De overheid houdt ervan haar burgers en ondernemingen regeltjes en verplichtingen op te leggen, vaak onder het mom dat ze goed voor ons zijn en dat ze ons beschermen. Misschien wel even vaak leeft de overheid die regels en verplichtingen zelf niet na. Ze zal de toepassing proberen te minimaliseren, of ze kent zichzelf allerlei vrijstellingen en ontheffingen toe, zogenaamd in het algemeen belang. Gelukkig zijn er nog onafhankelijke organen die het beleid tot de orde roepen en in niet mis te verstane woorden berispen.
Dat is wat nu gebeurt op het gebied van de General Data Protection Regulation (GDPR ), de Europese privacyregels die ons volgens de enen opgelegd en volgens de anderen door de Europese Unie geschonken zijn. Die Europese privacywetgeving regelt hoe organisaties, ondernemingen en overheden met persoonsgegevens moeten omgaan. Iedereen die gegevens van anderen verwerkt, moet die regels volgen, zo niet volgen zware straffen. Om daarop toe te zien is de vroegere Privacycommissie omgevormd tot de Gegevensbeschermingsautoriteit. Je kunt er als burger terecht, als je meent dat je rechten geschonden zijn.
Leading by example is er bij de fiscus niet bij.
Een boekhoudster uit Luxemburg verzocht de fiscus, de BBI, om informatie, inzage, rectificatie en beperking van de verwerking van haar persoonsgegevens. Ze werd in dossiers van belastingontduiking bestempeld als een stroman. Dat vond ze onterecht en ze wilde haar persoonsgegevens inzien. Toen haar dat werd geweigerd, stapte ze naar de Geschillenkamer van de Gegevensbeschermingsautoriteit.
De fiscus stelde dat een vooronderzoek was gestart op basis van gegevens verkregen uit het buitenland. Die werden gecombineerd met opzoekingen in databanken, en dat leidde tot een standpunt, een mening die vervolgens werd gebruikt in onderzoeken naar andere personen. De Luxemburgse boekhoudster kreeg het etiket van ‘stroman’. De fiscus meende dat die kwalificatie geen persoonsgegeven is, maar enkel een standpunt van de fiscus, waardoor die geen inzage, informatie, rectificatie en wissen hoefde te verschaffen.
De Geschillenkamer stuurde de fiscus wandelen. Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, dus ook subjectieve informatie, en bijgevolg ook een mening of een oordeel. Ook het argument van de fiscus dat de Gegevensbeschermingsautoriteit niet bevoegd zou zijn, omdat dat in fiscale zaken alleen voor de fiscale rechtbanken zou gelden, viel op een koude steen.
In een tweede fase, als een overheid voelt dat ze ten gronde ongelijk zal krijgen, weert ze zich als een duivel in een wijwatervat en verwijst ze naar het ‘algemeen belang van monetaire, budgettaire en fiscale aangelegenheden’ om onder haar verplichtingen uit te komen. We zien dat ook telkens bij het Grondwettelijk Hof of het Europees Hof van Justitie. De Geschillenkamer merkt fijntjes op dat zo’n inperking van de rechten van de burger enkel kan, als dat noodzakelijk is om een belangrijk belang te vrijwaren en dat de beperkingen gerechtvaardigd, evenredig en in de tijd beperkt moeten zijn. Maar in dit geval liepen de fiscale onderzoeken net niet tegen de boekhoudster, en ondertussen was ook al een jaar verstreken. De autoriteit ziet dus geen enkele reden waarom de fiscus zich aan haar verplichtingen zou kunnen onttrekken.
Het is ontstellend te lezen dat de fiscus blijkbaar niet beschikt over interne procedures die een volledig overzicht van alle persoonsgegevens mogelijk maken. Er zijn te veel afdelingen, en niet alle documenten kunnen worden gescreend of geïndexeerd om na te gaan of een naam wordt gebruikt. De veeg uit de pan is niet mals: het moet technisch mogelijk zijn alle persoonsgegevens van iemand op te vragen. De verantwoordingsplicht is een hoeksteen van de GDPR en de overheid heeft een voorbeeldfunctie. Leading by example is er bij de fiscus niet bij. Het lijkt om te lachen, maar het is om te wenen.
De auteur is partner van Tiberghien Advocaten
Fout opgemerkt of meer nieuws? Meld het hier