Overheidsdiensten mogen jouw data niet zomaar uitwisselen

Het Europees Hof van Justitie heeft bij arrest van 1 oktober 2015 (C‑201/14, Smaranda Bara e.a. / CNAS & ANAF) de principes van afdoende informatieverstrekking aan de betrokkene bij doorgifte van persoonsgegevens bevestigd voor overheidsinstanties. Bij iedere overdracht van persoonsgegevens dient de betrokkene op voorhand te worden geïnformeerd, opdat deze onder meer ook zijn wettelijke rechten afdoende zou kunnen uitvoeren. Uitzonderingen hierop zijn in bepaalde gevallen mogelijk, mits wettelijke bepaling.

Feitelijke achtergrond

In Roemenië wordt de CNAS belast met de controle van zelfstandigen en, meer bepaald, hun ziekteverzekeringsdekking. De CNAS verkreeg hiervoor een aantal persoonsgegevens vanwege de Roemeense fiscale autoriteit ANAF, waaronder ook informatie over de inkomsten van die zelfstandigen en andere fiscale gegevens. De CNAS baseerde zich hiervoor op Wet 95/2006 en op een protocol gesloten tussen de CNAS en de ANAF.

Deze doorgifte werd aangeklaagd door Smaranda Bara en consoorten omdat zij niet op de hoogte werden gebracht van deze doorgifte.

Informatie noodzakelijk voor doorgifte van gegevens

Indien een verantwoordelijke voor de verwerking persoonsgegevens wenst te verwerken, moet zij dit op een eerlijke, rechtmatige, toereikende en nauwkeurige manier doen en moet zij daartoe een legitieme basis hebben. Doorgaans wordt de ondubbelzinnige goedkeuring gevraagd vanwege de betrokkene van de gegevens.

Een verantwoordelijke mag deze gegevens vervolgens ook doorgeven aan derden, uiteraard op voorwaarde dat de betrokkene daar kennis van heeft en afdoende werd geïnformeerd over de doeleinden waarvoor de gegevens worden doorgegeven. Hierbij moet de verantwoordelijke de identiteit van de ontvangende derde meegeven en moet zij nog eens alle rechten herhalen waarvan de betrokkene zich mag bedienen.

Ontvangers van persoonsgegevens vanwege derden moeten de betrokkenen eveneens op de hoogte brengen van hun identiteit, de verwerkte gegevens, de doeleinden van de verwerking, het bestaan van het recht op toegang en verbetering en de wijze waarop de betrokkene vragen mag stellen aan de verantwoordelijke.

Wettelijke uitzonderingen

Uitzonderingen op de vereisten bij doorgifte van gegevens zijn mogelijk, maar moeten bij wet voorzien worden. Daarnaast moeten ze een legitieme oorzaak hebben. Klassieke voorbeelden hiervan zijn de staatsveiligheid, de landsverdediging, de vrijwaring van mensenrechten van anderen en dergelijke meer.

In de zaak Smaranda Bara doelden de overheidsinstanties op de wettelijke uitzonderingen om de fiscale en andere persoonsgegevens door te geven aan de CNAS, doch zonder voorafgaande informatie aan de betrokkenen. Meer bepaald haalden zij aan dat doorgifte toegelaten was omwille van „een belangrijk economisch en financieel belang van een lidstaat […], met inbegrip van monetaire, budgettaire en fiscale aangelegenheden” alsook „een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen”.

Belangrijke premisse bij de werking van deze uitzonderingen is dat zij bij wet voorzien moeten worden. Wet 95/2006 voorzag in de kosteloze doorgifte aan de CNAS van persoonsgegevens om de dekking van ziekterisico’s van Roemeense zelfstandigen te kunnen verifiëren. Nochtans stond nergens bepaald dat fiscale gegevens mochten worden doorgegeven; dit vloeide echter voort uit een protocol, hetgeen niet beschouwd kan worden als een “wettelijke bepaling”.

Het Europees Hof van Justitie oordeelde dus dat de ANAF te ver ging in de gegevensverstrekking. De fiscale gegevens mochten niet aan de CNAS worden doorgegeven, want hierin was niet voorzien bij wet. Voorafgaande, afdoende informatieverstrekking was bijgevolg noodzakelijk; en dit was hier dus niet gebeurd.

Conclusie

Bij iedere doorgifte van gegevens aan derden, moet de verantwoordelijke er steeds voor zorgen dat de betrokkene – bijvoorbeeld bij de verzameling van de gegevens – afdoende geïnformeerd werd over de identiteit van de verantwoordelijke (of diens vertegenwoordiger), de doeleinden van de verwerking (inclusief de doorgifte), de gegevens, de ontvangers ervan én de rechten van de betrokkene. Ook de ontvanger van de gegevens heeft eigen verplichtingen jegens de betrokkene.

Uitzonderingen hierop moeten een legitiem doel hebben én bij wet voorzien worden.

Deze regels gelden eveneens onverkort voor de overheid. Daarbij kan tevens worden opgemerkt dat uit dit arrest kan worden afgeleid dat een overheidsdienst op zich moet worden beschouwd als een verantwoordelijke voor verwerking van persoonsgegevens, en niet het volledige staatsapparaat als geheel.

Meer info?

Link naar het arrest (NL): https://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5cb8fb219d4dc44298f84b94925d2e20c.e34KaxiLc3eQc40LaxqMbN4ObNuRe0?text=&docid=168943&pageIndex=0&doclang=nl&mode=req&dir=&occ=first&part=1&cid=97547

Link naar de betrokken richtlijn (NL): https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:nl:HTML

Vragen of opmerkingen omtrent privacy en verwerking van persoonsgegevens? Neem gerust contact met ons op: andries@siriuslegal.be of telefonisch op +32 2 721 13 00