Eerste GDPR-boete voor een gerechtsdeurwaarder en wat zijn de gevolgen voor de advocatuur?
Mr. Olivier Sustronck, advocaat in Brugge en gegevensbeschermingsfunctionaris van uw balie, geeft een duidelijk advies: het is ook als advocaat aan te raden om bij iedere ingebrekestelling en conclusie een clausule te voorzien waarin de minimale informatieverplichtingen worden opgenomen, evenals een rechtstreekse link naar de volledige privacy policy van het kantoor.
Feiten
Een gerechtsdeurwaarder krijgt van een parkeerbedrijf een opdracht tot het versturen van een ingebrekestelling naar aanleiding van een onbetaalde parkeerboete. De ontvanger van de aanmaning reageert hierop door aan het gerechtsdeurwaarderskantoor te vragen hoe zij aan zijn gegevens komen en onder welke rechtsgrond zij deze persoonsgegevens verwerken. Tevens oefent hij zijn recht tot inzage uit. Het kantoor verschaft een antwoord binnen de wettelijke termijn van een maand maar de klager vindt deze uitleg onvoldoende en niet overeenkomstig de GDPR en dient een klacht in bij de Gegevensbeschermingsautoriteit.
Verwerkingsverantwoordelijke of verwerker?
De Gegevensbeschermingsautoriteit bevestigt in haar uitspraak van 23 december 2020 terecht dat een gerechtsdeurwaarder bij de uitvoering van zijn opdracht steeds als enkelvoudige verwerkingsverantwoordelijke persoonsgegevens verwerkt. Hij is aldus geen verwerker en ook geen gezamenlijke verwerkingsverantwoordelijke met de opdrachtgever. Er moet aldus tussen beide partijen geen verwerkers- of gezamenlijke verwerkingsverantwoordelijken-overeenkomst worden opgemaakt. Als verwerkingsverantwoordelijke optreden heeft zo zijn voordelen, maar brengt ook verplichtingen met zich mee.
Informatieverplichting
De Gegevensbeschermingsautoriteit stelt een inbreuk vast tegen de informatieverplichting die het gerechtsdeurwaarderskantoor als verwerkingsverantwoordelijke heeft ten opzichte van de klager. In de ingebrekestelling was namelijk geen clausule rond gegevensbescherming opgenomen. Een enkele link naar de website van het kantoor waar een privacy policy is opgenomen volstaat niet. Het feit dat een gerechtsdeurwaarder aan een deontologische code is gebonden geeft onvoldoende garanties met betrekking tot de bescherming van persoonsgegevens om beroep te kunnen doen op de uitzondering zoals voorzien in artikel 14.5 c GDPR.
Bij iedere eerste contactopname met een betrokkene moet de verwerkingsverantwoordelijke informatie verschaffen. Minimaal moeten volgende gegevens worden aangeleverd: het doel van de verwerking, de categorie van persoonsgegevens die verwerkt worden, de identiteit van de verwerkingsverantwoordelijke, de bewaartijd en een vermelding van de rechten die de betrokkene kan uitoefenen. Voor de overige informatieverplichtingen volstaat het om te verwijzen naar een rechtstreekse link naar de privacy policy.
Recht tot inzage
De Gegevensbeschermingsautoriteit stelt dat het voldoende is om aan te geven dat het kantoor een mandaat heeft ontvangen van zijn cliënt om de oorsprong van de gegevens op voldoende wijze aan te tonen bij een verzoek tot inzage.
Het opvragen van informatie via een infofiche
Om de wanbetaler op de hoogte te kunnen houden van de verdere procedure worden in een bijgevoegde fiche volgende persoonsgegevens opgevraagd: de naam, voornaam, geboortedatum, adres, telefoonnummer, gsm-nummer en e-mailadres.
Als verwerkingsgrond voor de verwerking van deze persoonsgegevens had het gerechtsdeurwaarderskantoor aangegeven dat deze verwerkt worden mits toestemming. De Gegevensbeschermingsautoriteit stelt hier een inbreuk vast op de GDPR. Vooreerst oefent een gerechtsdeurwaarder een openbaar ambt uit en kunnen overheidsinstellingen overeenkomstig de GDPR geen toestemming vragen. Vervolgens wordt de toestemming niet als vrij aanzien. Aan de hand van de opmaak en formulering van de brief was het niet duidelijk of het al dan niet verplicht was alle velden in te vullen. De toestemming wordt aldus aanzien als niet vrij te geven. De verwerkingsgrond toestemming kan dus niet geldig toegepast worden.
Daarenboven begaat het kantoor een inbreuk op het principe dat niet meer gegevens mogen verwerkt worden dan nodig, zeker als de op te geven gegevens niet facultatief te kiezen zijn.
Conclusie en impact voor de advocatuur
Als gevolg van de inbreuken tegen de GDPR krijgt het gerechtsdeurwaarderskantoor een boete van 15.000 euro.
Het feit dat de gerechtsdeurwaarder, net zoals een advocaat, zijn hoofdactiviteiten uitoefent als een individuele verwerkingsverantwoordelijke en niet als een verwerker is geen verrassing. Dit brengt echter enkele verplichtingen met zich mee. Zo moet naast het bepalen van een verwerkingsgrond bij iedere verwerking van persoonsgegevens, ook voldaan worden aan de informatieplicht ten opzichte van alle betrokkenen van wie persoonsgegevens worden verwerkt.
Cliënten zullen via een clausule in de advocatenovereenkomst geïnformeerd worden maar voor de overige partijen in een procedure is dat niet het geval. Zij maken echter ook betrokkenen uit van wie de persoonsgegevens verwerkt worden door het kantoor. Het is dan ook als advocaat aan te raden om bij iedere ingebrekestelling en conclusie een clausule te voorzien waarin de minimale informatieverplichtingen worden opgenomen, evenals een rechtstreekse link naar de volledige privacy policy van het kantoor.
Er wordt door de Gegevensbeschermingsautoriteit ook gewezen op het belang van een uitgewerkt privacybeleid binnen een kantoor, waarbij onder meer de verwerkingsgronden moeten bepaald worden per verwerking en waarbij een kantoor aan haar verantwoordingsplicht kan voldoen. De Gegevensbeschermingsautoriteit wijst erop dat enkel de deontologische regels en het beroepsgeheim niet volstaan om voldoende garanties te bieden op het gebied van gegevensbescherming.
Reactie toevoegen