Menu

Beschikbare rechtsgronden voor overheidsinstanties

Verwerkingsverantwoordelijken dienen de verwerking van persoonsgegevens te baseren op een van de zes rechtsgronden waarin artikel 6 AVG voorziet. Per verwerkingsactiviteit moet worden nagegaan welke de meest passende rechtsgrond is. Ook overheidsinstanties die voor eigen doeleinden persoonsgegevens verzamelen, gebruiken, bewaren of anderszins verwerken, zijn verplicht zich steeds op een rechtsgrond te beroepen. In een nieuwe bijdrage voor het online Tijdschrift Privacy & Persoonsgegevens onderzoeken Liese Kuyken en Bastiaan Bruyndonckx de meest passende rechtsgronden voor overheidsinstanties, alsook de bijzonderheden waarmee men in rekening moet houden wanneer het de rechtsgrond voor de verwerking betreft.

22-11-2023 -

1 Voorafgaand: notie “overheidsinstanties”

1. Alvorens over te gaan tot de analyse van mogelijke rechtsgronden, is het cruciaal om eerst het begrip “overheidsinstanties” duidelijk af te bakenen. Hoewel het begrip meermaals in de tekst van de AVG terugkomt, lijkt dit door de Europese wetgever niet te zijn gedefinieerd, waardoor het toekomt aan de lidstaten om een gepaste invulling van dit begrip te geven.1 In artikel 5 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna WVG) wordt het begrip als volgt omschreven:

1) de Federale Staat, de deelstaten en lokale overheden;

2) de rechtspersonen van publiek recht die van de Federale Staat, de deelstaten of lokale overheden afhangen;

3) de personen, ongeacht hun vorm en aard, die (a) opgericht zijn met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn; en (b) rechtspersoonlijkheid hebben; en (c) waarvan hetzij de activiteiten in hoofdzaak door de overheden of instellingen vermeld in de bepalingen onder 1) of 2), worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door deze overheden of instellingen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door deze overheden of instellingen zijn aangewezen; en

4) de verenigingen bestaande uit een of meer overheden als bedoeld in de bepalingen onder 1), 2) of 3).

 

2. Deze omschrijving heeft tot gevolg dat men in het Belgische gegevensbeschermingsrecht rekening moet houden met een ruime interpretatie van het begrip “overheidsinstantie”.2  Hierdoor kunnen niet alleen de federale, deelstatelijke of gemeentelijke overheden onder deze definitie vallen, maar ook bijvoorbeeld autonome gemeentebedrijven, erkende erediensten, onderwijsinstellingen, ziekenhuizen, ziekenfondsen, sportclubs en jeugdbewegingen wanneer deze onder substantieel toezicht en/of beheer staan van een overheidsinstantie in de meer “klassieke” zin of erdoor gesubsidieerd worden.

 

2 Klassieke rechtsgronden voor overheidsinstanties

Aangezien de belangrijkste taken van overheidsinstanties bestaan uit publiekrechtelijke taken, zijn de noodzakelijkheid om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust en de noodzakelijkheid voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag die aan de verwerkingsverantwoordelijke is opgedragen, vanzelfsprekend erg belangrijke rechtsgronden. In beide gevallen zal de verwerking moeten worden gebaseerd op een wettelijke bepaling die aan de vereisten van artikel 6 (3) AVG voldoet.
 

2.1Wettelijke verplichting (Art. 6 (1) (c) AVG)

Hoewel er stemmen opgaan dat de wettelijke verplichting niet toepasselijk zou zijn voor de publieke Sector3, blijkt uit de richtlijnen van de (vroegere) WP294 en de richtlijnen en rechtspraak van de GBA5 dat de wettelijke verplichting niet gereserveerd is voor de private sector. Ook overheidsinstanties kunnen onderworpen zijn aan een wettelijke verplichting en kunnen de verwerking van persoonsgegevens die daarmee gepaard gaat baseren op art. 6 (1) (c) AVG.

De wettelijke verplichting moet zijn opgenomen in een van de volgende normen: (i) een wet, een decreet of een ordonnantie; (ii) een koninklijk besluit of een besluit van de Regering (op voorwaarde dat de wet, het decreet of de ordonnantie het algemene kader vaststelt en enkel de concrete invulling ervan geschiedt door uitvoeringsbesluiten); of (iii) Europese regelgeving of regelgeving van een andere EU-lidstaat in de mate dat de verwerkingsverantwoordelijke hieraan onderworpen is. Bijgevolg zal wetgeving uit derde landen (i.e. buiten de EU) geen aanleiding kunnen geven tot een wettelijke verplichting.6 Ook wanneer de verplichtingen uitsluitend op andere verwerkingsverantwoordelijken rusten, kan de verwerkingsverantwoordelijke zich hier niet op baseren.

Idealiter zou de norm waaruit de wettelijke verplichting voortvloeit, de volgende essentiële elementen van de verwerking moeten omschrijven:

– het doel van de verwerking;

– de types of categorieën van te verwerken persoonsgegevens (deze gegevens moeten bovendien beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”));

– de betrokkenen;

– de entiteiten waaraan en doeleinden waarvoor de persoonsgegevens mogen worden verstrekt;

– de bewaartermijnen; en

– de aanduiding van de verwerkingsverantwoordelijke(n).

De reden hiervoor is dat elke verwerking van persoonsgegevens in principe een inmenging vormt in het recht op bescherming van de persoonlijke levenssfeer, dat is vastgelegd in art. 8 EVRM en in art. 22 van de Grondwet. Dit recht is echter niet absoluut en deze artikelen staan overheidsinmenging in het recht op bescherming van het privéleven (waarvan ook persoonsgegevens deel uitmaken) toe wanneer dit (uitdrukkelijk) voorzien is door een voldoende precieze wettelijke bepaling, deze beantwoordt aan een algemeen maatschappelijk belang en evenredig is met de daarmee nagestreefde wettige doelstellingen.7 Het is evenwel mogelijk dat de wetgeving waarop de overheidsinstantie zich beroept niet alle elementen duidelijk omschrijft. Het is daarom mogelijk dat in andere wetgeving meer diepgaand de verdere modaliteiten worden bepaald, al dient de wettelijke bepaling waar men zich op beroept reeds de essentie te bevatten.8 Onze Belgische wetgevers kunnen het op dit punt zeker beter doen. Hoewel de GBA en de Vlaamse Toezichtcommissie (hierna VTC) dit steeds meenemen in adviezen omtrent voorgestelde wetgeving9, blijkt de oudere wetgeving hieraan vaak niet te voldoen, wat voor verwerkingsverantwoordelijken een onzekere situatie creëert.

Volgens de GBA is het om te kunnen spreken van een wettelijke verplichting noodzakelijk dat de norm de verwerking van persoonsgegevens specifiek regelt. Zo moet de norm (i) het concrete doel specificeren waarvoor de verplichte gegevensverwerking moet worden uitgevoerd; en (ii) duidelijk en nauwkeurig zijn, zodat de verwerkingsverantwoordelijke in principe geen beoordelingsmarge heeft met betrekking tot de manier waarop de verwerking van persoonsgegevens die nodig is om aan zijn wettelijke verplichting te voldoen, wordt uitgevoerd.10

Wat de wettelijke verplichting dan ook onderscheidt van de taak van algemeen belang of de uitoefening van openbaar gezag is de specificiteit en het imperatieve karakter van de wettelijke verplichting. Om te spreken van een wettelijke verplichting moet het gaan om een verplichting bij of krachtens een rechtsgeldige, bindende wetgevende norm waaraan de verwerkingsverantwoordelijke niet kan ontkomen. De verwerkingsverantwoordelijke kan op basis van de norm niet beslissen om al dan niet gegevens te verwerken (geen appreciatie/beoordelingsmarge). Wanneer de wetgeving slechts een toelating van de verwerking voorziet of wanneer de verwerkingsverantwoordelijke nog steeds een keuzemogelijkheid of ongerechtvaardigde beoordelingsmarge heeft, is art. 6 (1) (e) AVG meer passend als rechtsgrond.
 

 
(1) GBA, “Wat wordt bedoeld met het begrip “overheidsinstantie” en “overheidsorgaan” in artikel 37 van de AVG?”, https:// www.gegevensbeschermingsautoriteit.be/burger/faq/wat-wordt-bedoeld-met-het-begrip-overheidsinstantie-en-overheidsorgaan-in-artikel-37-van-de-avg.
(2) Dezelfde catch-all bepaling vindt men terug in de Wet van 17 juni 2016 inzake overheidsopdrachten.
(3) Zie o.a. U. Dammann en S. Simitis, EG-Datenschutzrecht der EU, Nomos; 1997, 150; W. KOTSCHY, “Article 6. Lawfulnes of processing” in C. KUNER, L.A. BYGRAVE en C. DOCKSEY, The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford, University Press, 2019, 333.
(4) Werkgroep 29, Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG, 9 april 2014, 23.
(5) Zie o.a. Geschillenkamer, Beslissing ten gronde 31/2022 van 4 maart 2022, evenwel vernietigd door het arrest 2022/AR/457 van het Marktenhof dd. 26 oktober 2022; https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/rechtsgronden/wettelijke-verplichting.
(6) Dwingende wetgeving van derde landen kan echter wél worden ingeroepen in het kader van het gerechtvaardigd belang.
(7) Zie o.m. GwH, Arrest van 4 april 2019, nr. 49/2019.
(8) GBA, Advies nr. 64/2019 van 27 februari 2019 betreffende het voorstel van decreet houdende de oprichting van een afstammingscentrum en een DNA-databank.
(9) Zie o.a. VTC, Advies wetgeving VTC nr. 2022/115 van 17 januari 2023; VTC, Advies wetgeving VTC nr. 2022/055 van 15 juni 2022; VTC, Advies wetgeving VTC nr. 2021/13 van februari 2021; GBA, Advies nr. 64/2019 van 27 februari 2019 betreffende het voorstel van decreet houdende de oprichting van een afstammingscentrum en een DNA-databank; GBA, Advies nr. 89/2019 van 3 april 2019 over voorontwerp van koninklijk besluit ter uitvoering van de artikelen 5, 19°/1, 264, 266, 268 en 273 van de wet van 4 april 2014 betreffende deverzekeringen.

(10) Zie o.m. GBA, Standaardadvies 65/2023 van 24 maart 2023, ov. 14.

Ook interessant

Bestuur & organisatie

Codex Lokaal Bestuur | 9e editie

Bestel

Bestuur & organisatie

Klachtenmanagement voor openbare besturen: Klacht en klager | Tweede editie

Frankie Schram

Bestel

Bestuur & organisatie

Klachtenmanagement voor openbare besturen: Uitbouw en invalshoeken | Tweede editie

Frankie Schram

Bestel

Bestuur & organisatie

Klachtenmanagement voor openbare besturen: Interne klachtenbehandeling bij de overheid | Tweede editie

Frankie Schram

Bestel

Bestuur & organisatie

Klachtenmanagement voor openbare besturen: Ombudsdiensten | Tweede editie

Frankie Schram

Bestel

Bestuur & organisatie

Het statuut van de lokale mandataris - 18e editie

David Vanholsbeeck

Bestel