspronkelijke doeleinden (6.4, a contrario).

De gegevensverwerking dient rechtmatig, behoorlijk en transparant te zijn

Artikel 5.1 a) van de verordening schrijft voor dat met de verzamelde gegevens op een rechtmatige, behoorlijke en transparante manier moet worden omgegaan.

Het principe van rechtmatigheid werd reeds toegelicht: de verwerking van de persoonsgegevens in het kader van gereglementeerde kredieten wordt geregeld door de wet of, in casu, de artikelen VII.69 en VII.126 van het WER.

Het behoorlijkheidsbeginsel vereist dat de kredietgever de consument vóór de verwerking in kennis stelt van de doeleinden hiervan (deze dienen welbepaald, uitdrukkelijk omschreven en gerechtvaardigd te zijn - artikel 5.1, b) van de GDPR) en vervolgens slechts een verwerking uitvoert die in overeenstemming is met de aangegeven doeleinden (behalve de uitzonderingen vastgelegd in artikel 89 van de GDPR voor verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden).

Transparantie wordt vermeld in overweging 39 van de GDPR : Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.

Overweging 58 voegt eraan toe dat de informatie moet in voorkomend geval, aanvullend visualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties.

De transparantieregels zijn vastgelegd in artikel 12 van de GDPR.

Het finaliteitsbeginsel

Artikel 5.1 b) bepaalt dat de gegevens alleen verzameld mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Het finaliteitsbeginsel zorgt voor de koppeling tussen de noodzakelijke openbaarheid die de strijd tegen overmatige schuldenlast vereist (door openbaarmaking binnen de sector), de gegevens die verband houden met kredieten, en de noodzaak om de persoonlijke levenssfeer van de consument te beschermen. De doeleinden moeten nuttig en noodzakelijk zijn voor de verwerkingsverantwoordelijke. Naar aanleiding van schendingen van het finaliteitsbeginsel werden een aantal rechterlijke beslissingen uitgesproken.

  • Kooph. Antwerpen (voorz.), 7 juli 1994, D.C.C.R., 1994-1995,p. 77 en noot Th. LEONARD, «La banque, le courtier et la vie privée: une première décision jurisprudentielle», bevestigd door Antwerpen, 3 mei 1999, A.J.T., 1999, p.437 en noot C. DE VOS, «Het gebruik door de bank van informatie verkregen in het kader van haar bankiersactiviteit getoetst aan de Privacywetgeving»: een bank ontdekte dat er bij de overschrijvingen die ze van haar cliënten kreeg, betalingen waren verricht aan verzekeringsmaatschappijen met het oog hen de eigen verzekeringsproducten aan te bieden. De rechter was van oordeel dat er sprake was van een omzeiling van het doeleinde en heeft de bank veroordeeld. Dit vonnis werd bevestigd door het Hof van Beroep van Antwerpen dat daarenboven aangaf dat de bank haar discretieplicht had geschonden.
  • Kooph. Hasselt (voorz.), 13 oktober 1995, Handelspraktijken & Mededinging, 1995, p. 423. Volgens dit vonnis is er sprake van een verwerking in de zin van de wet van 8 december 1992, wanneer de verantwoordelijke van de afdeling reizen van een bank informatie vraagt betreffende het krediet van een klant bij de bank, en wanneer deze laatste zijn bestanden raadpleegt, die persoonlijke informatie bevatten. In dat geval moet worden nagegaan of het finaliteitsbeginsel wordt gerespecteerd.
  • Brussel, 15 februari 2005, geciteerd door J. ROGGE, C.-A. VAN OLDENEEL, «Protection de la vie privée et bancassurfinance», in Bancassurfinance, 2005,p. 405. Dit vonnis veroordeelt een bank wegens het gebruik van gegevens over de door cliënten verrichte betalingen met als doeleinde het controleren van bepaalde van haar bankagenten. De bank ontdekte bij de analyse van die gegevens dat sommige agenten producten van andere financiële instellingen verkochten.

Wanneer gegevens worden verzameld op basis van een wettelijke bepaling, zegt de GDPR (artikel 6.2) dat de nationale wetgever de algemene regels mag aanpassen. Bij de gereglementeerde kredieten wordt het finaliteitsbeginsel geregeld door de artikelen VII.69 en VII.77 voor consumentenkredieten en VII.126 en VII.133 voor hypothecaire kredieten: de gegevens mogen alleen worden verzameld voor de kredietwaardigheidsbeoordeling van de kredietnemer of van de zekerheidssteller. Marketing is voor het WEB bijvoorbeeld geen toegelaten doeleinde. Het is bijgevolg verboden om met dit doel de gegevens verzameld bij kredietverlening te verwerken.

Mag de kredietgever naar aanleiding van een kredietaanvraag andere gegevens verzamelen (die niet noodzakelijk zijn voor de kredietwaardigheidsbeoordeling)? Het antwoord is negatief. De kredietgever mag via de vragenlijst, voorzien in de artikelen VII.69 en VII.126, geen informatie inwinnen die niet noodzakelijk is. Niets houdt de kredietgever echter tegen om de betrokken persoon vooraf om toestemming te vragen om nadere informatie te verkrijgen die de kredietgever nodig heeft om, voor deze gegevens, te voldoen aan alle verplichtingen die voortvloeien uit de verwerking van de gegevens die op basis van de toestemming werden verkregen, met inbegrip van het recht voor de betrokkene om zijn toestemming te allen tijde in te trekken (artikel 7.3 van de GDPR). De transparantieplicht vastgelegd in artikel 9 van de GDPR legt eveneens de verplichting op om een duidelijk onderscheid te maken (artikel 13.2 e) van de GDPR) tussen de informatie die op reglementaire basis wordt verkregen (als voorwaarde voor het verlenen van het krediet) en andere informatie waarvan het facultatieve karakter dient te worden onderlijnt.

De minimale gegevensverwerking - het principe: de verzamelde gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt

De GDPR vermeldt in artikel 5.1, c de vereisten die opgenomen waren in Richtlijn 95/46/EG (deze waren reeds omgezet door de wet van 8 december 1992). De kredietgever en de kredietbemiddelaar mogen alleen de informatie verzamelen die toereikend, ter zake dienend en beperkt is tot wat noodzakelijk is voor de doeleinden waarvoor de informatie wordt verwerkt (artikel 5.1, c). Dit impliceert dat de persoonsgegevens maar mogen worden verwerkt als tussen deze gegevens en het gerechtvaardigde doeleinde (de beoordeling van de financiële situatie en de kredietwaardigheid van de consument) een "logische en noodzakelijke band" bestaat In de praktijk bepaalt deze beoordeling of de aanvrager het krediet al dan niet toegekend krijgt. Zoals T. Leonard het verwoordde: "De gegevensregistraties zijn zowel knipperlichten die de consument moeten beschermen tegen een onaanvaardbare toename van zijn schuldenlast als een middel om de toekenning te voorkomen van kredieten die de kredietnemer waarschijnlijk niet kan terugbetalen" («Centrales des crédits et protection de la vie privée : incertitude et insécurité juridique », D.C.C.R., 1996, p. 74).

In artikel VII.126, §1, lid 2 is dit principe opgenomen voor de hypothecaire kredieten: Deze informatieverzoeken zijn evenredig en beperken zich tot hetgeen voor het verrichten van een deugdelijke kredietwaardigheidsbeoordeling noodzakelijk is.

De regel vastgelegd in artikel 5.1, c) van de GDPR is van algemene strekking en is bijgevolg van toepassing op alle gereglementeerde kredieten, met inbegrip van consumptiekredieten, ook al wordt dit in artikel VII.69 verder niet verduidelijkt.

Hoewel de verwerking beperkt moet worden, dienen de gegevens ook toereikend te zijn om de kredietgever en de kredietbemiddelaar in staat te stellen te voldoen aan hun verplichtingen om de kredietwaardigheid te beoordelen en advies te geven. In zijn arrest Consumer Finance herinnert het Hof van Justitie eraan dat de vaststelling van de nodige informatie de verantwoordelijkheid is van de kredietgever. In dat opzicht mag een kredietgever er zich bij het onderzoek van een kredietaanvraag niet toe beperken een loonbriefje te vragen en de centrale gegevensbank van de Nationale Bank te raadplegen zonder verdere inlichtingen te vragen met betrekking tot de familiale situatie van de consument, zijn lasten en lopende leningen(Vred. Vilvoorde, 28 juni 2001, Jaarboek Kredietrecht, 2001, p. 158).

De verwerking van gevoeligegegevens

Artikel 9.1 van de GDPR verbiedt de verwerking van gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging en, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. De verwerking van deze gegevens is echter mogelijk als de betrokkene uitdrukkelijk heeft toegestemd met deze verwerking (artikel 9.2, a). Nationale wetgevers mogen deze uitzondering evenwel negeren en mogen bepalen dat de persoon er zich niet op kan beroepen (zelfde bepaling).

Dat is ook zo geregeld voor de gereglementeerde kredieten: In geen enkel geval mag de gevraagde informatie betrekking hebben op het ras, de etnische afstamming, het seksueel gedrag, de gezondheid, de overtuigingen of activiteiten op politiek, levensbeschouwelijk of godsdienstig gebied of het lidmaatschap van een vakbond of van een ziekenfonds (VII.69, § 1, lid. 2, en VII126, § 1, lid. 4).

De vragenlijst die aan de consument en de zekerheidssteller wordt voorgelegd, mag dus in geen geval betrekking hebben op deze gegevens.

Juistheidsbeginsel: De gegevens moetenjuist zijn en zo nodig worden geactualiseerd

Artikel 5.1, d) stelt dat de gegevens juist moeten zijn en zo nodig geactualiseerd moeten worden. Deze vereisten stonden al in de wet van 8 december 1992. De gereglementeerde regelingen voor de consumentenkredieten bevestigen de verplichting voor beroepsbeoefenaars om exacte en volledige gegevens te verzamelen. De wettelijke bepalingen onderstrepen de verplichting van de consument en van de zekerheidssteller om exacte en volledige antwoorden te verstrekken (VII.69, §1, en VII.126, § 1).

Een actualisering van de gegevens is pas nodig wanneer ze gebruikt worden voor een terugkerende verwerking of, wanneer dit niet het geval is, wanneer een nieuwe verwerking noodzakelijk is. Het spreekt vanzelf dat in het geval van een nieuwe gegevensverwerking, bijvoorbeeld naar aanleiding van een nieuwe kredietaanvraag, de kredietgever en de kredietbemiddelaar een nieuwe vragenlijst moeten voorleggen of minstens bij de betrokkenen zal moeten nagaan of de eerder verstrekte gegevens nog steeds exact en volledig zijn.

Voor gegevens die naar aanleiding van een consumentenkrediet worden verzameld, geldt een verplichte actualisering als het Wetboek dit zo voorziet. Dat is het geval in de artikelen VII.77, 1 en VII.133, §1, die bepalen dat een jaarlijkse raadpleging van de Centrale moet plaatsvinden voor kredietovereenkomsten met een onbepaalde looptijd.

"opslagbeperking” principe

Dit beginsel, dat opgenomen is in artikel 5.1, e) en al opgenomen was in de wet van 1992, vereist dat de verwerkingsverantwoordelijke de gegevens niet bewaart in een vorm die toelaat dat de betrokkenen geïdentificeerd kunnen worden gedurende een periode die langer is dan nodig voor de doeleinden van de verwerking van de gegevens. Ze moeten daarom periodiek worden gewist (overweging nr 39 :Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverant woordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan).Voor de gereglementeerde kredieten legt het Wetboek de verplichting op om de persoonsgegevens die naar aanleiding van de toekenning van het krediet werden verzameld, te bewaren zolang het opgenomen krediet niet is afgelost (VII.69, §2, en VII.126, §2). Zodra het krediet is afgelost moeten de gegevens bijgevolg worden gewist.

Wat wanbetaling betreft, legt de wet bewaartermijnen vast voor gegevens die in interne bestanden van de verwerkingsverantwoordelijke, in externe bestanden of bij de Centrale voor Kredieten aan Particulieren zijn opgeslagen.

Zie de commentaar bij art.VII.120 en VII.147/36.

Rechten van betrokkenen

Informatie op het tijdstip van de registratie van de gegevens

Art. 13 van de RGPD verplicht de schuldeiser om de consument wanneer persoonsgegevens bij die persoon worden verzameld, een reeks informatie te verstrekken. Deze lijst is uitgebreider dan de lijst in de wet van 8 december 1992. Naast het doel van de verwerking moet de verwerkingsverantwoordelijke de rechtsgrondslag van de verwerking (artikel VII.69 of VII.126) vermelden evenals de ontvangers van de verwerkte gegevens, de bewaartermijn, de rechten van de betrokkene (recht van toegang, rectificatie, wissing, beperking van de verwerking, verzet tegen de verwerking, recht op overdraagbaarheid, recht om een klacht in te dienen bij de toezichthoudende autoriteit).

De verwerkingsverantwoordelijke dient met name informatie te verstrekken of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt(art. 13.2, e). De kredietgever moet derhalve specificeren dat de gegevens worden verzameld op basis van de artikelen VII.69 en VII.126 van het WEB, dat de mededeling van deze gegevens essentieel is voor het sluiten van het contract en dat de kredietgever bij gebreke daarvan geen krediet mag verlenen. Voor hypothecaire kredietovereenkomsten is deze waarschuwing uitdrukkelijk opgenomen in artikel VII.126, §1, lid 3. De waarschuwing is ook van essentieel belang voor consumentenkredieten vanwege het rechtstreekse effect van de GDPR.

Bovendien voorziet art. 13.2, f) van de GDPR dat de verwerkingsverantwoordelijke de volgende informatie verstrekken : het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Het is op het moment dat de gegevens worden verzameld dat de mededeling aan de consument plaats moet vinden. De mededeling gaat dan ook vooraf aan de ondertekening van de kredietovereenkomst. Al deze informatie mag in de vragenlijst die wordt voorgelegd aan de kandidaat-kredietnemer en de persoon die als zekerheidssteller optreedt, worden opgenomen op voorwaarde dat hen een exemplaar van deze vragenlijst wordt bezorgd. De gegevens worden daarentegen pas na de ondertekening van de kredietovereenkomst geregistreerd bij de Centrale voor Kredieten aan Particulieren. In dit geval wordt de informatie verstrekt door middel van een verplichte verwijzing naar de consumentenkredietovereenkomst (VII.78, §2, 10° tot 13°) en de hypothecaire kredietovereenkomst (VII.134, §2, 10° tot 13°). De registratie in geval van wanbetaling is geregeld in artikel VII.151 van het WEB.

Zie de commentaar bij art. VII.121 en VII.147/37 of de commentaar over de Centrale voor Kredieten aan Particulieren

Artikel 13

Te verstrekken informatie wanneer persoonsgegevens<
bij de betrokkene worden verzameld

1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:

  1. de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
  2. in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
  3. de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
  4. de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
  5. in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
  6. in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat ; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.

2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:

  1. de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
  2. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoek en om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
  3. wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken , zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
  4. dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
  5. of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt ;
  6. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Recht op inzage, rectificatie, gegevenswissing, beperking van de verwerking

In de GDPR zijn verschillende rechten vastgelegd : recht of inzage (art. 15, GDPR) recht op rectificatie en recht op gegevenswissing (art. 16 en 17, GDPR), recht of beperking van de verwerking (art. 18 GDPR) en recht op overdraagbaarheid van de gegevens (art. 20, GDPR).
Zie commentaar bij art. VII.122 en VII.147/38.

Geautomatiseerde individuele besluitvorming en profilering

Artikel 22 van de GDPR verduidelijkt dat natuurlijke personen hebben het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. De administratie is van mening dat de rechtsgrondslag voor het verzamelen van persoonsgegevens in de precontractuele fase, en met name de adviesplicht en de verplichting om de solvabiliteit te beoordelen, het gebruik van alleen kredietscores bij het verlenen van krediet uitsluit en het gebruik van de in artikel 22.1, a) en c) bedoelde uitzonderingen evenmin toestaat. (zie de commentaar bij Credit-scoring).

Voor de kredietwaardigheidsbeoordeling is te allen tijde een daadwerkelijke menselijke (en dus niet louter formele) tussenkomst vereist. Het kredietdossier moet deze menselijke tussenkomst in de beslissing vermelden.

 

Waakzaamheidsplicht en technische en organisatorische maatregelen

Hoewel de GDPR bepaalde vormvoorschriften van Richtlijn 95/46 (en met name de voorafgaande kennisgeving van de doeleinden aan de toezichthoudende autoriteit) afschaft, versterkt de GDPR de verplichtingen van de verwerkingsverantwoordelijken en hun subverwerkers door hen met name het volgende op te leggen: de verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd (art.24.1, GDPR)

In overweging 78 wordt in dit verband opgemerkt dat: Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en product en die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoons gegevens verwerken bij de uitvoering van hun opdracht, dienen de producent en van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

De GDPR stipuleert een reeks verplichtingen die van toepassing zijn voor verwerkingsverantwoordelijken en hun subverwerkers :

  1. passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd (art. 24.1).
  2. wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregel en een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
  3. Bij het bepalen van de technische en organisatorische maatregelen en tijdens de verwerking zelf, gebruikmaken van passende technische maatregelen zoals pseudonimisering.
  4. Het aansluiten bij goedgekeurde gedragscodes (24.3) en goedgekeurd certificeringsmechanisme gebruiken om aan te tonen dat aan de voorschriften van GDPR is voldaan (25.3).
  5. Stellen op transparante wijze de respectieve verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken
  6. Beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden en hen contractueel opleggen de keuze van hun onderaannemers, de naleving van een gedragscode de het gebruik van certificatie mechanismes.
  7. Het behoud van een register met verschillende informaties (30, GDPR)
  8. Inbreuk in verband met persoonsgegevens meedelen aan de persoonsgegevens autoriteit en aan de betrokkenen (33 en 34, GFPR)
  9. Voorafgaande beoordeling studie uitvoeren van het effect van beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (art. 35, GDPR)
  10. Een functionaris voor gegevensbescherming aanwijzen (art. 37, GDPR)

De legitimiteit van de verwerking op basis van voorafgaande toestemming

Indien de kredietgever of -bemiddelaar de verwerking baseert op de voorafgaande toestemming van de natuurlijke persoon, specificeert de GDPR de voorwaarden voor de geldigheid van deze toestemming (artikel 7).

{

La légitimité du traitement fondé sur le consentement préalable

Si le prêteur ou l'intermédiaire fondent le traitement sur l'autorisation préalable de la personne physique, le RGPD précise les conditions requises pour la validité de ce consentement (article 7).

Ce consentement devra résulter d'un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. (...) Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. (Considérant 32 de la directive).

SI le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples (7.2., RGPD).

L'article 7.3 précise que la personne concernée a le droit de retirer son consentement à tout moment. La disposition précise : il est aussi simple de donner que de retirer son consentement. Dans la phase pré-contractuelle relative à un contrat de crédit, ce retrait signifie que la personne renonce à sa demande de crédit.

La preuve de ce consentement incombe au responsable du traitement (7.1, RGPD). Le responsable du traitement doit, à cette fin, rédiger une formule de déclaration de consentement formulée en des termes clairs et simples, qui ne devrait contenir aucune clause abusive et mise à disposition sous une forme compréhensible et aisément accessible (considérant n°42) .

Le consentement du consommateur doit être éclairé. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel (considérant n°42).

Le consentement doit également être libre. Pour apprécier ce critère, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat(7.4, RGPD). Le droit communautaire contient le principe de minimisation : Les données personnelles qui peuvent être traitées doivent être adéquates pertinentes et limitées (art. 5.1, c du RGPD). L'article 7.4. précise donc qu'un consentement ne peut pas être qualifié de libre, si pour obtenir le produit ou le service, la personne concernée doit consentir au traitement de données qui ne sont pas nécessaire à l'exécution du contrat.

Un prêteur ou un professionnel ne pourrait donc invoquer le consentement du consommateur comme base de légitimité pour collecter, à l'occasion d'un contrat de crédit, des données qui ne sont en réalité pas nécessaires à l'exécution du contrat.

Si le traitement est effectué sur la base du consentement, tout traitement qui ne viserait pas la ou les finalités sur lesquelles la personne concernée a donné son consentement explicite, suppose unnouveauconsentement sur l'extension des finalités initiales (6.4.,a contrario).

Considérant n° 47, RGPD :

Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

Facebook Share Button Twitter Share Button Linkedin Share Button
Back to top