29 APRIL 2009. - Koninklijk besluit tot uitvoering van artikel 3, § 5, 3°, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens met betrekking tot de Commissie voor het Bank-, Financie- en Assurantiewezen

VERSLAG AAN DE KONING Sire, Om de openbare overheden in staat te stellen hun opdrachten van bestuurlijke politie efficiënt uit te voeren, heeft de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna "de wet van 8 december 1992" genoemd) de Koning gemachtigd om die overheden vrij te stellen van bepaalde verplichtingen waarvan sprake in die wet van 8 december 1992, meer bepaald : (i) de verplichting om bepaalde informatie te verstrekken aan de natuurlijke personen van wie de gegevens worden verwerkt (art.9, §§ 1 en 2, van die wet), (ii) de verplichting om die personen toegang te verlenen tot hun gegevens (art. 10 van die wet), en (iii) de verplichting om die personen in staat te stellen onjuiste gegevens te doen verbeteren of onrechtmatig opgenomen gegevens te doen verwijderen (art. 12 van die wet).

Doelstelling van dit ontwerp van koninklijk besluit is de Commissie voor het Bank-, Financie- en Assurantiewezen (hierna "de CBFA" genoemd) in bepaalde, duidelijk omschreven omstandigheden vrij te stellen van die verplichtingen.

De CBFA is een overheid die opdrachten van bestuurlijke politie vervult. Deze instelling die bij wet is opgericht, oefent opdrachten van openbaar belang uit. Voor de uitoefening van die opdrachten werden haar aanzienlijke bevoegdheden verleend die eigen zijn aan het openbaar gezag. De opdrachten van de CBFA worden opgesomd in artikel 45, § 1, van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten (hierna "de wet van 2 augustus 2002" genoemd) en hebben betrekking op het toezicht op de uitoefening van bepaalde gereglementeerde beroepen in de financiële sector (verzekeringsondernemingen, kredietinstellingen, tussenpersonen, wisselkantoren, beleggingsondernemingen, enz.), de preventie en beteugeling van marktmisbruik, het toezicht op bepaalde financiële informatie die verkrijgbaar wordt gesteld voor het publiek, alsook de bescherming van spaarders en beleggers tegen het onwettelijke aanbod of de illegale levering van financiële producten of diensten.

Het betreft hier opdrachten van bestuurlijke politie : de CBFA neemt toelatings- of vergunningsbeslissingen met betrekking tot de meeste financiële beroepen; zij controleert de uitoefening van die beroepen met name via haar ondervragings- en onderzoeksbevoegdheden; zij kan de beoefenaars van die beroepen bepaalde herstelmaatregelen opleggen; zij keurt bepaalde documenten goed die nodig zijn voor de uitvoering van financiële verrichtingen; zij legt overtreders administratieve geldboetes op.

Bij de uitoefening van haar opdrachten van bestuurlijke politie dient de CBFA persoonsgegevens te verwerken, hetzij omdat zij in het kader van die opdrachten rechtstreeks in contact komt met natuurlijke personen, hetzij omdat zij onrechtstreeks met de gegevens van natuurlijke personen wordt geconfronteerd bij de uitoefening van haar toezichtsopdrachten ten aanzien van rechtspersonen.

Als verantwoordelijke voor de verwerking van persoonsgegevens dient de CBFA zich bijgevolg te conformeren aan de wet van 8 december 1992, en inzonderheid aan (i) de verplichting om bepaalde informatie te verstrekken aan de natuurlijke personen van wie de gegevens worden verwerkt (art.9, §§ 1 en 2, van die wet); (ii) de verplichting om die personen toegang te verlenen tot hun gegevens (art. 10 van die wet), en (iii) de verplichting om die personen in staat te stellen onjuiste gegevens te doen verbeteren of onrechtmatig opgenomen gegevens te doen verwijderen (art. 12 van die wet).

Opdat de CBFA haar opdrachten van bestuurlijke politie efficiënt zou kunnen uitoefenen, blijkt in de volgende twee hypotheses een uitzondering nodig op die verplichtingen : (i) wanneer de verwerkte gegevens afkomstig zijn van derden en niet van de betrokken natuurlijke personen, omdat het beroepsgeheim van de CBFA haar niet toelaat die gegevens aan de betrokken natuurlijke persoon mee te delen; (ii) wanneer de gegevens worden verwerkt in het kader van een administratieve sanctieprocedure die wordt gevoerd conform afdeling 5 van hoofdstuk III van de wet van 2 augustus 2002 (art. 70 tot 73 van die wet). (i) Gegevens verkregen bij derden Wanneer de CBFA de gegevens die zij over natuurlijke personen verwerkt, ontvangt van derden (bv.rechterlijke overheden, andere toezichthoudende autoriteiten of ondernemingen onder haar toezicht), is zij gebonden door een strikt beroepsgeheim dat voortvloeit uit de Europese richtlijnen over het bank- en financiewezen en is vastgelegd in de artikelen 74 en volgende van de wet van 2 augustus 2002. De schending van het beroepsgeheim is strafrechtelijk strafbaar.

De regels waarvan sprake in de wet van 8 december 1992 moeten dus worden toegepast in samenhang met het beroepsgeheim van de CBFA. Dat beroepsgeheim is ingegeven door de zorg om de geheimhouding te garanderen van de informatie die door ondernemingen onder toezicht of door andere toezichthouders aan de CBFA wordt verstrekt; die garantie is immers onontbeerlijk om een efficiënt toezicht te kunnen uitoefenen. Het beroepsgeheim vormt aldus een logisch tegenwicht voor de verplichting voor de ondernemingen onder toezicht om de CBFA alle informatie te bezorgen en haar toegang te verschaffen tot alle documenten (zie inzonderheid art. 34 en 35 van de wet van 2 augustus 2002 of art. 46 van de wet van 22 maart 1993 op het statuut van en het toezicht op de kredietinstellingen). De niet-naleving van die verplichting om de CBFA alle informatie te bezorgen, is trouwens strafrechtelijk strafbaar (art. 41, 3°, van de wet van 2 augustus 2002 en art. 104, § 1, 12°, van de wet van 22 maart 1993). Verder vormt het beroepsgeheim ook een tegenwicht voor de voor andere autoriteiten geldende verplichting om bepaalde informatie ter kennis te brengen van de CBFA. Zo moet bijvoorbeeld ieder opsporingsonderzoek tegen bestuurders, directeuren, zaakvoerders, lasthebbers of erkende revisoren van kredietinstellingen ten gevolge van de overtreding van de wet van 22 maart 1993 of van de financiële reglementering, alsook ieder opsporingsonderzoek tegen iedere andere natuurlijke of rechtspersoon ten gevolge van een overtreding van de wet van 22 maart 1993, ter kennis worden gebracht van de CBFA door de gerechtelijke of bestuursrechtelijke autoriteit waar dit aanhangig is gemaakt (art. 108 van de wet van 22 maart 1993). Iedere strafrechtelijke vordering op grond van die misdrijven moet trouwens door het openbaar ministerie ter kennis worden gebracht van de CBFA. Bij de voorbereiding van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens is aandacht besteed aan de problemen die verband houden met het feit dat bepaalde verplichtingen uit de reglementering tot bescherming van de persoonlijke levenssfeer van toepassing zijn op openbare overheden, zoals de CBFA. In de voorbereidende teksten van die richtlijn verklaarde de Europese Commissie immers het volgende : "Het is aan de Lid-Staten te besluiten in hoeverre zij de op artikel [13] gebaseerde uitzonderingen in hun nationale wetgeving betreffende de bescherming van gegevens opnemen, tenzij dergelijke uitzonderingen verplicht zijn op grond van het gemeenschapsrecht (bijvoorbeeld op het gebied van bankcontrole of het witwassen van kapitaal)" (COM (92) 422 def. - SYN 287 van 15 oktober 1992, p. 24). Die verklaring van de Europese Commissie is verwerkt in considerans nr. 44 van de richtlijn die als volgt luidt : "overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen".

Daaruit vloeit voort dat het Europees recht de lidstaten ertoe verplicht om in hun nationaal recht een bepaling om te zetten die een uitzondering maakt op het voor natuurlijke personen geldende recht op informatie, toegang en verbetering, wanneer de verwerkte gegevens onder de geheimhoudingplicht vallen die voortvloeit uit de bankrichtlijnen (en de financiële richtlijnen in het algemeen, in zoverre het dezelfde geheimhoudingsplicht betreft) in verband met de bevoegdheidsdomeinen van de CBFA. Die uitzondering wordt in Belgisch recht omgezet door dit ontwerp van koninklijk besluit dat de CBFA vrijstelt van de in de artikelen 9, 10, § 1, en 12 van de wet van 8 december 1992 vermelde verplichtingen wanneer de verwerkte gegevens onder haar beroepsgeheim vallen.

Concreet garandeert dit besluit dat de CBFA bij de uitoefening van haar opdrachten over alle benodigde informatie kan beschikken die afkomstig is van derden.

Deze vrijstelling doet echter geen afbreuk aan de bescherming van de persoonsgegevens van de betrokken natuurlijke personen, omdat zij zich tot de Commissie voor de bescherming van de persoonlijke levenssfeer kunnen richten met de vraag te controleren of de verwerking van die gegevens door de CBFA geoorloofd is. Dit recht op onrechtstreekse toegang zit vervat in artikel 13 van de wet van 8 december 1992.

Aangezien dat recht al is opgenomen in de wet, hoeft het niet nog eens te worden herhaald in het koninklijk besluit (zie het advies van de Commissie voor de bescherming van de persoonlijke levenssfeer 06/93 van 27 juli 1993 in fine).

Bovendien beschikt de Commissie voor de bescherming van de persoonlijke levenssfeer meer algemeen over het recht op toegang tot en controle van de door de CBFA verwerkte persoonsgegevens (zie art. 32 van de wet van 8 december 1992), ook als die onder het beroepsgeheim van de CBFA vallen, omdat de Commissie voor de bescherming van de persoonlijke levenssfeer zelf ook gebonden is aan een beroepsgeheim dat haar verbiedt gegevens aan derden te onthullen, en omdat zij de belangen moet vrijwaren waarvoor het beroepsgeheim van de CBFA is ingevoerd. (ii) Gegevens verwerkt in het kader van administratieve sanctieprocedures die worden gevoerd conform afdeling 5 van hoofdstuk III van de wet van 2 augustus 2002 Indien de CBFA, bij de uitoefening van haar opdrachten van bestuurlijke politie als bedoeld in artikel 45 van de wet van 2 augustus 2002, ernstige aanwijzingen vaststelt van het bestaan van een praktijk die aanleiding kan geven tot de oplegging van een administratieve geldboete of een dwangsom, of indien zij ingevolge een klacht van een dergelijke praktijk in kennis wordt gesteld, gelast het directiecomité de secretaris-generaal, in zijn hoedanigheid van auditeur, met het onderzoek van het dossier (art. 70, § 1, van die wet).

De administratieve sanctieprocedure wordt geregeld in afdeling 5 van hoofdstuk III van de wet van 2 augustus 2002 (art. 70 tot 73).

De administratieve sanctieprocedure verloopt in verschillende stappen : voorafgaand onderzoek om te bepalen of er ernstige aanwijzingen zijn van het bestaan van een inbreuk; indien er effectief zo'n aanwijzingen blijken te zijn, wordt de auditeur door het directiecomité gelast met het onderzoek van de feiten; onderzoek ten laste en ten gunste door de auditeur; overlegging van de conclusies van de auditeur aan de sanctiecommissie; beslissing van de sanctiecommissie.

In het kader van die sanctieprocedure zijn de door de CBFA verwerkte gegevens niet noodzakelijk afkomstig van derden. Die gegevens vallen bijgevolg niet noodzakelijk onder de sub (i) vermelde vrijstellingshypothese. Toch zou het ongepast zijn dat de CBFA de betrokkene zou moeten informeren dat zijn gegevens worden verwerkt, dat zij hem die gegevens zou moeten bezorgen of dat zij hem de mogelijkheid zou moeten bieden om die gegevens te verbeteren. Als de betrokken natuurlijke personen over die rechten zouden beschikken tijdens het voorafgaande onderzoek of tijdens het onderzoek door de auditeur, zouden zij de verkregen gegevens immers kunnen gebruiken om het onderzoek te dwarsbomen, bijvoorbeeld door bewijsmateriaal te laten verdwijnen of door andere betrokkenen te waarschuwen.

Voor het goede verloop van de procedure dient de CBFA dus van de toepassing van de artikelen 9, 10, § 1, en 12, van de wet van 8 december 1992 te worden vrijgesteld in het kader van de administratieve sanctieprocedures die worden ingesteld op basis van artikel 70 en volgende van de wet van 2 augustus 2002, inclusief in het kader van het voorafgaand onderzoek van ernstige aanwijzingen van het bestaan van een onwettige praktijk.

Het feit dat de CBFA bij koninklijk besluit van bepaalde verplichtingen wordt vrijgesteld, zal echter geenszins afbreuk doen aan de rechten van de personen van wie de persoonsgegevens worden verwerkt. In het kader van de bij de CBFA gevoerde sanctieprocedure, zal de betrokkene, conform artikel 71, § 2, van de wet van 2 augustus 2002, immers toegang hebben tot zijn dossier en dus tot zijn gegevens.

Dat artikel bepaalt immers dat, wanneer de auditeur de sanctiecommissie in kennis stelt van zijn bevindingen, hij de dader of daders van de betrokken praktijk daarover inlicht; laatstgenoemden kunnen dan ter zetel van de CBFA kennis nemen van het samengestelde dossier. De naleving van het recht op toegang tot de gegevens zal op die manier gewaarborgd zijn in het kader van de naleving van de rechten van de verdediging.

Bovendien heeft de betrokkene het recht om onrechtstreeks toegang te krijgen tot zijn gegevens, in die zin dat hij zich kan richten tot de Commissie voor de bescherming van de persoonlijke levenssfeer, die in zijn plaats toegang zal krijgen tot zijn gegevens en zal kunnen controleren of zijn gegevens wel degelijk zijn verwerkt conform artikel 13 van de wet van 8 december 1992. Meer algemeen zal de Commissie voor de bescherming van de persoonlijke levenssfeer gebruik kunnen maken van de in artikel 32 van de wet van 8 december 1992 vermelde bevoegdheden om te controleren hoe de CBFA persoonsgegevens verwerkt in het kader van de administratieve sanctieprocedure. Ondanks het bestaan van een koninklijk besluit tot vrijstelling zal de bescherming van de persoonsgegevens dus gewaarborgd zijn.

Ik heb de eer te zijn, Sire, van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaar, De Minister van Financiën, D. REYNDERS

29 APRIL 2009. - Koninklijk besluit tot uitvoering van artikel 3, § 5, 3°, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens met betrekking tot de Commissie voor het Bank-, Financie- en Assurantiewezen ALBERT II, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid op artikel 3, § 5, 3°;

Overwegende de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten, inzonderheid op artikel 45, § 1, en op de artikelen 70 tot 73;

Gelet op het advies n° 26/2008 van 23 juli 2008 van de Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op advies nr. 45.925/2 van de Raad van State, gegeven op 25 februari 2009, met toepassing van artikel 84, § 1, eerste lid, 1°, van de gecoördineerde wetten op de Raad van State;

Op de voordracht van Onze Minister van Financiën en op het advies van Onze in Raad vergaderde Ministers;

Artikel 1.De artikelen 9, 10, § 1, en 12 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens zijn niet van toepassing op de verwerkingen van persoonsgegevens door de Commissie voor het Bank-, Financie- en Assurantiewezen in haar hoedanigheid van publieke autoriteit die opdrachten van bestuurlijke politie uitoefent 1° in het vooruitzicht van de uitoefening van haar opdrachten van bestuurlijke politie die worden opgesomd in artikel 45, § 1, van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten, wanneer die gegevens niet bij de betrokkene zijn verkregen, 2° in het kader van de administratieve sanctieprocedures die zij voert met toepassing van afdeling 5 van hoofdstuk III van de voornoemde wet van 2 augustus 2002.

Art. 2.Onze Minister van Financiën is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 29 april 2009.

ALBERT Van Koningswege : De Vice-Eersteminister en Minister van Financiën, D. REYNDERS