VII.122 - VII.147/38 : Rechten van de betrokkene
De tekst van de bepalingen is identiek
Het algemene kader: de GDPR
De hier becommentarieerde bepalingen zijn niet langer van kracht sedert de invoegetreding op 25 mei 2018 van de Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, doorgaans de 'algemene verordening gegevensbescherming' (hierna GDPR genoemd), rechtstreeks van toepassing in de rechtssystemen van de Lidstaten. GDPR. De verwijzing naar de wet van 8 december 1992 is bijgevolg niet langer toepasselijk.
De GDPR kent de beschermde persoon verschillende rechten toe:
- het recht op informatie
- bij de registratie (artikelen 13 en 14),
- bij de rectificatie,
- bij de wissing van de gegevens (artikel 19) en
- wanneer de verantwoordelijke een schending vaststelt van zijn persoonsgegevens (artikel 34).
- het recht op inzage in de verwerkte gegevens (artikel 15)
- het recht op rectificatie van de gegevens (artikel 16)
- het recht op wissing van de gegevens (het recht op "vergetelheid") (artikel 17)
- het recht op beperking van de verwerking (artikel 18)
- het recht op overdraagbaarheid van gegevens (artikel 20)
- het recht van bezwaar (artikel 21)
- het recht om gevrijwaard te blijven van een geautomatiseerde individuele beslissing (artikel 22).
De GDPR erkent het recht van de Europese en nationale wetgevers om deze rechten te beperken wanneer een dergelijke beperking de essentie van de grondrechten en -vrijheden eerbiedigt en een noodzakelijke en evenredige maatregel is in een democratische samenleving en deze beperking erop gericht is, een reeks in artikel 23 genoemde doelstellingen te waarborgen, met name inzake nationale veiligheid, nationale defensie, openbare veiligheid, preventie en opsporing van inbreuken, enz.
De bepalingen van het WEB met betrekking tot gereglementeerde kredieten beperken de rechten van de betrokken partijen niet. Integendeel, zij versterken hun rechten door de overdracht van gegevens te verbieden, behalve binnen de grenzen die zij aangeven.
Rechten van de betrokkenen
Leesbaarheid en duidelijkheid van de informatie
Het transparantiebeginsel is vastgelegd in artikel 12 van de GDPR. Het doel is om het voor de betrokkenen zo eenvoudig mogelijk te maken om inzage te krijgen in de gegevens. De verwerkingsverantwoordelijke wordt verzocht de te verstrekken informatie op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier, en in duidelijke en eenvoudige bewoordingen te communiceren. Dit geldt met name voor alle informatie die specifiek voor een kind bestemd is.
Voor een goed overzicht, dat gemakkelijk zichtbaar, begrijpelijk en duidelijk leesbaar is, kan informatie die bij de eerste registratie verstrekt moet worden (artikelen 13 en 14 van de GDPR) verstrekt, vergezeld gaan van standaardpictogrammen die door een computer gelezen moeten kunnen worden wanneer de informatie elektronisch wordt medegedeeld (artikel 12.7).
Hij dient bovendien de uitoefening van de aan de betrokken personen verleende rechten te vergemakkelijken. In geval van gegronde twijfel over de identiteit van de betrokkene kan de verwerkingsverantwoordelijke om aanvullende informatie verzoeken die nodig is om de identiteit van de betrokkene te bevestigen. Deze eis mag evenwel geen misleidend middel zijn om te weigeren aan het verzoek te voldoen (12.6 en 12.2 van de GDPR).
De betrokkene mag de hem toegekende rechten in alle vormen benutten. Maakt hij gebruik van de elektronische weg en verzoekt hij niet om een andere regeling, wordt de informatie in een gangbare elektronische vorm verstrekt (artikel 12.5, in fine, GDPR).
De uitoefening van het recht is kosteloos
Tenzij de uitoefening van het recht kennelijk ongegrond en buitensporig is, bijvoorbeeld in het geval van herhaalde verzoeken, kan van de betrokkene geen betaling worden verlangd voor de uitoefening van een recht dat door de GDPR wordt erkend (artikel 12.5 GDPR).
Antwoordplicht, communicatiewijze en termijn
Artikel 12.3 van de GDPR bepaalt dat de verwerkingsverantwoordelijke de betrokkene informatie moet verstrekken over de maatregelen die hij heeft genomen naar aanleiding van een verzoek dat de betrokkene formuleerde op basis van een van de rechten die de GDPR hem verleent. Dit antwoord moet binnen de maand worden gegeven. Gedurende deze periode kan de verwerkingsverantwoordelijke de betrokkene in kennis stellen van het uitstel van zijn of haar antwoord van maximaal twee maanden als dit uitstel gerechtvaardigd is door de complexiteit van de verzoeken en het aantal ervan.
Indien de verwerkingsverantwoordelijke hier geen gevolg aan geeft of dit weigert, dient hij de betrokkene binnen een maand na het verzoek in kennis stellen van de redenen waarom hij geen gevolg gaf en van het recht dat de persoon heeft om bezwaar aan te tekenen bij de betrokkene en om gerechtelijke stappen te ondernemen.
De verwerkingsverantwoordelijke mag weigeren om te antwoorden op kennelijk ongegronde en overmatige verzoeken. Hij moet echter het ongegronde of overmatige karakter kunnen aantonen (artikel 12.5, in fine, GDPR). Deze weigering wordt eveneens binnen een maand na het verzoek overeenkomstig artikel 12.4 ter kennis gebracht, met vermelding van de redenen voor de weigering en de mogelijkheid om gerechtelijke stappen te ondernemen of een klacht in te dienen.
Zie de commentaar op art. VII.121 en VII.147/37
Het recht om de verwerkingsverantwoordelijke te bevragen
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
- a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, en met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4 bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Wanneer verzoeken worden gericht aan landen buiten de EU, heeft de betrokkene het recht om de verwerkingsverantwoordelijke te vragen de garanties te specificeren die hij verkreeg en die in artikel 46 van de GDPR zijn vastgelegd.
Bevragingswijze
Volgens artikel 10 van de wet van 8 december 1992 richt de betrokkene [daartoe] een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan iedere andere persoon die de Koning aanwijst. De GDPR verduidelijkt niet onder welke vorm de betrokkene de verwerkingsverantwoordelijke dient te bevragen. Deze laatste dient de uitoefening van het recht op inzage overigens te faciliteren (artikel 12.2, GDPR). De betrokkene mag bijgevolg dus om het even welke communicatievorm gebruiken. Dat kan een bezoek zijn aan de lokalen van de verantwoordelijke, een telefonische oproep, een mail, enz. De verwerkingsverantwoordelijke heeft dan weer het recht om na te gaan of het verzoek wel degelijk van de betrokkene komt en mag deze vragen om zijn/haar identiteit aan te tonen. Volgens artikel 7, §1 van het Koninklijk Besluit van 20 november 1992 moet de consument die met toepassing van artikel 70, §2, van de wet een bestand wil raadplegen, zijn identiteit aantonen bij wijze van een fotokopie (van zijn identiteitsdocument zoals bedoeld in artikel 2, § 2). Deze vereiste lijkt echter niet langer verenigbaar met de tekst van de GDPR.
Kan de betrokkene een derde een volmacht geven om de hem/haar betreffende persoonsgegevens te raadplegen? Volgens het KB van 20 november 1992, artikel 7, §3 dient het recht van de consument op toegang, op verbetering of op verwijdering van de gegevens ofwel persoonlijk te worden uitgeoefend, ofwel door een advocaat, een ministerieel ambtenaar of een gerechtelijk mandataris, in het raam van de uitvoering van de kredietovereenkomst. Artikel 23 van de GDPR biedt de nationale wetgever de mogelijkheid om de rechten van de betrokkenen te beperken, met name voor belangrijke doelstellingen van algemeen openbaar belang. In dit geval is het de bedoeling te voorkomen dat de beperkingen op de overdracht van persoonsgegevens bij gereglementeerde kredieten worden omzeild. Een kredietmakelaar aan wie deze gegevens niet mogen worden doorgegeven, zou consumenten die hem raadplegen zo een raadplegingsmandaat kunnen doen ondertekenen. Deze beperking lijkt bijgevolg verenigbaar met de tekst van de GDPR.
Het antwoord van de verwerkingsverantwoordelijke
Wanneer er geen verwerking van persoonsgegevens plaatsvindt, dient de verwerkingsverantwoordelijke de betrokkene hiervan in kennis te stellen. Zijn er wél persoonsgegevens, moet de verwerkingsverantwoordelijke kosteloos een kopie bezorgen van de verwerkte persoonsgegevens. De verwerkingsverantwoordelijke mag een redelijke vergoeding vragen voor elk bijkomend kopieverzoek. Wat de gereglementeerde kredieten betreft, zegt artikel 10, §1 van het KB van 20 november 1992 het volgende: De raadpleging door de consument van de gegevens betreffende een op zijn naam geregistreerde kredietovereenkomst is kosteloos, voor zover hij die gegevens niet meer dan eenmaal per trimester raadpleegt en deze tijdens die periode niet zijn gewijzigd.
Tenzij de persoon de informatie op een andere manier aanvraagt, mag de verwerkingsverantwoordelijke de gegevens in elektronische vorm verstrekken als de persoon in kwestie elektronisch contact opnam.
Principe
Volgens artikel 16 van de GDPR, De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
Voor gereglementeerde kredieten bevat het K.B. van 23 maart 2017 een aantal bijkomende regels. Volgens art. 7, §2, Elke aanvraag die uitgaat van een consument en de verbetering of de verwijdering van de op zijn naam geregistreerde gegevens beoogt, moet bovendien vergezeld zijn van elk document dat de gegrondheid van de aanvraag rechtvaardigt. Desnoods kan de houder van het bestand van de consument eisen dat hij een goed leesbare fotokopie voorlegt van het kredietcontract, of van enig ander document aan de hand waarvan de kredietovereenkomst duidelijk kan worden geïdentificeerd. Volgens het derde lid van diezelfde bepaling moet het recht in het kader van de uitvoering van de kredietovereenkomst persoonlijk, via een advocaat, via een ministerieel ambtenaar of via een gerechtelijk mandataris worden uitgeoefend.
Het recht om de reden van de wanbetaling toe te lichten
De artikelen VII.122 en VII.147/37 bepalen dat de consument, los van een eventuele betwisting, kan verzoeken dat de reden voor de wanbetaling die hij meedeelt, samen met de wanbetaling wordt vermeld. Dit kan bijvoorbeeld het verlies van een baan of een echtscheiding zijn. Deze regel geldt zowel voor interne bestanden als voor gegevens die aan derden worden overgemaakt.
Rectificatie
Een verzoek tot rectificatie wordt gericht aan de verwerkingsverantwoordelijke. Bij gereglementeerde kredieten dienen alle onjuiste gegevens uiterlijk binnen de vijftien dagen te worden rechtgezet (art. 8 van het Koninklijk Besluit van 20 november 1992).
De verplichting om andere verwerkingsverantwoordelijken te informeren
Overeenkomstig artikel 19 stelt de verwerkingsverantwoordelijke iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.
De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Principe
Artikel 17 van de GDPR erkent het recht van de betrokkene om de verwerkingsverantwoordelijke de gegevens in een aantal gevallen te doen wissen:
- de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
- de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
- de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingen de gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
- de persoonsgegevens zijn onrechtmatig verwerkt;
- de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.
Toepassing op de gereglementeerde kredieten
-
Voor gereglementeerde kredieten bevat het K.B. van 23 maart 2017 een aantal bijkomende regels. Volgens art. 7, §2, Elke aanvraag die uitgaat van een consument en de verbetering of de verwijdering van de op zijn naam geregistreerde gegevens beoogt, moet bovendien vergezeld zijn van elk document dat de gegrondheid van de aanvraag rechtvaardigt. Desnoods kan de houder van het bestand van de consument eisen dat hij een goed leesbare fotocopie voorlegt van het kredietcontract, of van enig ander document aan de hand waarvan de kredietovereenkomst duidelijk kan worden geïdentificeerd. Volgens het derde lid van diezelfde bepaling moet het recht in het kader van de uitvoering van de kredietovereenkomst persoonlijk, via een advocaat, via een ministerieel ambtenaar of via een gerechtelijk mandataris worden uitgeoefend.
Een verzoek e wordt gericht aan de verwerkingsverantwoordelijke. Bij gereglementeerde kredieten dienen alle onjuiste gegevens uiterlijk binnen de vijftien dagen te worden rechtgezet (art. 8 van het Koninklijk Besluit van 20 november 1992).
De verplichting om andere verwerkingsverantwoordelijken te informeren
Overeenkomstig artikel 19 stelt de verwerkingsverantwoordelijke iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Artikel 17 voorziet ook in een bijzondere informatieplicht wanneer de gegevens openbaar zijn gemaakt. In dat geval, wanneer hij verplicht is om de gegevens te wissen, moet de verwerkingsverantwoordelijke, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregel en, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
In dit verband breidt de GDPR de informatieplicht tot de verwerkingsverantwoordelijken die dergelijke gegevens verwerken (en niet alleen tot degenen die de gegevens verkregen. Het gaat hier evenwel slechts om een inspanningsverplichting. Immers, hij dient redelijke maatregelen te treffen, rekening houdend met de beschikbare technologieën en met de uitvoeringskosten (artikel 17.2 van de GDPR).
Uitzonderingen
Het recht op wissing van de gegevens is niet van toepassing wanneer de verwerking noodzakelijk is:
- voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
- voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
- om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;
- met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
- voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Principe
De betrokkene heeft het recht om de verwerking in welbepaalde gevallen te laten beperken. Deze beperking impliceert dat persoonsgegevens, met uitzondering van de opslag ervan, alleen mét toestemming van de betrokkene verwerkt mogen worden of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de EU of voor een lidstaat.
Dit recht kan in de volgende hypotheses worden uitgeoefend:
- de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
- de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
- de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de betrokkene heeft overeenkomstig artikel 21, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
De verwerkingsverantwoordelijke dient de betrokkene in te lichten alvorens de beperking op te heffen (artikel 18.2 van de GDPR).
De verplichting om andere verwerkingsverantwoordelijken te informeren
Overeenkomstig artikel 19 stelt de verwerkingsverantwoordelijke iedere ontvanger, aan wie persoonsgegevens zijn verstrekt, in kennis van elke beperking van de verwerking tenzij een dergelijke mededeling onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Artikel 20 van de GDPR legt het recht op de overdraagbaarheid van gegevens vast, d.w.z. het recht van de betrokkene om de gegevens in een gestructureerd formaat te ontvangen dat gebruikelijk is en door een machine gelezen kan worden, om ze aan een andere verwerkingsverantwoordelijke door te geven. De betrokkene kan zelfs eisen dat de gegevens door de verwerkingsverantwoordelijke aan een andere verwerkingsverantwoordelijke worden overgedragen (artikel 20.2).
Bij de gereglementeerde kredieten botst dit recht evenwel met de artikelen VII.116 en VII.147/32: de overdracht van de gegevens is maar toegestaan onder de cumulatieve voorwaarden die in de onderafdeling zijn opgenomen. De instemming van de consument ontslaat niet van de plicht om de wet na te leven.
De GDPR voorziet een recht van bezwaar tegen de verwerking van persoonsgegevens wanneer deze wordt uitgevoerd op een van de volgende gronden:
In de twee eerste hypotheses staakt de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
De verwerking van persoonsgegevens voor prospectiedoeleinden
In geval van gegevensverwerking met het oog op prospectie heeft de betrokkene te allen tijde het recht om bezwaar aan te tekenen (art. 21.2 van de GDPR) en in geval van bezwaar mag de verwerkingsverantwoordelijke de persoonsgegevens niet langer voor dit doel verwerken (art. 21.3 van de GDPR).
Marketing op basis van persoonsgegevens verzameld door de verantwoordelijke voor de verwerking moet opgenomen zijn in de gegevens die aan de kredietgever worden meegedeeld tijdens het verzamelen van de informatie. De doeleinden moeten duidelijk en precies vermeld worden: zo oordeelde de administratie, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, dat de clausule ""marketing en/of commerciële prospectie" erg vaag is en in de praktijk kan verwijzen naar verschillende interne en externe situaties en diensten, zowel binnen als buiten de kredietinstelling. De term marketing moet minstens worden gekoppeld aan duidelijker omschreven diensten en aan een concrete interne of externe verantwoordelijke (bijvoorbeeld: «marketing» voor toekenning van een krediet door de kredietgever).
Voor gegevens die in het kader van een gereglementeerd krediet worden verzameld, is de overdracht van gegevens om deze voor marketingdoeleinden te kunnen verwerken, uitgesloten. De artikelen VII.117 en VII.147/33 zeggen datIn geen geval mogen deze inlichtingen worden gebruikt voor commerciële prospectiedoeleinden (voor de persoonsgegevens van de CKP, zie art. 153, §2 lid2, WER).
Voor externe bestanden legt het Wetboek een bepaald doeleinde op. Artikel VII.117, §2 bepaalt inderdaad dat de gegevens ter zake dienend, geschikt en niet overmatig mogen zijn in het kader van de beoordeling van de financiële toestand en de solvabiliteit van de consument. De enige doeleinden van deze bestanden zijn die welke uitdrukkelijk zijn toegestaan door de wet. Marketing behoort niet tot die doeleinden, en valt overigens evenmin onder het algemeen opzet van de wet, wat wordt bevestigd in de parlementaire voorbereiding (Parl. St., Senaat, 1989-1990, nr. 916/2, p. 191). Hetzelfde geldt voor alle andere doeleinden die geen verband houden met de beoordeling van de financiële situatie en de kredietwaardigheid van de consument. Het gebruik van de gegevens voor doeleinden zoals het samenstellen van een “zwarte lijst” of een positieve lijst van goede betalers is dus verboden.
Specifieke informatie voor de betrokkene
Dat de betrokkene een recht van bezwaar heeft, dient hem ten laatste op het tijdstip van de eerste mededeling te worden medegedeeld. Dat recht moet uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie onder de aandacht van de betrokkene worden gebracht (artikel 21.4, GDPR).
Principe: verbod van louter geautomatiseerde verwerking
De GDPR verankert het recht van de betrokkene om gevrijwaard te blijven van een uitsluitend geautomatiseerde verwerking : De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft (art. 22, GDPR)
Krachtens artikel 12bis van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer was het verboden ten aanzien van een persoon een beslissing te nemen die voor hem juridische gevolgen heeft of die een aanzienlijke invloed op hem heeft, enkel op basis van een geautomatiseerde verwerking van gegevens. Volgens de memorie van toelichting wordt "de bepaling dus nageleefd wanneer, tussen het verkrijgen van het resultaat van de verwerking door de computer en het nemen van de beslissing, er ten minste een minimale menselijke tussenkomst heeft plaatsgevonden" (Memorie van toelichting, p. 17). Het verbodsregime geldt niet alleen wanneer geen enkele menselijke tussenkomst heeft plaatsgevonden maar ook wanneer de beslissing door iemands kredietbemiddelaar wordt bekendgemaakt, alleen op basis van het resultaat van de verwerking. De menselijke tussenkomst moet dus tot gevolg hebben dat met andere elementen dan de resultaten van de verwerking rekening wordt gehouden. Lid 2 van artikel 12bis bepaalt twee uitzonderingen.
Artikel 12bis van de wet van 8 december 1992 is vervangen door artikel 22 van de GDPR, waarin het principiële verbod nogmaals is opgenomen
Uitzonderingen
Het verbod is niet van toepassing indien de geautomatiseerde verwerking is toegestaan op grond van een bepaling van de Europese of nationale wetgeving of:
- noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke;
- berust op de uitdrukkelijke toestemming van de betrokkene.
In deze twee laatste hypotheses dient de verwerkingsverantwoordelijke, treft de verwerkingsverantwoordelijke passende maatregel en ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten (art. 22, GDPR).
Credit-scoring
De rechtsgrond voor het verzamelen van persoonsgegevens voor gereglementeerde kredieten wordt uiteengezet in de artikelen VII.69 en VII.122 van het WEB. De rechtmatigheid van de verwerking is dus gebaseerd op een rechtsgrondslag (artikel 5.1, c van de GDPR) en niet op de toestemming van de betrokkene (artikel 5.1, a van de AVG) of op het noodzakelijke karakter van de gegevens voor de sluiting of de uitvoering van het contract (artikel 5.1, b van de GDPR).
De techniek van creditscoring is volgens de regeling inzake gereglementeerde kredieten geen afdoende methode: de statistische aanpak zorgt er inderdaad voor dat het risico wordt geanalyseerd en vormt dus een hulp bij de beslissing, maar verplichting om informatie te verstrekken die op maat is van de consument en de raadgevingsplicht veronderstellen in alle gevallen een menselijke tussenkomst en een analyse van de specifieke situatie van de consument. Er moet overigens een onderscheid worden gemaakt tussen risicoanalyse en kredietwaardigheidsbeoordeling, waarbij de kredietgever niet zijn eigen risico maar dat van de consument in aanmerking moet nemen.
Voor andere commentaren, zie kredietwaardigheidsbeoordeling, art. VII. 77 en VII.133, en credit scoring
