Betreft
Een parkeerwachter en een gerechtsdeurwaarder worden geconfronteerd met een klacht bij de GBA door een foutparkeerder naar aanleiding van de invordering van de onbetaald gebleven parkeerboete. Uiteindelijk zal de gerechtsdeurwaarder hoger beroep instellen bij het marktenhof.
Context
Parkeerwachter & Gerechtsdeurwaarder
Rechtsgrond
Artikel 5.1.c) GDPR
Artikel 5.2 GDPR
Artikel 6 GDPR
Artikel 12 GDPR
Artikel 14 GDPR
Artikel 15 GDPR
Artikel 24 GDPR
Feiten
De eerste verweerder is een bedrijf dat gespecialiseerd is in het innen van vergoedingen en boetes i.v.m. “straatparkeren”. Zij is dus “parkeerwachter” en voert controle uit op de straten in de betreffende gemeente.
De tweede verweerder is een kantoor van Gerechtsdeurwaarders waarbij de parkeerwachter cliënt is o.a. met betrekking tot onbetaalde parkeergelden.
Op 2 januari 2019 parkeerde de foutparkeerder zijn voertuig onrechtmatig in een van de straten onder controle door de parkeerwachter
De foutparkeerder zou geen blauwe schijf in de parkeerzone van 30 minuten achter zijn voorruit hebben geplaatste en een uitnodiging tot betaling werd op zijn vooruit geplaatste door de parkeerwachter.
De foutparkeerder betwist dit ontvangen te hebben, net zoals de herinnering die op 24 januari 2019 volgens de parkeerwachter verzonden zou zijn geweest.
Omwille van de niet-betaling werd het dossier overgemaakt aan de gerechtsdeurwaarder. Deze verzond een aanmaning op 25 februari 2019 met alle gebruikelijke bijkomende kosten toegepast.
Op 3 maart 2019 heeft foutparkeerder de gerechtsdeurwaarder verzocht om uitleg en stelde hij nooit de uitnodiging tot betaling of aanmaning te hebben ontvangen. Tegelijk maakt hij bezwaar tegen betaling van de boete.
Voorts stelt hij de rechtsgrond voor toegang tot het DIV en het rijksregister in vraag. Tot slot oefent hij zijn recht van inzage uit (artikel 15 GDPR). Dezelfde verzoeken stelde hij t.a.v. de parkeerwachter.
De parkeerwachter volstond met het antwoord “Regel het met de gerechtsdeurwaarder”.
Op 2 april verschafte de gerechtsdeurwaarder de foutparkeerder van antwoord. Hierbij maakte de gerechtsdeurwaarder bepaald informatie over met betrekking tot het verzoek tot inzage en de gegevens die hij verwerkt alsook over de door de parkeerwachter uitgevoerde verwerkingshandelingen.
Na verdere briefwisseling stelde de foutparkeerder een klacht in op 15 mei 2019 tegen zowel de parkeerwachter als de gerechtsdeurwaarder.
Deze klacht omvat:
t.a.v. de parkeerwachter:
- een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
- een schending van zijn recht op toegang (artikel 15 van de GDPR);
- een schending van artikel 28 van de GDPR gelet op de hoedanigheid van verwerker van de tweede verweerder;
- een schending van artikel 5 van de GDPR (naleving van het noodzakelijkheidsbeginsel gelet op de raadpleging van de DIV);
- een schending van het proportionaliteitsbeginsel en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) gelet op de mededeling van zijn gegevens aan de tweede verweerder;
- een schending van het beginsel van de minimale gegevensverwerking (artikel 5 van de GDPR) gelet op het feit dat een foto werd genomen van zijn voertuig tijdens de vaststelling van de parkeerovertreding.
t.a.v. de gerechtsdeurwaarder:
- een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
- een schending van zijn recht op toegang (artikel 15 van de GDPR);
- een schending van artikel 28 van de GDPR gelet op zijn hoedanigheid van verwerker;
- een schending van het beginsel inzake proportionaliteit en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) die hij ontving van de eerste verweerder ook al zou daar geen rechtsgeldige basis voor zijn;
- een schending van het beginsel van minimale gegevensverwerking en het inwinnen van de verplichte toestemming (artikelen 5 en 6 van de GDPR) gelet op het formulier gevoegd bij de aanmaning tot betaling.
De foutparkeerder vraagt in zijn klacht bovendien dat de parkeerwachter en de gerechtsdeurwaarder veroordeeld worden tot een straf die in verhouding is met de ernst van de feiten, waarbij rekening moet gehouden worden met het doel en de omvang van hun beroepsactiviteit, welke een groot aantal burgers treft.
Daarnaast vordert de foutparkeerder dat de beslissing op niet-anonieme wijze bekendgemaakt wordt om zo de illegale praktijken i.v.m. het beheer van de parkeergelden aan het publiek duidelijk te maken.
Soevereine beoordeling geschillenkamer
Voorafgaandelijk benadrukt en herinnert de Geschillenkamer eraan dat zij niet gebonden is door de vaststelling van de inspectiedienst. Zij heeft de mogelijkheid om op basis van alle documenten en argumenten die zijn voorgelegd in het tegensprekelijk debat. Zo kan de geschillenkamer oordelen over inbreuken die niet per se in het inspectieverslag aan bod kwamen.
Voorts benadrukt de geschillenkamer dat zij in de loop van de procedure de juridische kwalificatie uit de klacht kan wijzigen of nieuwe feiten kan onderzoeken, mits partijen de kans hebben gehad om over deze juridische kwalificatie of feiten standpunt hebben kunnen innemen.
Hoedanigheid van parkeerwachter en gerechtsdeurwaarder
De Geschillenkamer bepaalt zeer duidelijk dat zowel de parkeerwachter als de gerechtsdeurwaarder te kwalificeren zijn als verwerkingsverantwoordelijken. Zij komen elks op een onderscheiden moment in de minnelijke invordering tussen. Zij kunnen niet als gezamenlijke verwerkingsverantwoordelijke gezien worden aangezien dit een gezamenlijke bepaling van zowel het doel als de middelen van de verwerking noodzaakt, wat hier niet zo is. Zij voeren opeenvolgende verwerkingen uit waarbij een deel van de gegevens overlappen, maar nooit het doel en de middelen gezamenlijk worden vastgesteld. De Geschillenkamer snapt wel de verwarring bij de foutparkeerder gelet op de werkwijze en communicatie vanwege de parkeerwachter en de gerechtsdeurwaarder waaruit dit niet duidelijk blijkt.
Beoordeling t.a.v. de parkeerwachter
- Informatieplicht
In zijn hoedanigheid van verwerkingsverantwoordelijke moet de parkeerwachter de artikelen 12, 13 en 14 van de GDPR ten uitvoer leggen en deze effectieve tenuitvoerlegging kunnen aantonen (artikel 5.2 en 24 van de GDPR). Overeenkomstig artikel 12.1 van de GDPR is de eerste verweerder immers verantwoordelijk voor het nemen van passende maatregelen om de in de artikelen 13 en 14 van de GDPR bedoelde informatie op beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke wijze in duidelijke taal te verstrekken.
In casu was de eerste verweerder, aangezien de gegevens niet rechtstreeks bij de foutparkeerder werden verzameld, verplicht hem informatie te verstrekken over de verwerking van gegevens die op hem betrekking hadden in het kader van de inning van de verschuldigde vergoeding. Aangezien het privacy beleid van de eerste verweerder geen betrekking heeft op de invordering van schulden schendt deze laatste zijn informatieplicht uit artikel 14 GDPR. Bovendien werden de termijnen uit artikel 12.3 GDPR niet gerespecteerd, net als de verplichting om de contactgegevens van de DPO ter beschikking te stellen aan de betrokkenen (artikel 12.1 GDPR).
- Recht van inzage
Krachtens artikel 15 van de GDPR heeft elke betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de opgesomde informatie in artikel 15.13. a) tot h) van de GDPR.
De Geschillenkamer kwam in dit verband tot het besluit dat de parkeerwachter het verzoek van de foutparkeerder niet op een bevredigende manier heeft ingewilligd doordat hij zijn verantwoordelijkheid steevast trachtte door te schuiven naar de gerechtsdeurwaarder, wat blijkbaar een vaste praktijk was vanaf dat een dossier aan de gerechtsdeurwaarder werd overgemaakt. Hij kan zo echter niet ontsnappen aan zijn verantwoordelijkheden als verwerkingsverantwoordelijke om tijdig en volledig te antwoorden op het verzoek. Bovendien kwam hij zijn verplichting niet na om de uitoefening van de rechten van betrokkenen te vergemakkelijken (artikel 12.3 GDPR), er was geen duidelijke en eenvoudige procedure voor dit verzoek in voege.
- Minimale gegevensverwerking
Gezien het feit dat de parkeerwachter de DIV heeft geraadpleegd vóór het verstrijken van de termijn voor de spontane betaling van het gevorderde bedrag van de vergoeding, begaat de eerste verweerder een inbreuk op het beginsel van de minimale gegevensverwerking conform artikel 5.1.c) GDPR. Volgens dit principe dienen persoonsgegevens toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het voortijdig raadplegen van de DIV door de parkeerwachter was met helemaal niet noodzakelijk aangezien de foutparkeerder nog steeds binnen de termijn kon betalen.
Wat betreft de praktijk dat de werknemers van de parkeerwachter foto’s nemen van het voertuig, de nummerplaat als ook de vooruit (om aan te tonen dat er geen parkeerbewijs voorhanden is), wijst de Geschillenkamer erop dat op deze praktijk met aandacht voor de GDPR moet gebeuren en niet de minimale gegevensverwerking te buiten moet gaan. Zonder vast te stellen dat dit beginsel met het oog op de bewijsvoering dat door de parkeerwachter bij discussies moet gebeuren, benadrukt de Geschillenkamer dat de gegevens niet het relevante doel mogen overschrijden.
- Passende technische en organisatorische maatregelen
Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.
Gezien de voorgaande inbreuken van de parkeerwachter, besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen. Er waren niet de nodige procedures in plaats opdat de foutparkeerder zijn rechten efficiënt kon uitoefenen, noch waren er voldoende maatregelen zodat de voortijdige raadpleging van het DIV kon worden voorkomen.
Beoordeling t.o.v. de gerechtsdeurwaarder:
- Informatieplicht
De foutparkeerder verwijt gerechtsdeurwaarder dat hij hem niet overeenkomstig de vereisten van artikel 14 GDPR heeft ingelicht toen hij voor het eerst contact met hem opnam. De gerechtsdeurwaarder tracht zich echter op de uitzondering van artikel 14.5.c) van de GDPR te beroepen. Deze uitzondering bestaat erin dat de de verwerkingsverantwoordelijke wordt vrijgesteld van zijn informatieplicht voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, en voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.
Hij baseert zich hiervoor op het gemeentelijk reglement.
De Geschillenkamer besluit dat de gerechtsdeurwaarder zich niet kan beroepen op de vrijstelling aangezien het gemeentelijk regelement waarop deze laatste zich steunt, op geen enkele wijze ingaat op aspecten van gegevensbescherming. Het rechtskader van het beroep van gerechtsdeurwaarder en de eerbiediging van de ethische regels zijn op zich niet voldoende om passende garanties te bieden op het gebied van gegevensbescherming in de zin van artikel 14.5.c) van de GDPR. De gerechtsdeurwaarder schendt met andere woorden zijn informatieplicht in strijd met artikel 14.1 en 2. j° 12.3 GDPR.
- Toestemming
Een toestemming kan maar geldig worden gegeven als deze vrij, specifiek, geïnformeerd en ondubbelzinnig plaatsvindt. Het betalingsformulier van de gerechtsdeurwaarder verweerder was echter zo opgesteld dat er een duidelijk machtsonevenwicht bestond. De indruk werd opgewekt dat dit formulier ingevuld moest worden. De toestemming kan met andere woorden niet als vrij worden gekwalificeerd waardoor deze in strijd is met artikel 4.11 GDPR. Bijgevolg kan de gerechtsdeurwaarder zich onder die omstandigheden hierop niet beroepen als de rechtmatigheidsgrond voor de verwerking (artikel 6.1.a) GDPR).
Met betrekking tot de naleving van het beginsel van de minimale gegevensverwerking (artikel 5.1. c), van de GDPR) merkt de Geschillenkamer ook op dat met betrekking tot de verschillende gegevens die onder “Uw contactgegevens” worden gevraagd in het formulier, nergens met een sterretje of andere aanduiding staat aangegeven dat de betrokkene vrij is om een van de communicatiemiddelen te kiezen (telefoonnummer, mobiel telefoonnummer, e-mailadres) en dat sommige gegevens dus facultatief zijn. Ook artikel 5.1.c) (minimale gegevensverwerking) van de GDPR werd niet nageleefd.
- Passende technische en organisatorische maatregelen
Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.
Gezien de voorgaande inbreuken van de gerechtsdeurwaarder besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen.
Overwegingen in verband met de sancties
De Geschillenkamer gaat er prat op dat zij bij het opleggen van de sancties altijd alle relevante omstandigheden in overweging neemt.
T.o.v. de parkeerwachter zijn die overwegingen als volgt:
- Er gebeurden reeds voorafgaand aan de beslissing toezeggingen om aan de inbreuken te verhelpen;
- Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
- De parkeerwachter is deel van een grote groep van ondernemingen, deze omzet wordt in aanmerking genomen;
- Groot aantal personen zijn getroffen door de inbreuken aangezien deze tot de dagelijkse praktijk van de parkeerwachter behoren;
- De inbreuken hebben minstens sinds 25 mei 2018, met uitzondering van inbreuk op artikel 5.1.c) GDPR;
- Gedurende de gehele procedure heeft de parkeerwachter met de GBA samengewerkt;
- Geen opzettelijke inbreuken.
T.o.v. de gerechtsdeurwaarder zijn die overwegingen als volgt;
- Gerechtsdeurwaarder heeft voorgesteld bepaalde wijzigingen in praktijk aan te brengen;
- Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
- Gerechtsdeurwaarder zou zwaar getroffen zijn door covid-19 en toekomstige omzet 2020 en 2021 zou niet in verhouding staan met voorgaande omzet;
- Groot aantal personen zijn getroffen door de inbreuken;
- De voorbeeldfunctie van een gerechtsdeurwaarder;
- Inbreuken duren minstens sinds januari 2019;
- Geen opzettelijke inbreuken;
- De gerechtsdeurwaarder heeft meegewerkt tijdens de procedure.
Uitspraak
T.a.v. de parkeerwachter:
Volgende inbreuken worden vastgesteld:
- Niet nakomen informatieplicht;
- Niet nakomen van verplichting gevolg te geven aan recht op inzage/toegang;
- Niet nakomen van verplichting van minimale gegevensverwerking bij voorbarige raadpleging van DIV;
- Niet nakomen van verplichting om passende technische en organisatorische maatregelen te nemen;
Volgende sancties worden opgelegd:
- Een berisping;
- Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en inzage/toegang. Hierbij moet de parkeerwachter de GBA binnen een termijn van drie maanden in kennis stellen van zowel zijn privacybeleid dat van toepassing is als zijn informatieclausule(s) en de procedure die is ingesteld om te reageren op de uitoefening van het recht op inzage/toegang;
- Een administratieve boete van € 50.000.
T.a.v. de gerechtsdeurwaarder:
Volgende inbreuken worden vastgesteld:
- Niet nakomen informatieplicht;
- Het ontbreken van een rechtsgrondslag voor het verzamelen van gegevens via het formulier bij de aanmaning tot betaling en niet in acht nemen beginsel van minimale gegevensverwerking;
- Niet naleven van artikelen 5.2 en 24.1-2 GDPR
Volgende sancties worden opgelegd:
- Een berisping;
- Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en de rechtsgrondslag voor het formulier bij de aanmaning tot betaling. Hierbij moet de gerechtsdeurwaarder de GBA in kennis stellen binnen een termijn van drie maanden van zowel zijn privacy beleid dat van toepassing is, als zijn informatieclausule(s) en van de wijze waarop hij voornemens is te reageren op de inbreuken in verband met het formulier;
- Een administratieve boete van € 15.000.
Onze mening
Terecht oordeelt de Geschillenkamer dat de parkeerwachter en de gerechtsdeurwaarder beide verwerkingsverantwoordelijken zijn voor hun opeenvolgend optreden in verband met de inning en invordering van de boete.
De parkeerwachter kan dan ook niet volstaan met te verwijzen naar de gerechtsdeurwaarder voor de uitoefening van de rechten van de betrokkene.
Omwille van de gebrekkige transparantie en het ontbreken van een duidelijke procedure voor de uitoefening van de rechten, is de concrete opeenvolgende rol van beide ook niet duidelijk t.o.v. de betrokkene.
Beide maken verschillende inbreuken op de GDPR, waaronder een aantal basisbeginselen; minimale gegevensverwerking, transparantie, voorzien van passende en technische en organisatorische maatregelen..
De boetes lijken ons dan ook terecht gelet op eerdere rechtspraak van de Geschillenkamer en de parkeerwachter en gerechtsdeurwaarder zullen hun procedures aanzienlijk moeten aanpassen om GDPR-proof te zijn. Het blijkt echter dat het marktenhof in hoger beroep milder is en herinnert aan de vereiste proportionaliteit van sancties. (zie onder)
Definitief?
Nee, arrest marktenhof dd. 26.05.2021.
Arrest Hof van beroep, afdeling marktenhof van 26 mei 2021
De gerechtsdeurwaarder tekende hoger beroep aan tegen de beslissing van 23 december 2020 bij het Marktenhof (afdeling van het hof van beroep te Brussel).
De gerechtsdeurwaarder vorderde hierbij in hoofdorde dat wat betreft haar veroordeling de beslissing vernietigd wordt én dat de GBA wordt veroordeeld om de administratieve boete van € 15.000 die werd betaald, terug te betalen. Ondergeschikt vorderde de gerechtsdeurwaarder om indien de veroordeling bevestigd zou worden, de boete om te vormen tot een loutere berisping.
Algemene overweging
Het Marktenhof herinnert er in eerste instantie aan dat het beroep ingesteld bij haar geen “gewoon hoger beroep” is. Het Marktenhof kan enkel de regelmatigheid en wettelijkheid toetsen. Wat betreft de grond van de zaak beperkt het Marktenhof haar onderzoek dan ook tot het nagaan of de feiten correct zijn voorgesteld en indien er geen sprake is van een kennelijke beoordelingsfout of indien de juridische kwalificatie van de feiten juist is.
Bepaalde grieven die werden aangevoerd, kunnen dan ook geen gevolg aan gegeven worden aangezien ze niet binnen de beoordelingsbevoegdheid van het Marktenhof vallen.
Vernietiging boete
Het Marktenhof oordeelt dat de beslissing van de GBA enkel op het punt van het opleggen van een boeten van € 15.000,00 vernietigd dient te worden.
Het Marktenhof herinnert eraan dat het fundamentele doel van de Europese wetgeving niet is om sancties op leggen onder de vorm van boetes voor de geringste inbreuk. Het werkelijke doel is de bescherming van persoonsgegevens.
Het loutere feit dat de vastgestelde inbreuken de fundamentele beginselen betreffen waarvoor de hoogste boetes opgelegd kunnen worden, volstaat niet om de proportionaliteit hiervan te verantwoorden. Het loutere feit dat in het verleden als verzwarende factor de publieke hoedanigheid van een verweerder werd opgenomen, verantwoordt niet op zich waarom dit hier ook zo zou zijn. Er bestaat geen bindende precedentenleer voor de GBA. Er moet steeds geval per geval een beoordeling gebeuren.
Het Marktenhof wijst op het feit dat het een eenmalig voorval betrof dat beperkt is in duur. Daarnaast is de inbreuk theoretisch aangezien het niet betwist wordt dat de betrokkene het formulier waarop de klacht betrekking heeft, niet heeft teruggestuurd.
De GBA heeft verscheidene elementen vastgesteld die erop wijzen dat de gerechtsdeurwaarder op geen enkele wijze een intentie tot het miskennen van de principes van de GDPR heeft gemanifesteerd en de inbreuk die begaan werd louter een gevolg is van nalatigheid of zelfs maar een eenvoudige onoplettendheid.
De ingesteldheid die leunt naar het opleggen van een boete bij de eerste inbreuk stemt niet overeen met de principes van de GDPR. De sanctionering dient gradueel te gebeuren in functie van de zwaarte van de inbreuken. Het Marktenhof geeft als voorbeeld volgende gradatie:
- Een berisping of een aanmaning aan het overtredende bedrijf, waarin het wordt herinnerd aan zijn plicht om ervoor te zorgen dat de verwerking van gevoelige gegevens in overeenstemming is met de GDPR;
- Bevel om inbreuk te staken;
- (in bepaalde gevallen): tijdelijke beperking of opschorting van gegevensverwerking;
- administratieve sancties voor niet-naleving van de GDPR-regels.
Het Marktenhof oordeelt dat de GBA door het opleggen van een boete vanaf de eerste inbreuk het principe van proportionaliteit van de sancties miskent. Hoewel de geschillenkamer van de GBA in haar motivering had gewezen op het ontbreken van opzet bij de inbreuken en de reële bereidheid om haar praktijken in overeenstemming te brengen met de GDPR, laat zij na laat om rekening te houden met de noodzaak van proportionaliteit die namelijk inhoudt dat rekening gehouden moet worden met het vermoeden van goede trouw, waarvan de gerechtsdeurwaarder had moeten kunnen genieten.
Er zijn geen aanwijzingen dat de berisping en bevel tot naleving opgelegd aan de gerechtsdeurwaarder niet voldoende zou zijn geweest. Het fundamentele beginsel van proportionaliteit van de sanctie werd miskend.
Het Marktenhof vernietigt dan ook de bestreden beslissing, doch énkel wat betreft het opleggen van een geldboete van € 15.000.