VII.120 - VII.147/36 : Bewaring, vetrouwelijkheid, wissen

 
 

Artikel VII.120

§ 1. De gegevens moeten worden uitgewist wanneer het behoud ervan in het bestand niet meer verantwoord is. De Koning kan een termijn bepalen voor de bewaring van de gegevens of van categorieën van gegevens.
De personen die mededeling hebben ontvangen van persoonsgegevens in het raam van het sluiten of het beheer van een kredietovereenkomst, mogen daarover slechts beschikken gedurende de tijd nodig voor het sluiten en het uitvoeren van kredietovereenkomsten, inzonderheid rekening houdend met de door de Koning, krachtens deze paragraaf, bepaalde termijnen voor de bewaring van gegevens.
§ 2. De verantwoordelijke voor de verwerking is verplicht alle maatregelen te treffen om de perfecte bewaring van de persoonsgegevens te verzekeren.
De personen die mededeling hebben ontvangen van persoonsgegevens zijn ertoe gehouden maatregelen te nemen om het vertrouwelijk karakter van deze gegevens te verzekeren en om ervoor te zorgen dat ze uitsluitend worden aangewend voor de doeleinden door of krachtens dit boek voorzien of voor het vervullen van hun wettelijke verplichtingen.
§ 3. De verantwoordelijke voor de verwerking wordt in het bijzonder belast met het toezicht op de geautomatiseerde verwerking of de geautomatiseerde uitwisseling van persoonsgegevens en moet inzonderheid erop toezien dat de programma's voor geautomatiseerde verwerking of de geautomatiseerde uitwisseling uitsluitend worden ontwikkeld en aangewend overeenkomstig dit boek en zijn uitvoeringsbesluiten.
De Koning kan de regels bepalen volgens welke de verantwoordelijke voor de verwerking zijn opdracht moet uitvoeren.

Artikel VII.147/36

§ 1. De gegevens worden uitgewist wanneer het behoud ervan in het bestand niet meer verantwoord is. De Koning kan een termijn bepalen voor de bewaring van de gegevens of van categorieën van gegevens.
De personen die mededeling hebben ontvangen van persoonsgegevens in het raam van het sluiten of het beheer van een kredietovereenkomst, mogen daarover slechts beschikken gedurende de tijd nodig voor het sluiten en het uitvoeren van kredietovereenkomsten, inzonderheid rekening houdend met de door de Koning, krachtens deze paragraaf, bepaalde termijnen voor de bewaring van gegevens.
§ 2. De verantwoordelijke voor de verwerking is verplicht alle maatregelen te treffen om de perfecte bewaring van de persoonsgegevens te verzekeren.
De personen die mededeling hebben ontvangen van persoonsgegevens zijn ertoe gehouden maatregelen te nemen om het vertrouwelijk karakter van deze gegevens te verzekeren en om ervoor te zorgen dat ze uitsluitend worden aangewend voor de doeleinden door of krachtens dit boek voorzien of voor het vervullen van hun wettelijke verplichtingen.
§ 3. De verantwoordelijke voor de verwerking wordt in het bijzonder belast met het toezicht op de geautomatiseerde verwerking of de geautomatiseerde uitwisseling van persoonsgegevens en moet inzonderheid erop toezien dat de programma's voor geautomatiseerde verwerking of de geautomatiseerde uitwisseling uitsluitend worden ontwikkeld en aangewend overeenkomstig dit boek en zijn uitvoeringsbesluiten.
De Koning kan de regels bepalen volgens welke de verantwoordelijke voor de verwerking zijn opdracht moet uitvoeren.

Het recht op gegevenswissing in de GDPR

Recht van de persoon en verplichting van de verwerkingsverantwoordelijke

Het recht op gegevenswissing is een grondrecht van de burger. Het gaat erom te vermijden dat aan personen definitieve labels worden gekleefd, die hun vermogen om te veranderen belemmeren en hun vrijheid aantasten. Het recht op gegevenswissing is opgenomen in artikel 17 van de GDPR, waarin het recht van de betrokkene wordt erkend om van de verwerkingsverantwoordelijke binnen de snelst mogelijke termijn de wissing te bekomen van de persoonsgegevens evenals de verplichting voor de verwerkingsverantwoordelijke om in de volgende omstandigheden onverwijld de persoonsgegevens te wissen:

  1. de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  2. de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
  3. de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingen de gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
  4. de persoonsgegevens zijn onrechtmatig verwerkt;
  5. de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  6. de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

Verplichting om de andere verwerkingsverantwoordelijken te informeren aan wie gegevens zijn verstrekt

Als de verwerkingsverantwoordelijke (in dit geval de kredietgever of -bemiddelaar) de persoonsgegevens overmaakte, dient hij redelijke maatregelen te treffen (rekening houdend met de beschikbare technologieën en de uitvoeringskosten) om de andere verwerkingsverantwoordelijken die de gegevens gebruiken, in kennis te stellen van het feit dat de betrokkene verzocht om verwijdering van alle referenties naar zijn gegevens en van alle kopieën of reproducties van deze gegevens (17.2, GDPR).

De uitzonderingen

De GDPR voorziet een aantal uitzonderingen als de bewerking noodzakelijk is:

  1. voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
  2. voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
  3. om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;
  4. met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
  5. voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Het recht op gegevenswissing in de bepalingen van het WER inzake gereglementeerde kredieten

Het principe

De becommentarieerde bepalingen gaan in op het principe van artikel 17 van de GDPR: de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer ze zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt. Uit de parlementaire voorbereiding van de WCK blijkt duidelijk de wil van de wetgever om precieze termijnen vast te leggen teneinde elke rechtsonzekerheid te vermijden: In verband met het specifiek beginsel van de uitwissing van gegevens moet worden opgemerkt dat artikel 69, § 5, niet bepaalt dat de gegevens moeten worden uitgewist op het einde van de overeenkomst. Het zegt dat " de gegevens moeten worden uitgewist wanneer het behoud ervan in het bestand niet meer verantwoord is". Dit maakt het de kredietgevers mogelijk de gegevens betreffende bij voorbeeld wanbetalingen niet onmiddellijk uit te wissen omdat die gegevens nog nuttig kunnen zijn wanneer nieuwe kredieten worden verleend. Om alle onzekerheid weg te nemen wordt bepaald dat de Koning een termijn kan vaststellen voor het behoud van gegevens of voor het behoud van sommige categorieën van gegevens. (Parl. St., Senaat, 1989-1990, nr. 916/1, p. 41).

Het Koninklijk besluit van 20 november 1992 betreffende de verwerking van persoonsgegevens inzake consumentenkrediet, specificeert de bewaartermijnen voor kredietbestanden (art. 5), voor positieve gegevens (lopende kredieten) en negatieve gegevens (wanbetalingen).

Voor wat de positieve (lopende kredieten) en negatieve (wanbetalingen) gegevens betreft bij de Centrale voor Kredieten aan Particulieren, worden de bewaartermijnen vastgelegd in het koninklijk besluit van 23 maart2017 tot regeling van de Centrale voor Kredieten aan Particulieren (artikel 4 voor het positieve luik en artikel 8 voor het negatieve luik)

De becommentarieerde bepalingen breiden deze verplichting uit tot de verwerkingsverantwoordelijken die mededeling hebben ontvangen van persoonsgegevens in het raam van het sluiten of het beheer van een kredietovereenkomst.

Wissing is alleen vereist voor gegevens die uitsluitend werden verwerkt in het kader van een gereglementeerd krediet

In hun hoedanigheid van verwerkingsverantwoordelijken hebben kredietgevers persoonsgegevens in hun bezit die ze mogelijk op verschillende tijdstippen hebben verzameld (bij het openen van een rekening, wanneer een klant zich abonneert op een bepaalde dienst, als onderdeel van een marketingcampagne) en die ook in het kader van de kredietverlening kunnen worden gebruikt. Het is bijgevolg van essentieel belang om de rechtsgrond van de verwerking na te gaan. Immers, al naargelang de rechtsgrond lopen de rechten van de betrokkene uiteen. Indien de verwerking uitsluitend op basis van toestemming plaatsvindt, moeten de persoonsgegevens worden gewist zodra de toestemming wordt ingetrokken (artikel 17, b) van de GDPR). Het kan echter zijn dat die informatie wordt gebruikt voor een verwerking die op een andere rechtsgrond is gebaseerd, zoals de uitvoering van een overeenkomst waarbij de betrokkene partij is (artikel 6.1, b) van de GDPR). Het intrekken van de toestemming leidt in dat geval niet tot de wissing van de gegevens als de verwerking ervan rechtmatig blijft. Dit is het geval voor identificatiegegevens waarvan de verwerking moet verdwijnen zodra het krediet is afgelost maar waarvan de verwerking rechtmatig kan blijven als de gegevens worden verwerkt voor de doeleinden van de contractuele relatie als deze na het einde van de kredietovereenkomst wordt voortgezet.

Voor persoonsgegevens die niet worden verzameld in het kader van een gereglementeerde kredietovereenkomst zijn geen specifieke bewaartermijnen voorzien. Bijgevolg is de eerder uiteengezette regel van de GDPR van toepassing.

De bewaartermijnen van de gegevens verzameld voor de kredietovereenkomsten

De bewaartermijnen van de interne bestanden van de kredietgevers

De gegevens betreffende de identiteit van de partijen, het bedrag en de duur van het krediet en de periodiciteit van de betalingen moeten uit de bestanden worden gewist binnen onderstaande termijnen:

Normaal uitgevoerde overeenkomst
zonder betalingsfaciliteiten

14 dagen na uitdoving van de verplichtingen

In geval van betalingsfaciliteiten

Ten laatste één jaar na uitdoving van de verplichtingen

In geval van geregulariseerde betalingsachterstand

12 maanden te rekenen vanaf de regularisatie van de kredietovereenkomst

In geval van niet-geregulariseerde
betalingsachterstand

10 jaar na de registratie van de betalingsachterstand

 Bron : Artikel 5 van het K.B. van 20 november 1992 betreffende de verwerking van persoonsgegevens inzake consumentenkrediet.

De bewaartermijnen bij de CKP

De bewaartermijnen die van toepassing zijn op de gegevens geregistreerd in de Centrale voor Kredieten aan Particulieren zijn de volgende (koninklijk besluit van 23 maart 2017 ter regeling van de Centrale voor Kredieten aan Particulieren):

Positief luik (artikel 4)

Vanaf de datum van het einde van de overeenkomst

Drie maanden en acht werkdagen

In geval van vervroegde terugbetaling

Binnen de twee werkdagen volgend op de terugbetaling

Negatief luik (artikel 8)

Vanaf de regularisatie

Twaalf maanden te rekenen vanaf de datum van de regularisatie

Niet-geregulariseerde wanbetaling

maximaal tien jaar vanaf de datum van de eerste wanbetaling, bedoeld in artikel 6 van dit besluit, ongeacht of de kredietovereenkomst tussentijds al dan niet werd geregulariseerd. Indien na afloop van deze maximale termijn van tien jaar een nieuwe wanbetaling zich voordoet, wordt een nieuwe tienjarige bewaartermijn opgestart vanaf de datum waarop de registratiecriteria van deze nieuwe wanbetaling zijn vervuld.

Technische en organisatorische maatregelen om de vertrouwelijkheid van gegevens te waarborgen

De beginselen vastgelegd in het WER

De paragrafen 2 en 3 van de artikelen VII.120 en VII.147/36 hebben betrekking op de maatregelen die de verwerkingsverantwoordelijken moeten treffen om de vertrouwelijkheid van de gegevens te waarborgen. Het doel bestaat erin, de gegevens ongeschonden te bewaren, de vertrouwelijkheid ervan te garanderen en te zorgen voor een verwerking die de doeleinden eerbiedigt waarvoor de gegevens zijn verzameld. De verwerkingsverantwoordelijke is eveneens verantwoordelijk voor geautomatiseerde uitwisselingsprogramma's. Hij dient ervoor te zorgen dat bij deze uitwisselingen de vereisten van de wet zijn vervuld: vertrouwelijkheid, inzage beperkt tot gemachtigde derden, inzage in het kader van kredietverstrekking en bijgevolg een verbod op een "blinde" systematische raadpleging, enz. Zodra een derde in het bezit is van de geraadpleegde gegevens (en hiertoe gemachtigd is door het artikel), is deze verantwoordelijk voor de gegevens die hem werden medegedeeld.

De bepalingen verlenen de Koning de bevoegdheid om de regels te bepalen volgens dewelke de verantwoordelijke voor de verwerking zijn opdracht moet uitvoeren. Het WER beperkt zich tot een opsomming van beginselen. De GDPR verduidelijkte sedertdien de verplichtingen van de verwerkingsverantwoordelijken en van hun subverwerkers.

De regels van de GDPR

De GDPR bevat een reeks verplichtingen die van toepassing zijn voor verwerkingsverantwoordelijken en hun subverwerkers. We vermelden de volgende verplichtingen:

  1. passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd (art. 24.1).
  2. wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregel en een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
  3. Bij het bepalen van de technische en organisatorische maatregelen en tijdens de verwerking zelf, gebruik maken van passende technische maatregelen zoals pseudonimisering.
  4. Het aansluiten bij goedgekeurde gedragscodes (24.3) en goedgekeurd certificeringsmechanisme gebruiken om aan te tonen dat aan de voorschriften van GDPR is voldaan (25.3).
  5. Stellen op transparante wijze de respectieve verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken
  6. Beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden en hen contractueel opleggen de keuze van hun onderaannemers, de naleving van een gedragscode de het gebruik van certificatie mechanismes.
  7. Het behoud van een register met verschillende informaties (30, GDPR)
  8. Inbreuk in verband met persoonsgegevens meedelen aan de persoonsgegevens autoriteit en aan de betrokkenen (33 en 34, GDPR)
  9. Voorafgaande beoordeling studie uitvoeren van het effect van beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (art. 35, GDPR)
  10. Een functionaris voor gegevensbescherming aanwijzen (art. 37, GDPR)
Facebook Share Button Twitter Share Button Linkedin Share Button
Back to top