GBA verbiedt overdracht van fiscale gegevens naar de VS

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft een verbod uitgevaardigd op de overdracht van fiscale gegevens van Amerikaanse burgers die in België wonen naar de VS. Volgens het GBA had de Belgische belastingdienst een DPIA moeten uitvoeren en is de FATCA-overeenkomst, die in dergelijke doorgiften voorziet, niet in overeenstemming met de AVG.

 

De feiten

De betrokkene heeft zowel de Belgische als de Amerikaanse nationaliteit. Volgens de Amerikaanse belastingwetgeving viel hij op grond van zijn nationaliteit onder het Amerikaanse belastingstelsel. Om informatie en belastingen te verzamelen van Amerikanen die in het buitenland wonen, sloten de VS overeenkomsten met andere landen in het kader van de Foreign Account Tax Compliance Act (FATCA). In België hield dit in dat banken verplicht werden om de belastingdienst te informeren als een Amerikaans staatsburger een rekening had in België.

In mei 2020 deelde de bank waar de betrokkene een rekening had hem mee, dat het wettelijk verplicht was om de belastingdienst te informeren dat de betrokkene een rekening had, evenals zijn naam, adres, rechtsgebied van verblijf, fiscaal identificatienummer, geboortedatum, rekeningsaldo, rekeningnummer en andere informatie met betrekking tot zijn banktegoeden.

Op 22 december 2022 dienden de betrokkene en de Association Accidental Americans of Belgium een klacht in bij de Belgische gegevensbeschermingsautoriteit. De gegevensbeschermingsautoriteit heeft zich bij de zaken gevoegd. Op grond van artikel 17, lid 1, onder d) AVG verzocht de betrokkene de belastingdienst om zijn gegevens te wissen die waren verkregen op basis van de FATCA-overeenkomst en op grond van artikel 18, lid 1, onder b) AVG om de verwerking daarvan te beperken.

De klagers verzochten ook om de uitwisseling van informatie tussen de Belgische en Amerikaanse overheidsdiensten op basis van de FATCA-overeenkomst stop te zetten. Zij waren van mening dat deze verwerking op basis van de FATCA-overeenkomst een schending vormde van de artikelen 45, 46 en 49 AVG, het beginsel van doelbinding (artikel 5, lid 1, onder b) AVG), evenredigheid en gegevensbeperking (artikel 5, lid 1, onder c) AVG), opslagbeperking (artikel 5, lid 1, onder e) AVG), transparantie (artikelen 12 tot en met 14 AVG) en dat een DPIA had moeten worden uitgevoerd (artikel 35 AVG).

De Belgische overheid voerde aan dat volgens artikel 96 AVG de FATCA-overeenkomst (en dus de overdracht) geldig was. Dit artikel bepaalt dat internationale overeenkomsten die bestonden vóór de AVG van kracht blijven op voorwaarde dat ze voldoen aan de toepasselijke wetgeving op het moment dat ze werden gesloten.

Naar aanleiding van de klacht heeft de onderzoeksafdeling van de GBA een onderzoek ingesteld en geconcludeerd dat er geen sprake was van een duidelijke schending van de AVG.

De beslissing

De GBA begon met het classificeren van de Belgische belastingdienst als verantwoordelijke voor de verwerking, ongeacht het feit dat ze geen toegang hebben tot de inhoud van de gegevens die ze doorgeven. Financiële instellingen (banken) werden ook beschouwd als verantwoordelijken voor de verwerking.

De gegevensbeschermingsautoriteit analyseerde vervolgens elk punt dat door de partijen naar voren werd gebracht.

Met betrekking tot artikel 96 AVG, vanuit het oogpunt van materiële toepassing, was de GBA van mening dat dit artikel alleen van toepassing is op de inhoud van de overeenkomst en dus niet verhindert dat de artikelen van de AVG van toepassing zijn. De FATCA-overeenkomst bevat bijvoorbeeld geen informatieverplichting, wat niet betekent dat de verwerkingsverantwoordelijke geen informatieverplichting heeft. Vanuit het oogpunt van tijd was de GBA van mening dat artikel 96 AVG toestaat dat rechten van derde landen uit hoofde van internationale overeenkomsten behouden blijven, maar dat dit niet betekent dat deze rechten zonder tijdslimiet worden verkregen. De GBA was daarom van mening dat de lidstaten (opnieuw) moeten onderhandelen over overeenkomsten om deze AVG-conform te maken. Concluderend was de GBA van mening dat artikel 96 restrictief moet worden geïnterpreteerd en dat het "standstill effect" beperkt is. Ze zou daarom artikel 96 "buiten beschouwing kunnen laten" als de toepassing ervan onevenredige gevolgen zou hebben voor de rechten van klagers.

Met betrekking tot het beginsel van doelbinding was de GBA van mening dat de doeleinden van de FATCA-overeenkomst niet voldoende zijn vastgesteld. Het is daarom niet mogelijk om te beoordelen in hoeverre de verwerkte gegevens noodzakelijk zijn om die doeleinden te bereiken.

Met betrekking tot noodzakelijkheid en minimalisatie oordeelde de GBA dat enkel de nationaliteit van de betrokkenen geen voldoende criterium was met het oog op het nagestreefde doel. In dit geval is de FATCA-overeenkomst niet in overeenstemming met de beginselen van noodzakelijkheid, evenredigheid en minimalisering. Bijgevolg kon de Belgische autoriteit zich voor de doorgiften niet beroepen op artikel 6, lid 1, onder c), noch op artikel 6, lid 1, onder e), AVG.

Wat het kader voor gegevensdoorgiften naar de VS betreft, was er geen adequaatheidsbesluit. Daarom moest de internationale overeenkomst, als rechtsgrondslag voor de doorgifte, passende waarborgen voor gegevensbescherming bevatten krachtens artikel 46, lid 2, onder a), AVG. In dit geval stelde de  GBA vast dat de overeenkomst geen definitie van gegevensbescherming bevatte, geen bewaartermijn, geen vermelding van de rechten van betrokkenen en geen melding van beroepsmogelijkheden.

De GBA concludeerde daarom dat de Belgische belastingdienst zich niet kon beroepen op artikel 96 AVG om door te gaan met het doorgeven van gegevens aan de VS op basis van de FATCA-overeenkomst, terwijl die overeenkomst niet in overeenstemming is met de AVG.

Wat betreft de verplichting om informatie te verstrekken, was de Belgische belastingdienst, als verantwoordelijke voor de verwerking, onderworpen aan de artikelen 13 en 14 AVG. Op haar website verwees de belastingdienst naar de FATCA-overeenkomst met een algemene uitleg die niet gemakkelijk toegankelijk of begrijpelijk was. De GBA oordeelde dat de verwerkingsverantwoordelijke daarom in strijd handelde met artikel 14, leden 1 en 2, en artikel 12, lid 1, AVG.

Met betrekking tot de verplichting om een DPIA uit te voeren, was de GBA van mening dat de doorgifte van gegevens naar de VS een hoog risico met zich meebracht voor de rechten en vrijheden van personen in de zin van artikel 35, lid 1, AVG. Hoewel er deskundig advies was ingewonnen, had er een DPIA moeten worden uitgevoerd, wat de verantwoordelijke voor de verwerking in strijd met artikel 35, lid 1, AVG had nagelaten.

Met betrekking tot het verantwoordingsbeginsel concludeerde de GBA dat de verwerkingsverantwoordelijke niet had aangetoond dat hij passende maatregelen had genomen om naleving van de AVG te waarborgen. Zij schond daarom artikel 5, lid 2, en artikel 24 AVG.

Op basis van artikel 58, lid 2, onder f) AVG en in overeenstemming met de Schrems II-jurisprudentie van het HvJEU, beval de GBA daarom een verbod op de verwerking van de gegevens van de betrokkene op grond van de FACTA-overeenkomst. De GBA was van mening dat dit de enige maatregel was die een einde kon maken aan de onrechtmatigheid van de verwerking.

De GBA oordeelde ook dat de verwerkingsverantwoordelijke artikel 5, lid 2, artikel 12, lid 1, artikel 14, leden 1 en 2, artikel 24 en artikel 35, lid 1, AVG had geschonden en gaf de verwerkingsverantwoordelijke een berisping. De GBA beval ook naleving, wat bestond uit het waarschuwen van de relevante wetgever.

Bron: APD/GBA (Belgium) - 61/2023 - GDPRhub

Naar het overzicht