VII.119 - VII.147/35 : Toegelaten derden
De tekst van de artikelen is identiek
Het begrip 'derden'
Het begrip derden wordt gedefinieerd in artikel 4.10 van de GDPR. Het betreft een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
In hoeverre mogen de gegevens uit bestanden aan derden worden doorgegeven?
De GDPR bevat geen enkel principieel verbod wat betreft de overdracht van gegevens. De overdracht van die gegevens moet niettemin plaatsvinden met naleving van het finaliteitsbeginsel en onder voorbehoud van de regels die gelden bij overdracht naar een land buiten de EU. Dit principe brengt de verplichting met zich mee dat de waarschuwing die bij de initiële registratie wordt gericht aan de betrokkene, in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevensmoet vermelden (artikelen 13.1, e) en 14.1, e) van de GDPR). Met ontvanger bedoelt de GDPR een natuurlijke persoon of een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt (4, 9 van de GDPR),
Personen aan wie de gegevens medegedeeld mogen worden (beperking door het WER)
De artikelen VII.119 en VII.147/35 leggen een strikte beperking op van de toegang die welbepaalde derden krijgen tot externe bestanden. Deze personen zijn de enigen die toegang mogen hebben tot de persoonsgegevens die zijn verzameld ter gelegenheid van consumentenkredietverrichtingen. In een arrest van 27 juni 2007 deed het Hof van Beroep van Brussel een voorlopige uitspraak in het kader van een procedure om de maatregel tot doorhaling van de inschrijving van een kredietgever op te schorten en oordeelde dat de minister terecht een kredietgever had bestraft die informatie van de Centrale had doorgegeven aan een zusterbedrijf (een andere kredietgever die nog niet over de erkenning als kredietgever beschikte) (Brussel, 27 juni 2007, onuit., rep. 2007/5176).
Krachtens artikel 6 van het Koninklijk Besluit van 20 november 1992 mag geen enkel mandaat voor het verkrijgen van de overmaking van de gegevens worden toegestaan aan een persoon die niet in artikel 69, §4 is bedoeld [lees: VII.119 en VII.147/35].
Naast de kredietgever en de consument zelf zijn de volgende personen gemachtigd om toegang te krijgen tot de bestanden:
- de vergunninghoudende of geregistreerde kredietgevers;
- de personen die zijn toegelaten om kredietverzekeringsverrichtingen uit te voeren met toepassing van de wet van 13 maart 2016 op het statuut van en het toezicht op de verzekerings- of herverzekeringsondernemingen;
- de FMSA en de Bank (NBB) in het raam van hun opdrachten;
- de betalingsdienstaanbieders, in de mate dat deze personen hun gegevens inzake betalingsdiensten op basis van regelen inzake wederkerigheid meedelen;
- de verenigingen van personen of instellingen bedoeld in 1°, 2°, en 4°, van dit lid die hiertoe erkend werden door de minister of zijn gemachtigde onder de volgende voorwaarden :a) de rechtspersoonlijkheid bezitten; b) gesticht zijn met een oogmerk dat ieder winstgevend doel uitsluit en enkel opgericht zijn met het oog op het beschermen van de professionele belangen van zijn leden; c) samengesteld zijn uit leden die geen administratieve of strafrechtelijke sanctie hebben opgelopen.
- een advokaat, een ministerieel ambtenaar of een gerechtelijk mandataris, in de uitoefening van zijn mandaat of ambt, en in het raam van de uitvoering van een kredietovereenkomst;
- de schuldbemiddelaar bij de uitvoering van zijn opdracht in het kader van een collectieve schuldenregeling, zoals bedoeld in de artikelen 1675/2 tot 1675/19 van het Gerechtelijk Wetboek
- de ambtenaren van de FOD Economie bevoegd om op te treden in het raam van boek XV;
- de personen die een activiteit van minnelijke invordering van schulden van de consument uitoefenen en die hiertoe, overeenkomstig artikel 4, § 1, van de wet van 20 december 2002 betreffende de minnelijke invordering van schulden van de consument, zijn ingeschreven bij de FOD Economie;
- de Commissie voor de Bescherming van de Persoonlijke Levenssfeer binnen de uitvoering van haar opdracht.
- de mobiliseringsinstellingen in de zin van artikel 2 van de wet van 3 augustus 2012 betreffende diverse maatregelen ter vergemakkelijking van de mobilisering van schuldvorderingen in de financiële sector.
De kredietbemiddelaars
Zijn ondernemingen die deel uitmaken van eenzelfde groep derden ten overstaan van elkaar?
Zodra de gegevens bestemd zijn om door derden te worden geraadpleegd, moeten de artikelen VII.116 (CK) [ VII.147/32 (HK)] en verder worden toegepast. Een verwerking van gegevens die wordt uitgevoerd binnen een ondernemingengroep is bijgevolg alleen aanvaardbaar als de verwerking betrekking heeft op de gegevens die beperkend zijn opgesomd (VII.118 en VII.147/34), de mededeling beperkt blijft tot de ondernemingen van de groep die onder de definities (toegelaten derden) vallen van de artikelen VII.119 en VII.147/35, en de overdracht binnen de toegelaten doeleinden valt.
Voor andere gegevens, d.w.z. gegevens die niet ter gelegenheid van een consumentenkrediet zijn verzameld, is het mogelijk een informatie-uitwisseling te regelen overeenkomstig de GDPR. Dat doeleinde moet worden aangegeven in de informatieclausules Persoonlijke levenssfeer.
Voorbeeld - Rechtspraak en advies van de administratie
- In een geschil kwam de administratie te staan tegenover twee kredietgevers uit dezelfde groep, aan wie meerdere inbreuken ten laste werden gelegd. Bij die inbreuken was ook het feit dat kredietgever A de Centrale voor Kredieten had geraadpleegd en het resultaat van deze raadpleging aan kredietgever B had meegedeeld, die nog niet beschikte over de vereiste erkenning. Ten gevolge van de sanctie uitgesproken door de minister van Economische Zaken werd een vordering tot schorsing ingediend bij de bevoegde Voorzitter van de Handelsrechtbank (krachtens artikel 108 dat toen in voege was, maar vandaag is opgeheven). De Voorzitter van de Handelsrechtbank heeft dat verzoek tot schorsing ingewilligd, vonnis dat werd herzien door een arrest van 26 juni 2007 van de eerste kamer van het Hof van Beroep van Brussel. In zijn overwegingen wijst het Hof op het volgende: Het is niet betwist dat B*** tussen 1 januari en 15 maart 2001 opdracht heeft gegeven aan A*** om de centrale gegevens te raadplegen en evenmin dat B*** tot die laatste datum geen erkenning had. Uit artikel 6, § 3 van het koninklijk besluit van 20 november 1992 betreffende de verwerking van de persoonsgegevens inzake consumentenkrediet kan niet worden afgeleid dat een niet erkende rechtspersoon zo een volmacht kan verlenen aan een erkende rechtspersoon. Het naar het oordeel van B*** "uitblijven van haar erkenning" doet niets af aan de gepleegde inbreuk. Hetzelfde geldt voor de stelling van B*** dat deze handelswijze geen nadelen aan de consument zou hebben meegebracht.
Advies van de administratie
- De mededeling van een wanbetaling vanwege een consument door de kredietgever aan de bemiddelaar is in strijd met artikel 69, § 4.
- Artikel 69, § 4 WCK verbiedt de mededeling, aan niet-gemachtigde derden, van gegevens komende van de houders van de externe bestanden. Dit verbod geldt niet voor de gegevens komende van de interne bestanden van de kredietgever, onder voorbehoud van de wet van 8 december 1992.