De doeleinden waarvoor de persoonsgegevens overgedragen mogen worden

De becommentarieerde bepalingen beperken de doeleinden waarvoor de kredietgevers de toelating hebben om welbepaalde persoonsgegevens over te dragen die naar aanleiding van een kredietverstrekking werden verzameld. De gegevensverwerking mag alleen dienen om enerzijds de financiële situatie en de kredietwaardigheid van consumenten (en van zekerheidsstellers) te beoordelen, en anderzijds voor de toekenning of het beheer van kredieten of betalingsdiensten, die van aard zijn het privévermogen van een natuurlijk persoon te bezwaren en waarvan de uitvoering gevolgen kan hebben voor het privévermogen van deze persoon.

Evenredigheid van de verzamelde gegevens met de bij wet toegelaten doeleinden - principe van de minimale gegevensverwerking

De hier bedoelde doeleinden zijn de verwerkingsgevallen waarin de overdracht van de gegevens toegestaan is (met inachtneming van de andere voorwaarden die gelden voor de gegevens en de gemachtigde derde).

De tweede paragraaf van de becommentarieerde bepalingen past het principe van de minimale gegevensverwerking toe dat in de lex generalis van de GDPR is opgenomen (zie de commentaar) (in dit geval bij artikel 5.1, c GDPR) : de gegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Deze regel moet samen worden gelezen met de artikelen VII.118 en VII.147/34. Deze verduidelijken welke gegevens overgemaakt mogen worden. De lijst van de gegevens die in deze bepalingen is opgenomen, impliceert niet dat de gegevens steeds overgedragen mogen worden. Alleen de gegevens die toereikend, ter zake dienend en beperkt zijn tot wat nodig is voor de beoogde verwerking, mogen worden overgedragen.

Duidelijk verbod op de overdracht van gegevens voor marketingdoeleinden

De wettekst legt de ontvanger van de gegevens een verbod op om de doorgestuurde gegevens te gebruiken voor marketingdoeleinden. De becommentarieerde bepalingen voorzien effectief geen enkele uitzondering op dit verbod, ongeacht de inhoud van de gegevens en los van de eventuele toestemming van de consument. Zo is het systematische gebruik van de gegevens van de CKP om de consument te overhalen om zijn schulden te hergroeperen, verboden (zie pro justitia). Tenzij de betrokkene zich ertegen verzet, laat de administratie evenwel toe dat naam- en adresgegevens worden doorgegeven voor directe marketing, op voorwaarde dat er geen enkel verband bestaat met de kredietovereenkomst en dat dit uitdrukkelijk wordt vermeld in de informatie die aan de betrokkene wordt medegedeeld.

Een verboden praktijk is bijvoorbeeld het gebruik van gegevens van de Centrale om een reclamecampagne te starten die zich tot welbepaalde consumenten richt of welbepaalde consumenten net wil uitsluiten.

Voorlichting van de betrokkene

In de bepalingen van de kredietovereenkomst, moet de kredietgever zijn informatieplicht op zich nemen door verschillende bepalingen te voorzien inzake de interne bestanden – die niet zijn bestemd voor raadpleging door derden – en de bestanden die zijn bestemd voor raadpleging. Artikel 13.1, e) van de GDPR verplicht de kredietgever als verwerkingsverantwoordelijke om de ontvangers of categorieën van ontvangers van de persoonsgegevens mee te delen samen met de andere informatie die de betrokkene moet ontvangen bij de initiële registratie van zijn gegevens. Er mag geen enkele onduidelijkheid bestaan over de doeleinden van de interne bestanden en van de gegevensbestanden die bedoeld zijn voor raadpleging door derden. Deze laatste gegevens mogen in geen enkel geval, zij het rechtstreeks of onrechtstreeks, worden gebruikt voor commerciële prospectie.

De doeleinden van de Centrale voor Kredieten aan Particulieren

De CKP is een register waarvan het doeleinde bij wet is vastgelegd. De overdracht van gegevens die betrekking hebben op gereglementeerde kredieten is een verplichting die voortvloeit uit hoofdstuk 3, titel 4 van Boek VII van het WER. Het CKP-register is bestemd voor raadpleging door kredietgevers en heeft als doel, informatie aan te bieden die het mogelijk maakt om de financiële situatie en de kredietwaardigheid van de consument te beoordelen. De beperking van het gebruik van de gegevens uit het CKP wordt toegelicht in artikel VII.153, §2:De inlichtingen die door de Bank worden medegedeeld mogen enkel gebruikt worden in het raam van het verstrekken van of het beheer van kredieten of betalingsdiensten, die van aard zijn het privévermogen van een natuurlijk persoon te bezwaren en waarvan de uitvoering op het privévermogen kan voortgezet worden.

Deze inlichtingen mogen niet worden gebruikt voor commerciële prospectiedoeleinden.

Voorbeelden - advies van de administratie

• De doeleinden moeten op een duidelijke en juiste manier worden vermeld: zo heeft de administratie na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, geoordeeld dat de verwijzing “marketing en/of commerciële prospectie” erg vaag is en in de praktijk een groot aantal situaties en interne of externe diensten kan dekken, zowel binnen als buiten de kredietinstelling. De term “marketing” moet ten minste zijn gekoppeld aan diensten die duidelijker worden omschreven en aan een concrete interne of externe vertegenwoordiger (bijvoorbeeld: “marketing” voor het toestaan van krediet door de kredietverlener).

Rechtspraak

Stelden een schending van het finaliteitsbeginsel vast:

• Kooph. Antwerpen (voorz.), 7 juli 1994, D.C.C.R., 1994-1995,p. 77 en noot Th. LEONARD, «La banque, le courtier et la vie privée: une première décision jurisprudentielle», bevestigd door Antwerpen, 3 mei 1999, A.J.T., 1999, p.437 en noot C. DE VOS, «Het gebruik door de bank van informatie verkregen in het kader van haar bankiersactiviteit getoetst aan de Privacywetgeving»: een bank ontdekte dat er bij de overschrijvingen die ze van haar cliënten kreeg, betalingen waren verricht aan verzekeringsmaatschappijen met het oog hen de eigen verzekeringsproducten aan te bieden. De rechter was van oordeel dat er sprake was van een omzeiling van het doeleinde en heeft de bank veroordeeld. Dit vonnis werd bevestigd door het Hof van Beroep van Antwerpen dat daarenboven aangaf dat de bank haar discretieplicht had geschonden.
• Kooph. Hasselt (voorz.), 13 oktober 1995, Handelspraktijken & Medediging, 1995, p. 423. Volgens dit vonnis is er sprake van een verwerking in de zin van de wet van 8 december 1992, wanneer de verantwoordelijke van de afdeling reizen van een bank informatie vraagt betreffende het krediet van een klant bij de bank, en wanneer deze laatste zijn bestanden raadpleegt, die persoonlijke informatie bevatten. In dat geval moet worden nagegaan of het finaliteitsbeginsel wordt gerespecteerd.
• Brussel, 15 februari 2005, geciteerd door J. ROGGE, C.-A. VAN OLDENEEL, «Protection de la vie privée et bancassurfinance», in Bancassurfinance, 2005,p. 405. Dit vonnis veroordeelt een bank wegens het gebruik van gegevens over de door cliënten verrichte betalingen met als doeleinde het controleren van bepaalde van haar bankagenten. De bank ontdekte bij de analyse van die gegevens dat sommige agenten producten van andere financiële instellingen verkochten.