VII.120 - VII.147/36 : Bewaring, vetrouwelijkheid, wissen
Het recht op gegevenswissing in de GDPR
Recht van de persoon en verplichting van de verwerkingsverantwoordelijke
Het recht op gegevenswissing is een grondrecht van de burger. Het gaat erom te vermijden dat aan personen definitieve labels worden gekleefd, die hun vermogen om te veranderen belemmeren en hun vrijheid aantasten. Het recht op gegevenswissing is opgenomen in artikel 17 van de GDPR, waarin het recht van de betrokkene wordt erkend om van de verwerkingsverantwoordelijke binnen de snelst mogelijke termijn de wissing te bekomen van de persoonsgegevens evenals de verplichting voor de verwerkingsverantwoordelijke om in de volgende omstandigheden onverwijld de persoonsgegevens te wissen:
- de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
- de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
- de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingen de gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
- de persoonsgegevens zijn onrechtmatig verwerkt;
- de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.
Verplichting om de andere verwerkingsverantwoordelijken te informeren aan wie gegevens zijn verstrekt
Als de verwerkingsverantwoordelijke (in dit geval de kredietgever of -bemiddelaar) de persoonsgegevens overmaakte, dient hij redelijke maatregelen te treffen (rekening houdend met de beschikbare technologieën en de uitvoeringskosten) om de andere verwerkingsverantwoordelijken die de gegevens gebruiken, in kennis te stellen van het feit dat de betrokkene verzocht om verwijdering van alle referenties naar zijn gegevens en van alle kopieën of reproducties van deze gegevens (17.2, GDPR).
De uitzonderingen
De GDPR voorziet een aantal uitzonderingen als de bewerking noodzakelijk is:
- voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
- voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
- om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;
- met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
- voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Het recht op gegevenswissing in de bepalingen van het WER inzake gereglementeerde kredieten
Het principe
De becommentarieerde bepalingen gaan in op het principe van artikel 17 van de GDPR: de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer ze zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt. Uit de parlementaire voorbereiding van de WCK blijkt duidelijk de wil van de wetgever om precieze termijnen vast te leggen teneinde elke rechtsonzekerheid te vermijden: In verband met het specifiek beginsel van de uitwissing van gegevens moet worden opgemerkt dat artikel 69, § 5, niet bepaalt dat de gegevens moeten worden uitgewist op het einde van de overeenkomst. Het zegt dat " de gegevens moeten worden uitgewist wanneer het behoud ervan in het bestand niet meer verantwoord is". Dit maakt het de kredietgevers mogelijk de gegevens betreffende bij voorbeeld wanbetalingen niet onmiddellijk uit te wissen omdat die gegevens nog nuttig kunnen zijn wanneer nieuwe kredieten worden verleend. Om alle onzekerheid weg te nemen wordt bepaald dat de Koning een termijn kan vaststellen voor het behoud van gegevens of voor het behoud van sommige categorieën van gegevens. (Parl. St., Senaat, 1989-1990, nr. 916/1, p. 41).
Het Koninklijk besluit van 20 november 1992 betreffende de verwerking van persoonsgegevens inzake consumentenkrediet, specificeert de bewaartermijnen voor kredietbestanden (art. 5), voor positieve gegevens (lopende kredieten) en negatieve gegevens (wanbetalingen).
Voor wat de positieve (lopende kredieten) en negatieve (wanbetalingen) gegevens betreft bij de Centrale voor Kredieten aan Particulieren, worden de bewaartermijnen vastgelegd in het koninklijk besluit van 23 maart2017 tot regeling van de Centrale voor Kredieten aan Particulieren (artikel 4 voor het positieve luik en artikel 8 voor het negatieve luik)
De becommentarieerde bepalingen breiden deze verplichting uit tot de verwerkingsverantwoordelijken die mededeling hebben ontvangen van persoonsgegevens in het raam van het sluiten of het beheer van een kredietovereenkomst.
Wissing is alleen vereist voor gegevens die uitsluitend werden verwerkt in het kader van een gereglementeerd krediet
In hun hoedanigheid van verwerkingsverantwoordelijken hebben kredietgevers persoonsgegevens in hun bezit die ze mogelijk op verschillende tijdstippen hebben verzameld (bij het openen van een rekening, wanneer een klant zich abonneert op een bepaalde dienst, als onderdeel van een marketingcampagne) en die ook in het kader van de kredietverlening kunnen worden gebruikt. Het is bijgevolg van essentieel belang om de rechtsgrond van de verwerking na te gaan. Immers, al naargelang de rechtsgrond lopen de rechten van de betrokkene uiteen. Indien de verwerking uitsluitend op basis van toestemming plaatsvindt, moeten de persoonsgegevens worden gewist zodra de toestemming wordt ingetrokken (artikel 17, b) van de GDPR). Het kan echter zijn dat die informatie wordt gebruikt voor een verwerking die op een andere rechtsgrond is gebaseerd, zoals de uitvoering van een overeenkomst waarbij de betrokkene partij is (artikel 6.1, b) van de GDPR). Het intrekken van de toestemming leidt in dat geval niet tot de wissing van de gegevens als de verwerking ervan rechtmatig blijft. Dit is het geval voor identificatiegegevens waarvan de verwerking moet verdwijnen zodra het krediet is afgelost maar waarvan de verwerking rechtmatig kan blijven als de gegevens worden verwerkt voor de doeleinden van de contractuele relatie als deze na het einde van de kredietovereenkomst wordt voortgezet.
Voor persoonsgegevens die niet worden verzameld in het kader van een gereglementeerde kredietovereenkomst zijn geen specifieke bewaartermijnen voorzien. Bijgevolg is de eerder uiteengezette regel van de GDPR van toepassing.
De bewaartermijnen van de gegevens verzameld voor de kredietovereenkomsten
Technische en organisatorische maatregelen om de vertrouwelijkheid van gegevens te waarborgen
De beginselen vastgelegd in het WER
De paragrafen 2 en 3 van de artikelen VII.120 en VII.147/36 hebben betrekking op de maatregelen die de verwerkingsverantwoordelijken moeten treffen om de vertrouwelijkheid van de gegevens te waarborgen. Het doel bestaat erin, de gegevens ongeschonden te bewaren, de vertrouwelijkheid ervan te garanderen en te zorgen voor een verwerking die de doeleinden eerbiedigt waarvoor de gegevens zijn verzameld. De verwerkingsverantwoordelijke is eveneens verantwoordelijk voor geautomatiseerde uitwisselingsprogramma's. Hij dient ervoor te zorgen dat bij deze uitwisselingen de vereisten van de wet zijn vervuld: vertrouwelijkheid, inzage beperkt tot gemachtigde derden, inzage in het kader van kredietverstrekking en bijgevolg een verbod op een "blinde" systematische raadpleging, enz. Zodra een derde in het bezit is van de geraadpleegde gegevens (en hiertoe gemachtigd is door het artikel), is deze verantwoordelijk voor de gegevens die hem werden medegedeeld.
De bepalingen verlenen de Koning de bevoegdheid om de regels te bepalen volgens dewelke de verantwoordelijke voor de verwerking zijn opdracht moet uitvoeren. Het WER beperkt zich tot een opsomming van beginselen. De GDPR verduidelijkte sedertdien de verplichtingen van de verwerkingsverantwoordelijken en van hun subverwerkers.
De regels van de GDPR
De GDPR bevat een reeks verplichtingen die van toepassing zijn voor verwerkingsverantwoordelijken en hun subverwerkers. We vermelden de volgende verplichtingen:
- passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd (art. 24.1).
- wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregel en een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
- Bij het bepalen van de technische en organisatorische maatregelen en tijdens de verwerking zelf, gebruik maken van passende technische maatregelen zoals pseudonimisering.
- Het aansluiten bij goedgekeurde gedragscodes (24.3) en goedgekeurd certificeringsmechanisme gebruiken om aan te tonen dat aan de voorschriften van GDPR is voldaan (25.3).
- Stellen op transparante wijze de respectieve verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken
- Beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden en hen contractueel opleggen de keuze van hun onderaannemers, de naleving van een gedragscode de het gebruik van certificatie mechanismes.
- Het behoud van een register met verschillende informaties (30, GDPR)
- Inbreuk in verband met persoonsgegevens meedelen aan de persoonsgegevens autoriteit en aan de betrokkenen (33 en 34, GDPR)
- Voorafgaande beoordeling studie uitvoeren van het effect van beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (art. 35, GDPR)
- Een functionaris voor gegevensbescherming aanwijzen (art. 37, GDPR)