Belgische GBA: Geen Terugwerkende Kracht voor Gegevensverwerkingsovereenkomsten

FEITEN: 

Op 20 mei 2020 ontving de beheerder van een gemeente, de betrokkene, een parkeerboete wegens een overtreding.

Op 6 juli 2020 vroeg de betrokkene bewijs op van de parkeerovertreding en ontving meerdere foto’s van zijn voertuig. Tevens wensten zij informatie over de verwerking van hun persoonsgegevens en wilden zij de overeenkomst verkrijgen tussen de gemeente (de verwerkingsverantwoordelijke) en een derde partij (de verwerker) die werd gebruikt bij het vaststellen en innen van de vergoeding.

Na het verzoek merkte de betrokkene op dat er op het moment van de gebeurtenissen geen gegevensverwerkingsovereenkomst bestond.

Op 4 september 2020 diende de betrokkene een klacht in tegen zowel de verwerkingsverantwoordelijke als de verwerker wegens schending van artikel 28, lid 3, AVG, dat verwerkingsverantwoordelijken verplicht een gegevensverwerkingsovereenkomst ten uitvoer te leggen.

Op 20 november 2020 opende de Gegevensbeschermingsautoriteit een onderzoek dat later werd overgedragen aan de Inspectiedienst (SI).

Op 11 mei 2021 werd het onderzoek van de SI afgesloten en werd de zaak terugverwezen naar de DPA.

De SI constateerde dat de verwerkersovereenkomst tussen de verantwoordelijke en de verwerker pas op 27 juli 2020 was aangegaan.

Uit het onderzoek bleek dat er op het moment van de gegevensverwerking van de betrokkene geen overeenkomst bestond. Desalniettemin bevatte het contract van 27 juli 2020 een clausule voor terugwerkende kracht.

Gebrekkige Gegevensverwerkingsovereenkomst en Terugwerkende Kracht in Geding

De Belgische DPA heeft vastgesteld dat er inbreuken zijn gepleegd op de artikelen 28, 14 en 12 van de AVG. De DPA benadrukte dat artikel 28(1) van de AVG vereist dat een verwerker voldoende waarborgen biedt ter bescherming van de rechten van de betrokkenen.

Artikel 28, lid 3 van de AVG verplicht verwerkingsverantwoordelijken om een gegevensverwerkingsovereenkomst te implementeren. De DPA concludeerde dat het toevoegen van een terugwerkende krachtclausule aan de overeenkomst het ontbreken van het contract op het moment van de gebeurtenis niet corrigeert.

Het erkennen hiervan zou de toepassing van de verplichtingen van artikel 28, lid 3, AVG, die tot doel hebben de rechten en vrijheden van betrokkenen te waarborgen, kunnen omzeilen. De AP concludeerde dat zowel de verwerkingsverantwoordelijke als de verwerker verantwoordelijk waren voor het tijdig opstellen van een gegevensverwerkingsovereenkomst.

Schendingen van Transparantieplicht en Gegevens-verwerkingsovereenkomst volgens GDPR

Daarnaast constateerde de DPA schendingen wegens gebrek aan transparantie op basis van artikel 12, lid 1 van de AVG en artikel 14 van de AVG, omdat de verwerkingsverantwoordelijke niet had voldaan aan de informatieverplichtingen volgens artikel 14 van de AVG.

De gemeente betoogde dat de uitzondering van artikel 14, lid 5, onder c van de AVG op haar van toepassing was. Ze verwees naar de wet van 22 februari 1965, die gemeenten de bevoegdheid geeft om parkeergelden te heffen voor motorvoertuigen, en het besluit van 22 januari 2009 betreffende de handhaving van parkeergelden.

De DPA verwierp dit en merkte op dat uitzonderingen restrictief moeten worden geïnterpreteerd. De door de gemeente aangehaalde wetgeving bevatte geen uitzonderingen op de meldplicht. De DPA concludeerde dat de door de gemeente aangevoerde wetgeving onvoldoende specifiek was. Ze voegde eraan toe dat zelfs als de vrijstelling van toepassing zou zijn, de verwerkingsverantwoordelijke nog steeds verplicht was de betrokkene te informeren over de bronnen en ontvangers van zijn persoonsgegevens, tenzij dit wettelijk verboden is.

Als gevolg hiervan werden zowel de gemeente als de derde partij berispt wegens schending van artikel 28, lid 3 van de AVG, en kreeg de gemeente een berisping wegens schending van artikel 14 van de AVG en artikel 12, lid 1 van de AVG, omdat ze geen passende maatregelen had genomen om de betrokkene volledig te informeren