hero
DRPP
Small but without limits

De bescherming van persoonsgegevens.

1.Met de AVG (Algemene Verordening Gegevensbescherming ) van 25.5.2018, rechtstreeks toepasselijk op alle EU landen, is een schok opgetreden bij alle IT platforms, ook deze buiten de EU (vb. bij levering van goederen en diensten aan EU inwoners of bij het navolgen ( "monitoring") van het gedrag van deze inwoners).

De Europese fundamentele rechten van de mens worden er beschermd ( the Charter ). Ze staan overigens gans bovenaan bij de Europe wetgeving. Ook de uitspraken ( case-law) van het EHRM worden geëerbiedigd bij de uitspraken van het Hof van Justitie (1.1). Sommige van die rechten staan op gespannen voet : art 7 en 8 ( dit laatste betreft meer bescherming van data) van de Charter met bescherming van het privé leven ( leidt tot het recht vergeten te worden) , tegenover art 11 van de Charter met het recht op vrije meningsuiting. (1.2). Het recht op informatie is wel het recht op objectieve informatie (1.3).

Elkeen kan klacht indienen bij de GBA, die een vermeende inbreuk wenst aan te klagen.

De beslissing moet materieel en formeel gemotiveerd worden. Er is dan mogelijkheid om binnen de 30 dagen hoger beroep in te stellen bij het Marktenhof ( verzoekschrift geen vormvereisten).(1.4)

Op basis van verdragen worden soms persoonsgegevens gewisseld. Ook deze kunnen het voorwerp uitmaken van klachten vanuit dit perspectief. Zo is er het FATCA akkoord ( Foreign Tax Complaince Act ) afgesloten tussen de VS en 113 landen, waardoor de persoonsgegevens van Amerikaanse staatsburgers worden overgemaakt. In België heeft dit aanleiding gegeven tot klachten omwille van de massale bulk overdracht van gegevens.

De geschillenkamer heeft zich al in die zin uitgesproken.(1.5)

1603612274305_RFu2xYZ.png
Ook Mona Lisa heeft het recht om origineel te worden weergegeven

2.De beginselen van verantwoordelijkheid van de verwerker, van toestemming van de persoon, van transparantie beheersen de regels. De boetes kunnen oplopen tot 4% van de wereldwijde omzet van het vorige jaar van de onderneming. Dit heeft duidelijk zijn uitwerking.

Elk land dient te beschikken over een toezichthoudende overheid. Dit is bij ons de Gegevensbeschermingautoriteit.

Inbreuken op het AVG leiden tot administratieve maar ook strafrechtelijke sancties. Zo legde de GBA (Gegevensbeschermingsautoriteit ) op 17.12.2019 een online juridische website een boete op van 15.000€ omwille van het ontbreken van bepaalde vermeldingen in haar privacyverklaring, de afwezigheid aan informatie inzake  het cookie-beleid (2.1)

Deze gegevensbescherming kan evenwel ertoe leiden dat bij een verzoek tot verstrekken van bewijzen ( vb. een electronisch personeelsregister dat toeliet vast te stellen welke personeelsleden aanwezig waren op een werf) dat dit beoordeeld wordt als een "verdere verwerking" uitmaakt volgens art 5 lid 1 onder c AVG, dat verwerking maar toelaat voor de doeleinden waarvoor de verzameling van persoonsgegevens werd verwerkt ( en dus niet zo maar mogen vrijgegeven worden. Dit moet door de betrokken rechter worden vastgesteld (2.2.1) In geval van een incident inzake cybersecurity met substantiële impact ( gemeten op basis van duurtijd, de geografische impact en de ernst van de stoornis). De melding moet dan binnen de 24 u gebeuren aan de gegevensautoriteit.

3. Onder impuls van de Oostenrijker Schrems zijn arresten tussengekomen die in de praktijk bijkomende verplichtingen met zich brengen voor gegevensexporteurs en )-importeurs, met name zelf een beoordeling doorvoeren van het beschermingsniveau in het derde land, en desnoods bijkomende maatregelen treffen teneinde een passend beschermingsniveau te waarborgen ( contractueel, technische als organisatorische maatregelen ), en er werd in het arrest vastgesteld dat de USA heraan op dat ogenblik niet voldeed.(2.3)

Het Hof van Justitie heeft intussen bevestigd dat consumentenorganisaties zonder mandaat van de betrokkenen stakingsvorderingen mogen instellen ( en zelfs zonder bescherming van persoonsgegevens in het maatschappelijk doel ) bij vaststellen van inbreuken (2.4).


4. Wie een inbreuk vaststelt op het internet kan dit meteen gaan melden aan de Gegevensautoriteit. Deze heeft hiervoor een eerstelijnsdienst. Zo'n verzoek moet zijn opgemaakt in 1 van onze 3 landstalen. Dit verzoek leidt tot bemiddeling..

Een klacht moet bijkomend naast de uiteenzetting van de feiten, de nodige elementen inhouden om de betroffen verwerking en indiener te kunnen identificeren. Deze klacht wordt rechtstreeks overgemaakt aan de geschillenkamer.


5. Na een voorafgaandelijk verzoek kan de inspectiedienst bevelen tot de opschorting, beperking of bevriezing van een verwerking.

Deze kan ook een onderzoek ter plaatse houden.Ze kunnen, voor zover echt nodig, zelfs ingrijpen in het informaticasysteem.

Daarnaast bestaat een geschillenkamer die partijen kan horen, maatregelen bevelen, het dossier overdragen naar het parket, en eventueel haar beslissing bekend maken op haar website.


6. De benadeelde ( ook elk orgaan, of organisatie met openbaar belang als doel en actief voor bescherming persoonsrechten - (art. 80.1 AVG, art. 220§1GBW ) kan daarnaast een vordering tot staking instellen voor de voorzitter van de rechtbank (vorderingen tot rectificatie, verwijdering of verbieden van de aanwending van onjuiste persoonsgegevens, of die onvolledig of niet ter zake dienend zijn voor de verwerking, of tegen dewelke de betrokkene zich heeft verzet). Dit wordt gebracht voor de rechter van de woonplaats van de eiser, of van de verweerder, of de plaats waar verwerking heeft plaats gehad. Er kan zelfs gehandeld worden tegen een verwerkingsverantwoordelijke of verwerker die niet in België gevestigd is, voor verwerkingen die gevolgen heben voor betrokkenen in België. Bijzonder is dat de inleiding van zo'n zaak gebeurt bij verzoekschrift en niet bij dagvaarding ( besparing!).(3) Het volstaat bij een representatieve vordering aanvoert dat de betrokken gegevensbescherming afbreuk kan doen aan de rechten van geïdentificeerde of identificeerbare natuurlijke personen, zonder het  bewijs van effectieve schade (4)

7. Het verbod gegevens te onthullen die onder één van de in art.9, lid 1 AVG is enkel niet van toepassing wanneer de gebruiker op de websites of apps gegevens invoert of wanneer hij in die websites en apps selectieknoppen aanklikt, en wanneer hij vooraf zijn keuze kenbaar gemaakt heeft om de hem betreffende gegevens openbaar te maken voor een onbeperkt aantal personen.(5)

Zuckerberg
Meta ( Facebook e.a)

.

(1.1) HvJ 17.6.2010, Volker abd Markus Schecke v Land Hesse, C-92/09 and C-93/09, ECLI:EU:C:2010:353, § 64; E.J.Kndt, Data Protection: An important new and fast growing legal domain; Computerrecht, 1A/2021P.79

(1.2) HvJ 13.5.2014, Google Spain and Google, C-131/12, ECLI:EU 2014:317, § 81 ( het zoeken naar een juist evenwicht )

(1.3) HvJ 24.11.2011, Scarlet extend-ted sa, C-70/10, ECLI:EU:C:2011:771, § 50

(1.4) C.Dumont, De Belgische Gegevensbeschermingsautoriteit inzake de procedure, TBA 2023/3, p.144-

(1.5° Over het fatca akkoord en de AVG, T.F.R. 665, 2024, p. 710 e.v

(2.1) Computerrecht 2/2020, pag.118

(2.2) HvJ 2.3.2023, C-268/31; Computerrecht 2023/214, p.378

(2.3) HvJ EU 16.7.2020, C-311/1; zie noot Michielsen&Joost, De implicaties van Schrems II voor de gunning van overheidsopdrachten ( nl), Computerrecht 2021/56, p.553

(2.4)  HvJ Eu 28.4.2022, RW 2022-23, p. 1295

(3) cfr.F.Debusseré, Vernieuwde stakingsprocedure in het gegevensbeschermingsrecht, NJW nr 429, pag. 722 ( art. 211 § 1GBW).

(4) HvJ EU 28.4.2022,C-319/20; cfr.E.Schoenmakers, De verhouding tussen AVG ..., Computerrecht 2022,p.318

(5) HvJ 4.7.2023, C-252/21, Meta platforms corporation/Buneskartellamt, RABG 2023/19, p. 1734