www.belgium.be logo BE

    GEANNOTEERD WETBOEK VAN KREDIETEN AAN CONSUMENTEN

    VII.116 - VII.147/32 : Verbod op overmaking

     

    Principe

    Deze bepaling heeft zowel betrekking op het doel van de verwerking door de kredietgever en de kredietbemiddelaar als op het doel van de verwerking die is toegestaan voor de derde aan wie de gegevens worden doorgegeven. Het doeleinde van de verwerking wordt al duidelijk in de artikelen VII.69 en VII.126. De becommentarieerde bepaling herinnert er dus aan dat dit doeleinde ook voor de derde geldt aan wie de gegevens zullen worden overgemaakt. Deze laatste zal de gegevens dus alleen mogen verwerken om de financiële situatie en de kredietwaardigheid van de consument  of van de zekerheidssteller te beoordelen en anderzijds in het kader van de toekenning of het beheer van kredieten of betalingsmiddelen die van aard zijn het privévermogen van een natuurlijk persoon te bezwaren en waarvan de uitvoering gevolgen kan hebben voor het privévermogen van deze persoon. Elk ander gebruik moet worden beschouwd als een schending van de artikelen VII.116 (en volgende) of VII.147/32 (en volgende) van het WER.

     

    De uitzondering

    Het Wetboek voorziet uitdrukkelijk dat het verbod niet van toepassing is in het geval van overdracht of van indeplaatsstelling conform de artikelen VII. 102 en VII.103 (VII.147/17 en VII.147/18 voor hypothecaire kredieten). Het betreft in dat geval een overdracht van de kredietovereenkomst en alle persoonsgegevens die waren geregistreerd naar aanleiding van de toekenning van het krediet mogen worden overgedragen. Zie de commentaar bij de overdracht van de kredietovereenkomst.

     

     

    Met overdracht wordt tevens raadpleging bedoeld

    De beperking voorzien in het WER beoogt zowel de mededeling aan een derde als de loutere raadpleging door een derde. Overigens impliceert het verbod niet dat de derde onmiddellijk over de informatie beschikt die de kredietgever in het kader van de kredietovereenkomst verzamelde.  Een toegangsmogelijkheid tot de gegevens voor derden is in strijd met de regel.

     

     

    De overdracht van de gegevens in de GDPR

    De GDPR bevat geen enkel principieel verbod wat betreft de overdracht van gegevens. Deze overdracht moet uiteraard stroken met de doeleinden van de verwerking (finaliteitsbeginsel en tussenkomst in het kader van een rechtmatige verwerking). De GDPR verduidelijkt een bijzondere informatie-opdracht vanaf de initiële registratie voor de ontvangers of categorieën van ontvangers van de persoonsgegevens (13.1, d) en 14.1, d) GDPR).

    De beperkingen opgelegd door de Belgische wetgever inzake de overdracht van persoonsgegevens worden geautoriseerd door artikel 6.3 van de GDPR. Voor gegevensverwerkingen met een wettelijke basis autoriseert de verordening de nationale wetgever om specifieke bepalingen te voorzien om de toepassing van de regels van de verordening aan te passen, waaronder:

    De algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt ; de doelbinding; de opslag perioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

    Een aantal bepalingen van de GDPR regelt bovendien de overdracht van gegevens naar landen buiten de Europese Unie:

    1. Artikel 3 bepaalt dat de GDPR van toepassing is op gegevensverwerkingen uitgevoerd door een verwerkingsverantwoordelijke op het grondgebied van de EU, ongeacht of de verwerking zelf op dan wel buiten het grondgebied van de EU plaatsvindt.
    2. Datzelfde artikel bepaalt dat de GDPR van toepassing is op verwerkingsverantwoordelijken die buiten de EU zijn gevestigd als de verwerking van persoonsgegevens betrekking heeft op betrokkenen die zich op het grondgebied van de EU bevinden, als de verwerkingsactiviteiten verband houden met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de EU, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de EU plaatsvindt.
    3. Artikel 27 verduidelijkt de verplichting voor de verwerkingsverantwoordelijke buiten de Unie om in de EU een vertegenwoordiger aan te duiden, in het land of de landen waar de natuurlijke personen zijn gevestigd wier gegevens worden verwerkt

    De artikelen 44 tot 50 van de GDPR regelen de voorwaarden waarbinnen een verwerkingsverantwoordelijke onderworpen aan de GDPR de gegevens mag overdragen naar een derde land om er opnieuw verwerkt te worden. De bepaling laat toe dat de gegevens worden overgedragen naar een derde land dat het voorwerp was van een beslissing van de Commissie waarin wordt vastgesteld dat het land in kwestie een toereikend niveau van bescherming biedt. Bij afwezigheid van een dergelijke beslissing is een overdracht - bij toepassing van artikel 46 van de GDPR - maar mogelijk voor zover de verwerkingsverantwoordelijke geschikte garanties bood (uiteengezet in artikel 46 van de GDPR) en de betrokkenen over afdwingbare rechten en daadwerkelijke beroepsmogelijkheden beschikken. De artikelen 13 en 14 voorzien specifieke informatie aan de betrokkene, reeds bij de initiële registratie, als de verwerkingsverantwoordelijke een internationale overdracht van de gegevens plant (13.1, f) en 14.1, f) van de GDPR).