GDPR : Werkt u ook met een zwarte lijst?

Iedereen heeft wel eens de neiging om een zwarte lijst samen te stellen: wanbetalers, mensen waarmee je niet meer wil samenwerken, … Handig, want je kan zo’n lijst delen en dan weet meteen iedereen in je bedrijf voor wie men moet opletten, met wie men geen contracten mag afsluiten. Maar … zo’n zwarte lijst gebruiken, mag dat eigenlijk wel?

Voor alle duidelijkheid: voor zover deze zwarte lijst geen persoonsgegevens bevat, is er GDPR-matig geen probleem. Je mag dus wel degelijk een lijst bijhouden waarop de N.V. XYZ en de B.V. ABC worden opgenomen, zolang hier maar geen persoonsgegevens worden verwerkt (naam bestuurder, naam contactpersoon, telefoonnummer, e-mailadres, …).

Maar wat met de verwerking van persoonsgegevens?

In een beslissing van 17 december 2019 moest de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit zich buigen over de vraag of een V.Z.W., zoals voorzien in haar statuten, een lijst mag bijhouden van “ongewenste personen”, met name personen die vroeger lid waren geweest maar die uit de V.Z.W. waren uitgesloten en die de V.Z.W. ook in de toekomst niet meer als lid wenste op te nemen.

In het kader van een blijkbaar jarenlang aanslepend conflict tussen deze V.Z.W. en het uitgesloten lid, meende het uitgesloten lid dat de V.Z.W. ook verschillende inbreuken maakte op de GDPR, onder andere in verband met het recht op wissing. De man kwam evenwel – minstens voorlopig – van een kale reis terug.

Er werd een inspectieverslag opgesteld : de Geschillenkamer paste de algemene principes van GDPR toe op de aangeklaagde gegevensverwerking (het verwerken van persoonsgegevens van uitgesloten leden) en oordeelde dat de klacht van het voormalige lid moest geseponeerd worden.

1.
De Geschillenkamer aanvaardde dat de V.Z.W. over een gerechtvaardigd belang beschikt om de persoonsgegevens van een voormalig lid te verwerken. De V.Z.W. verwijst daarvoor naar de naleving van haar statuten waarin deze verwerking uitdrukkelijk is opgenomen. In dat kader stelt de Geschillenkamer vast dat het lid in alle redelijkheid kan verwachten dat zijn gegevens nog enige tijd zouden verwerkt worden. Deze verwerking is immers opgenomen in de statuten en volgt eveneens de logica van de geschillenbeslechting tussen de V.Z.W. en haar voormalig lid.

2.
De geschillenbeslechting met huidige en vroegere leden en het ledenbeheer in het algemeen worden aanvaard als een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde voor de verwerking. De GDPR voorziet immers zelf dat het ledenbeheer en de geschillenbeslechting opgenomen kunnen worden in een gedragscode. Er wordt ook niet aangetoond dat de persoonsgegevens voor andere doeleinden dan de geschillenbeslechting worden gebruikt.

3.
De Geschillenkamer benadrukte ook dat de V.Z.W. enkel en alleen de naam van het lid bewaarde en eigenlijk ook niet meer nodig had voor het doel waarvoor deze naam verwerkt werd. Ook de vereiste van een beperking van gegevensverwerking wordt door de V.Z.W. dus correct toegepast.

4.
Aangezien de lijst zuiver intern gebruikt wordt en er geen enkel bewijs voorlag dat gegevens aan een derde werden overgemaakt, kon er ook geen sprake zijn van een datalek.

5.
Ten slotte: de hele klacht draaide rond het recht op wissing van zijn persoonsgegevens van het uitgesloten lid. Aangezien het lid evenwel geen enkele grond kon aanhalen op basis waarvan tot wissing zou moeten overgegaan worden, werd zijn klacht afgewezen. De Geschillenkamer benadrukt nog eens dat het “recht op wissing”, in tegenstelling tot wat velen denken, helemaal geen absoluut recht is.

Twee zaken onthouden we:

  • Wie zorgt dat hij transparant en gedocumenteerd (statuten, beslissing algemene vergadering, …) gegevens verwerkt, staat sterker in zijn schoenen.
  • Na de vele beslissingen van de Geschillenkamer waarbij inbreuken werden vastgesteld en boetes werden opgelegd, vormt deze beslissing een evenwichtige (en dus geruststellende) toepassing van de bepalingen van GDPR voor wie gegevensbescherming ernstig opneemt.