23/10/18

GDPR en faillissement: kan de curator persoonsgegevens te gelde maken?

Een interessante vraag onder GDPR kwam ons via een Nederlandse confrater onder de aandacht: kan de curator in het kader van een faillissement onder GDPR eigenlijk nog wel zomaar bestanden met persoonsgegevens te gelde maken? En wat als hij “per ongeluk” persoonsgegevens doorgeeft aan een derde-koper?

Tweedehands laptops niet gecleaned

Een en ander volgt uit een Canadees voorval, waarover bericht werd op Tweakers.net, waarbij de de servers en harde schijven van een failliete Canadese computerwinkel door de curator te koop werden aangeboden met blijkbaar nog héél wat persoonsgegevens (waaronder zelfs kredietkaartgegevens!) op de schijven en dus zonder dat deze grondig gecleaned waren.

De Canadese curator had hier kennelijk geen graten in gezien. Nochtans heeft Canada, net als de EU, een (of eigenlijk verschillende) strenge databeschermingswet(ten) .

Interessante vragen zijn daarbij natuurlijk enerzijds of dit soort incidenten onder Belgisch en Europees recht als een datalek beschouwd moet worden en anderzijds in welke mate de curator überhaupt databases met persoonsgegevens te gelde kan maken in het kader van de afhandeling van een faillissement.

Datalek?

Het is nogal evident dat bovenstaand voorval onder GDPR een ernstig datalek vormt. In dit geval immers komen erg gevoelige persoonsgegevens (waaronder kredietkaartgegevens) onbedoeld en ongecontroleerd in handen van onbekende derden.

Artikel 33 en 34 van de GDPR voorzien wat dat betreft dat elk voorval dat tot gevolg kan hebben voor de vertrouwelijkheid van gegevens gemeld moet worden aan de overheid en in bepaalde ernstige gevallen ook aan elke betrokkene wiens gegevens gecompromitteerd zijn. Zulke incidenten zijn vanzelfsprekend hacking-aanvallen of diefstal van gegevens, maar bij uitbreiding van daaronder ook elk onbedoeld verlies (wissen) van data, onbedoeld delen van data, onbedoeld toegang geven aan derden tot data en elk incident dat een impact kan hebben op de vertrouwelijkheid van de betrokken data.

De verordening voorziet daarbij dat zulke incidenten binnen 72 uur na de vaststelling gemeld moeten worden en somt ook de informatie op die daarbij meegedeeld moet worden.

Het heeft daarbij weinig belang of het incident zich voordoet onder controle van de vennootschap zelf of onder het gezag van de curator over het faillissement. De definitie van een datalek kent geen onderscheid op dit punt en de verplichtingen van de GDPR rusten even goed op de curator als op de vennootschap zelf.

De curator heeft overigens vanzelfsprekend een aantal wettelijke plichten en aansprakelijkheden en dient zijn opdracht correct uit te voeren. wanneer hij fouten maakt kan hij aangesproken worden op basis van zijn contractuele of buitencontractuele aansprakelijkheid of zelfs strafrechtelijk. Inbreuken op de dataveiligheidsverplichtingen die de GDPR met zich meebrengt in het kader van de verkoop van persoonsgegevens kunnen zowel een contractuele (ten aanzien van de koper van de data) als buitencontractuele (ten aanzien van de betrokkenen) aansprakelijkheid met zich meebrengen en kan desgevallend leiden tot strafrechtelijke sancties en/of boetes onder de GDPR in hoofde van de curator. Deze laatste heeft er dus alle belang bij erop toe te zien dat persoonsgegevens onder zijn beheer in overeenstemming met de GDPR verwerkt worden, zowel binnen zijn eigen kantoor als binnen de failliete boedel waarover hij het beheer waarneemt.

Verkoop van persoonsgegevens door de curator

De curator kan overigens wel degelijk persoonsgegevens doorgeven aan derden en niet elke doorgifte maakt dus een data breach uit.

Het kan perfect zo zijn dat de curator bepaalde persoonsgegevens verkoopt aan een partij die de bijbehorende bedrijfsactiviteit overneemt. Een partij doe een handelsfonds uit het faillissement overkoopt, zal bijvoorbeeld vanzelfsprekend klantenlijsten doorgegeven moeten krijgen.

De koper heeft in zo’n context wel degelijk een wettelijke grondslag om die gegevens te verwerken, met name het (verder) uitvoeren van de lopende overeenkomsten ten aanzien van klanten of werknemers. Een en ander neemt niet weg dat hij alle verplichtingen onder de GDPR zal moeten respecteren, vanzelfsprekend.

Zijn informatieverplichtingen brengen onder andere met zich mee dat hij de betrokken wiens gegevens hij verkrijgt van de curator binnen 30 dagen zal moeten verwittigen van het feit dat hij hun gegevens ontvangen heeft van de curator en dat hij vanaf dat ogenblik zal optreden als verantwoordelijke voor de verwerking van hun gegevens.

De curator van zijn kant kan zulke klantenlijsten enkel doorverkopen als hij zelf een gepaste rechtsgrond heeft om zulks te doen. Als het failliete bedrijf enigszins vooruitziend is geweest, heeft het destijds in het kader van de opt-ins die het wellicht heeft bekomen van de betrokkenen meteen ook toestemming gevraagd voor doorgifte aan derden in het kader van overdrachten van onderneming.

In afwezigheid van zulke historische toestemming, zal de curator ons inziens wel nog kunnen terugvallen op een eigen gerechtvaardigd belang. Hij moet de klantengegevens immers te gelde maken in het belang van de schuldeisers en in het belang van de afhandeling van het faillissement. Gerechtvaardigd belang vereist wel steeds een belangenafweging van voorgaande belang voor de curator ten opzichte van de inbreuk op de rechten van de betrokkenen. Het is niet uit te sluiten dat in bepaalde contexten een voorgenomen verkoop niet te rechtvaardigen is. Eén en ander zal sterk bepaald worden door de context, de aard van de betrokken persoonsgegevens, de identiteit van de koper/ontvanger, …

Maar in se is er met andere woorden wel degelijk een rechtsgrond te vinden die de curator toelaat om persoonsgegevens uit het faillissement te gelde te maken

Informatieplichten en doelgebondenheid

In elk geval dient de curator rekening te houden met twee bijkomende aspecten: het algemene principe van doelbinding (je mag gegevens enkel gebruiken voor het doel waarvoor ze verzameld werden en je kan achteraf geen “nieuw” doel verzinnen, zelfs niet als je er een rechtsgrond voor vindt, tenzij dat doel logischerwijze voortvloeit uit het initiële doel) én je dient betrokkenen steeds voorafgaand aan de verwerking van hun gegevens (of in elk geval zo snel mogelijk daarna) te informeren over wat je met hun gegevens doet, waar je ze vandaan hebt gehaald, met wie je ze gaat delen ,etc…

Een en ander is praktisch moeilijk haalbaar voor de curator en het is ons inziens precies om die reden erg nuttig voor bedrijven om standaard in hun privacy policy in te schrijven dat “in geval van faillissement of overdracht van (een deel van) de activiteiten, ongeacht op welke gronden, de vennootschap de persoonsgegevens van de betrokkene kan overdragen aan de derde koper of verkrijger van dat deel of geheel van activiteiten”. Op die wijze is in elk geval de informatieplicht al (deels) opgevangen en is vanaf aanvang de potentiële verkoop van de gegevens in de context van een faillissement mee opgenomen als doelstelling.

Als de betrokken onderneming minder vooruitziend is geweest, zal de curator creatief moeten zijn om te kunnen voldoen aan zijn informatieplichten en aan de algemene principes van de gDPR, waaronder doelgebondenheid, maar hieraan is met de nodige denkoefeningen met quasi zekerheid wel een mouw te passen.

dotted_texture