Algemene verordening

Dit artikel verwijst naar Europese regelgeving. In het bijzonder naar de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016:

·         betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens

·         en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG.

Deze verordening stelt onder meer dat:

-        De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens een grondrecht is. Eenieder heeft recht op bescherming van zijn persoonsgegevens.

-        De regels die uitgevaardigd worden, moeten in overeenstemming zijn met de bescherming van dit grondrecht en moeten de harmonisatie van de (landelijke) regels mogelijk maken in de lidstaten.

-        De bescherming van de natuurlijke personen staat centraal en de verwerking van de persoonsgegevens is daaraan ondergeschikt.

-        De uitwisseling van persoonsgegevens tussen de lidstaten is onderworpen aan de beschermingsgedachte van de natuurlijke personen. Elektronische toepassingen kunnen een bedreiging zijn van, maar moeten ten  dienste van de bescherming van de persoonsgegevens staan.

Beperking administratieve diensten, overheden en besturen

De verzamelde persoonsgegevens mogen slechts verwerkt worden door de opgesomde instanties, overheden of diensten (zie E.Art. 47, § 2) in het kader van hun wettelijke opdracht:

1° de Vlaamse Regering;

2° de financierende overheid;

3° de adviserende gemeente;

4° het representatief orgaan;

5° het bestuur van de eredienst;

6° het voorlopig bestuursorgaan;

7° het tijdelijk voltallig bestuursorgaan, vermeld in artikel 67, § 2, 6° ;

8° het centraal (kerk)bestuur.

Wettelijke opdracht

De persoonsgegevens mogen slechts verzameld en verwerkt worden bij de uitoefening van het toezicht bepaald in het huidig Erkenningsdecreet en in het Eredienstendecreet (zie E.Art. 47, § 4).

Daarenboven mogen ze slechts gebruikt worden in die mate dat de controle op het onderhouden van de regels en de daaruit voortvloeiende verplichtingen mogelijk of vereenvoudigd worden door gebruik te maken van deze persoonsgegevens.

De verzamelde gegevens mogen slechts geordend, geschikt, gerangschikt worden volgens de beschermingsregels van de natuurlijke personen (zie E.Art. 47, § 6).

Bewaring van de verzamelde gegevens

Aan het representatief orgaan en aan de lokale geloofsgemeenschappen wordt een bewaringstermijn van 20 jaar opgelegd (zie E.Art. 47, § 7, 2^de lid). Deze termijn wordt gerekend vanaf de dag na de dag dat het persoonsgegeven verzameld werd in het kader van het erkenningsdecreet.

De bewaartermijn voor de overige instanties vernoemd in § 7, 2^de lid van het huidig artikel is duister en wordt omfloerst omschreven: “Conform artikel III.87 van het Bestuursdecreet van 7 december 2018 wordt de bewaartermijn van de persoonsgegevens bepaald voor de verwerkingsverantwoordelijken”.

Bestuursdecreet artikel III.87 van het Bestuursdecreet van 7 december 2018

Onderafdeling 4. - Selectie en vernietiging

Art. III.87. § 1. Voor elke categorie van bestuursdocumenten worden selectieregels opgesteld die minstens de volgende gegevens bevatten:

1° een betekenisvolle naam en omschrijving;

2° het administratieve of juridische nut, verduidelijkt door een bewaartermijn met bijbehorende motivering;

3° de aanduiding van de waarde voor het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, verduidelijkt door de definitieve bestemming, die ofwel een vernietiging ofwel een permanente bewaring inhoudt, met bijbehorende motivering.

De selectiecommissie, vermeld in artikel III.88, § 1, kan beslissen dat de selectieregels meer gegevens moeten bevatten.

§ 2. De selectieregels hebben uitwerking vanaf de bekendmaking ervan in het register, vermeld in artikel III.82, § 2.

§ 3. De bekendgemaakte selectieregels zijn geldig voor de duur van ten hoogste vijf jaar of tot op het moment dat de bestuurlijke verantwoordelijkheid voor bestuursdocumenten overgedragen wordt conform artikel III.83.

§ 4. De Vlaamse Regering stelt de nadere bepalingen vast voor de opmaak, de goedkeuring en de onderlinge consistentie van de selectieregels.

Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.

Personen geviseerd door het verzamelen van persoonsgegevens

Het verzamelen van persoonsgegevens beperkt (!) zich tot (zie E.Art. 47, § 3):

1° de bedienaars van de eredienst en hun vervangers van een erkenningszoekende lokale

geloofsgemeenschap en een bestuur van de eredienst;

2° de leden van het bestuursorgaan;

3° de toekomstige leden van het bestuursorgaan;

4° de leden van het voorlopig bestuursorgaan;

5° de schenkers van giften vanaf 1000 euro;

6° de personen met titels op de gebouwen of andere infrastructuur;

7° de leden van het tijdelijk voltallig bestuursorgaan, vermeld in artikel 67, § 2, 6°.

Bij de identificatie van personen kan men het Rijksregister- of het Vreemdelingennummer gebruiken, dat een unieke identificatie van een persoon mogelijk maakt, en waarbij fraude eventueel aan het licht komt (zie E.Art. 47, § 5) .

De protocollen

Voor de mededeling van de persoonsgegevens worden protocollen opgesteld conform artikel 8 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (zie E.Art. 47, § 8).

Opnieuw wordt gebruik gemaakt van verzending naar andere wetteksten, die overigens op zichzelf zeer vaag geformuleerd worden.

HOOFDSTUK III. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en de Vlaamse toezichtcommissie voor de verwerking van persoonsgegevens (vervangt Decreet 8 juni 2018, art. 14, I: 29 maart 2019)

Afdeling I. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens (vervangt Decreet 8 juni 2018, art. 15, I: 25 mei 2018)

Artikel 8. (26/06/2018- ...)

§ 1. Elke elektronische mededeling van persoonsgegevens door een instantie naar een andere instantie of naar een externe overheid vereist een protocol, gesloten tussen de betreffende instanties.

In dat protocol wordt in ieder geval het volgende vastgelegd :

1° de identificatie van de verwerkingsverantwoordelijken;

2° de doeleinden waarvoor de persoonsgegevens worden medegedeeld;

3° de categorieën en omvang van de medegedeelde persoonsgegevens conform het proportionaliteitsbeginsel;

4° de categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen;

5° de wettelijke basis van zowel de mededeling als de inzameling van de gegevens;

6° de beveiligingsmaatregelen van de mededeling, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen;

7° de periodiciteit van de mededeling;

8° de duur van de mededeling;

9° de sancties in geval van niet-naleving van het protocol;

10° de beschrijving van de precieze doeleinden waarvoor de gegevens oorspronkelijk werden ingezameld door de instantie die beheerder is van de gevraagde gegevens;

11° ingeval van latere verwerking van de ingezamelde gegevens, vermelding van de verenigbaarheidsanalyse van de doeleinden van deze verwerking met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld overeenkomstig artikel 6, lid 4, van de algemene verordening gegevensbescherming;

12° afspraken omtrent de garantie van de kwaliteit van de gegevens en in voorkomend geval de eerbiediging van het wettelijk kader dat de toegang tot de authentieke gegevensbron regelt;

13° specifieke maatregelen die de gegevensmededeling omkaderen zoals de keuze van het formaat van de mededeling, de logging van de toegangen zodat men kan controleren wie wanneer toegang had tot welke gegevens en waarom en de invoering van een verwijzingsrepertorium in het geval van een automatische mededeling van de wijzigingen aan de gegevens.

Het protocol wordt gesloten door de betreffende verwerkingsverantwoordelijken na advies van de functionaris voor gegevensbescherming van alle betrokken instanties en wordt vervolgens onmiddellijk bekendgemaakt op de website van alle betrokken instanties.

Voorafgaand aan het sluiten van een protocol kan op verzoek van een betrokken partij het advies van de Vlaamse toezichtcommissie, vermeld in artikel 10 of 10/1, worden ingewonnen. De Vlaamse toezichtcommissie brengt haar advies uit binnen een termijn van dertig dagen nadat alle daartoe noodzakelijke gegevens aan de Vlaamse toezichtcommissie zijn medegedeeld. In speciaal gemotiveerde dringende gevallen kan de termijn worden teruggebracht tot vijftien dagen. De adviezen van de Vlaamse toezichtcommissie zijn schriftelijk en met redenen omkleed. Ze worden aan de betreffende instantie meegedeeld en op de website van de Vlaamse toezichtcommissie bekendgemaakt.

§ 2. De mededeling van persoonsgegevens, vermeld in paragraaf 1, vereist geen protocol indien het informatieveiligheidscomité, opgericht met toepassing van artikel 2 van de wet tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, bevoegd is om met betrekking tot die mededeling een beraadslaging te verlenen.

§ 3. Over de mededeling van persoonsgegevens binnen een instantie beslist de verwerkingsverantwoordelijke van die instantie zelf na voorafgaand advies van de functionaris voor gegevensbescherming van de betreffende instantie. De functionaris voor gegevensbescherming adviseert de verwerkingsverantwoordelijke welke soorten persoonsgegevens voor welke specifieke doeleinden kunnen worden meegedeeld tussen entiteiten binnen de betreffende instantie en op welke manier die mededeling gebeurt. Daartoe onderzoekt de functionaris voor gegevensbescherming of de gegevens toereikend en ter zake dienend zijn, alsook beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden meegedeeld. In het geval de functionaris voor gegevensbescherming oordeelt dat de mededeling, gelet op onder meer de aard, de omvang, de context en de doeleinden van de mededeling, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wiens gegevens zouden worden meegedeeld, kan voorafgaand aan de mededeling het advies bij de Vlaamse toezichtcommissie, vermeld in artikel 10/1, worden ingewonnen.

Het bestuursorgaan van artikel 67, § 2, 6°

Het betreft besturen van de eredienst waarvan de erkenningsaanvraag in behandeling was genomen voor de inwerkingtreding van het Erkenningsdecreet, maar waarvan de erkenning nog niet definitief afgehandeld is.

De opvolging van de persoonsgegevens van deze bestuursorganen zijn opgenomen in het artikel ad hoc.

In extenso weergave, Memorie van Toelichting, E.Art. 47, vanaf p. 63 t.e.m. p. 66

In dit artikel wordt een decretale basis opgenomen voor de verwerking van persoonsgegevens. De ‘verwerking’ van gegevens betreft het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Alle expliciete en impliciete gegevensverwerkingen die gebeuren in het kader van dit decreet, zullen gebeuren conform dit artikel.

Elke overheidsinmenging in de bescherming van de persoonlijke levenssfeer zoals gewaarborgd door artikel 8 van het EVRM en artikel 22 van de Grondwet moet worden voorgeschreven in een voldoende precieze wettelijke bepaling die beantwoordt aan een dwingende maatschappelijke behoefte en evenredig is met de nagestreefde doelstelling. In een dergelijke precieze wettelijke bepaling moeten de essentiële elementen van de met de overheidsinmenging gepaard gaande verwerkingen van persoonsgegevens omschreven zijn. Krachtens dit decreet zullen persoonsgegevens worden verwerkt van volgende personen:

▪ de bedienaars van de eredienst en hun vervangers van een erkenningszoekende lokale geloofsgemeenschap en van een bestuur van de eredienst;

▪ de leden van het bestuursorgaan;

▪ de toekomstige leden van het bestuursorgaan;

▪ de leden van het voorlopig bestuursorgaan;

▪ de schenkers van giften vanaf 1000 euro; ^{noot 1}

▪ de personen met titels op de gebouwen of andere infrastructuur;

▪ de verbonden juridische structuren;

▪ de leden van het tijdelijk voltallig bestuursorgaan vermeld in artikel 68, §2, 6°.

De verwerking van persoonsgegevens in het kader van dit decreet impliceert de verwerking van bijzondere categorieën van persoonsgegevens, zoals bedoeld in artikel 9 van de Algemene Verordening Gegevensbescherming, en met name persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken. Ook persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, zoals bedoeld in artikel 10 van de Algemene Verordening Gegevensbescherming, worden verwerkt conform de bepalingen van dit decreet.

De verwerking van deze persoonsgegevens is evenwel verzoenbaar met het recht van privacy en voldoet aan de voorwaarden van artikel 8 van het EVRM. De verwerking wordt opgenomen in een decretale bepaling, zodat voldaan is aan de eerste voorwaarde van artikel 8 van het EVRM, met name dat de beperking bij wet moet zijn voorzien.

De verwerking van de persoonsgegevens voldoet ook aan een dwingende maatschappelijke behoefte. De vierde paragraaf beschrijft de doeleinden waarvoor de gegevensverwerking in het kader van dit decreet zullen worden verricht. De erkenning van een lokale geloofsgemeenschap brengt de oprichting van een openbare instelling met rechtspersoonlijkheid met zich mee die belast is met het beheer van de temporaliën. Het statuut van een openbare instelling met rechtspersoonlijkheid creëert het recht op overheidsfinanciering, maar er zijn ook verplichtingen aan verbonden. Eén van deze verplichtingen is dat het bestuur van de eredienst bestuurd wordt door een bestuursorgaan dat rechtsgeldig moet zijn samengesteld. Ook de bedienaar van de eredienst is een sleutel- en gezagsfiguur binnen de lokale geloofsgemeenschap en van ambtswege lid van het bestuursorgaan van het bestuur van de eredienst (uitgezonderd bij de rooms-katholieke eredienst waar de door het representatief orgaan aangestelde verantwoordelijke van ambtswege lid is van het bestuursorgaan). Om te kunnen controleren of een erkenning vragende lokale geloofsgemeenschap en een bestuur van de eredienst blijvend aan de erkenningsverplichtingen voldoen, moeten de betrokken burgerlijke overheden steeds een goed overzicht hebben van wie bedienaar van de eredienst, zijn vervanger en lid van het bestuursorgaan is. De overheid heeft ook steeds een aanspreekpunt nodig. Er wordt gestreefd naar het tot stand brengen van moderne, efficiënte besturen met een transparante structuur, die in evenwaardigheid een goede relatie kunnen opbouwen met de betrokken burgerlijke overheden. Doordat er transparantie gevraagd wordt over de verbonden juridische structuren, is het mogelijk dat er persoonsgegevens dienen verwerkt te worden (bv. ingeval van een éénmanszaak of bestuursleden van de bestuursorganen van de verbonden juridische structuren).

Daarnaast is het Vlaamse model van erkenning van geloofsgemeenschappen, waarbij een bestuur van de eredienst wordt opgericht dat van overheidswege financieel ondersteund wordt, moeilijk verzoenbaar met buitenlandse financiering of ondersteuning van diezelfde geloofsgemeenschap die resulteert in een de facto controle door die buitenlandse instantie waardoor afbreuk kan gedaan worden aan de onafhankelijkheid van de lokale geloofsgemeenschap. Ook financiering en ondersteuning die rechtstreeks of onrechtstreeks verband houdt met terrorisme, extremisme, spionage of clandestiene inmenging is onverzoenbaar met het Vlaamse model van erkenning van geloofsgemeenschappen (zie toelichting bij artikel 17 ^{noot 2}). Om op een doeltreffende wijze te kunnen nagaan of een erkenningszoekende lokale geloofsgemeenschap of een bestuur van de eredienst geen ongeoorloofde financiering of ondersteuning ontvangt, wordt in dit decreet een transparantie- en registratieverplichting opgelegd van alle giften vanaf 1000 euro^{noot 1} . In dit giftenregister worden ook de persoonsgegevens vermeld van natuurlijke personen die giften van 1000 euro^{noot 1} of meer hebben gedaan. De identificatie van de schenkers is noodzakelijk om te kunnen oordelen of het om een verboden vorm van financiering of ondersteuning gaat.

Ten slotte gaat de verwerking van de persoonsgegevens niet verder dan noodzakelijk om de dwingende maatschappelijke behoefte te bereiken. Dit decreet bepaalt uitdrukkelijk welke categorieën van persoonsgegevens en van welke personen persoonsgegevens op gestructureerde en systematische wijze worden verwerkt. Eveneens bepaalt dit decreet welke instanties deze persoonsgegevens kunnen verwerken. De bevoegdheden betreffende erkenning van lokale geloofsgemeenschappen zitten verspreid over verschillende instanties, wat een goede informatie-uitwisseling noodzakelijk maakt:

▪ de Vlaamse Regering die de lokale geloofsgemeenschap erkent en sanctioneert;

▪ de bevoegde instantie aangeduid door de Vlaamse Regering die de erkenningszoekende lokale geloofsgemeenschappen en de besturen van de eredienst controleert op de wijze waarop ze de erkenningsverplichtingen en de verplichtingen in het eredienstendecreet blijvend naleven;

▪ de financierende overheden die bijdragen aan de financiering van de besturen van de erediensten en het administratief toezicht uitoefenen;

▪ de provinciegouverneur die het administratief toezicht uitoefent;

▪ de adviserende gemeente die het dichts bij de lokale geloofsgemeenschap staat en dus een belangrijke actor is om te oordelen of een lokale geloofsgemeenschap voldoet aan de erkenningsverplichtingen;

▪ de federale overheid bevoegd voor de erkende erediensten die een advies moet geven bij de erkenning van een lokale geloofsgemeenschap en die ook instaat voor de bezoldiging van de bedienaars van de eredienst;

▪ de representatieve organen die de door de federale overheid aangeduide religieuze gesprekspartner zijn over alle aangelegenheden die verband houden met de instellingen belast met het beheer van de temporaliën van die eredienst.

Daarnaast wordt er een strikte omschrijving gegeven van de doeleinden waarvoor de persoonsgegevens mogen worden verwerkt. De persoonsgegevens kunnen enkel verwerkt worden om de doeleinden vermeld in paragraaf 4 te bereiken.

Conform artikel III. 87 van het Bestuursdecreet van 7 december 2018 zijn de Vlaamse administratie, de provincies, de gemeenten en de besturen van de erediensten ertoe gehouden om voor alle informatie die ze in het kader van hun taken ontvangen of creëren een selectieregel op te maken en die conform artikel III.88 ter goedkeuring voor te leggen aan de bevoegde selectiecommissie. Conform deze regelgeving worden de bewaartermijnen bepaald. De gegevens worden niet langer bijgehouden dan noodzakelijk.

De gegevens worden steeds verwerkt en uitgewisseld in overeenstemming met de bepalingen van de Algemene Verordening Gegevensbescherming, en met de bepalingen van de federale en Vlaamse regelgeving over de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Voor de mededeling van de persoonsgegevens worden protocollen opgesteld conform artikel 8 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer. Om te vermijden dat er een groot aantal (individuele) protocollen moeten worden gesloten om de digitale uitwisseling van persoonsgegevens mogelijk te maken, wordt in het kader van administratieve vereenvoudiging en efficiëntie de mogelijkheid ingeschreven om te werken via een algemeen protocol dat wordt opgesteld door een instantie van de Vlaamse Regering. De objectiviteit van het algemeen protocol, op het vlak van gegevensbescherming wordt gewaarborgd door het advies dat wordt gevraagd aan de VTC. Daarbij wordt ervoor gekozen om dat advies als een verplichting op te nemen.

Ten slotte, bepaalt de Vlaamse Regering op basis van artikel 5 van dit decreet op welke wijze de communicatie tussen de verschillende instanties gebeurt. Deze communicatie houdt ook de uitwisseling van persoonsgegevens in en verloopt conform de Algemene Verordening Gegevensbescherming.

Noot 1: In de brontekst van de Memorie van Toelichting wordt voor de giften een bedrag van 500 euro gehanteerd.

Noot 2: In de brontekst wordt verwezen naar artikel 18 in plaats van 17. Maar in vergelijking met de Memorie van toelichting werd artikel 12 van de tekst van het voorgesteld decreet, niet in het Erkenningsdecreet opgenomen. De verwijzing naar artikel 18, moet dus een verwijzing naar E.Art. 17 zijn.