De Gegevensbeschermings-autoriteit haalt de fiscus uit zijn ivoren toren (Tiberghien)

Auteurs: Gerd D. Goyvaerts en Christophe Dillen (Tiberghien)

De Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) berispt de fiscus omdat die niet inging op het verzoek tot informatie, inzage, rectificatie en beperking tot verwerking van persoonsgegevens van een Luxemburgse fiduciaire. De fiscus had de fiduciaire afgeschilderd als stroman t.a.v. haar Belgische klanten. De verwijzing naar het vermeende stromanschap gebruikte de fiscus als aanwijzing van belastingontduiking in hoofde van diverse Belgische klanten om in hunnen hoofde de onderzoeks- en aanslagtermijnen uit te breiden. De Geschillenkamer uit ernstige bedenkingen bij de werkwijze van de fiscus en wijst op zijn voorbeeldfunctie (beslissing 66/2021, 4 juni 2021[1]).

De Algemene Verordening Gegevensbescherming (AVG of in het Engels GDPR: General Data Protection Regulation) beschermt natuurlijke personen tegen het ongeoorloofde gebruik van hun persoonsgegevens. Eenieder die persoonsgegevens verwerkt, moet zich – als verwerkingsverantwoordelijke – aan de spelregels houden. Zo heeft de betrokkene wiens persoonsgegevens worden verwerkt, recht op o.a. informatie over het doel van de verwerking en inzage in de verwerking[1]. Hij heeft ook het recht om de verwerking van onjuiste persoonsgegevens te laten rechtzetten (rectificatie) en eventueel de verwerking te laten beperken.[2] Als de betrokkene daarover geen gehoor krijgt bij de verwerkingsverantwoordelijke, kan hij eventueel een klacht indienen bij de GBA[3], die op haar beurt inbreuken zal beoordelen en eventueel sancties kan opleggen.

Ook de fiscus – die dagdagelijks de persoonsgegevens van miljoenen belastingplichtigen verwerkt – is principieel gebonden aan die regels. De fiscus mag enkel persoonsgegevens verwerken voor de uitvoering van zijn wettelijk omschreven opdracht en beschikt in dat opzicht dus zeker niet over een vrijbrief.

Zonder een vermoeden van simulatie werd de fiduciaire bestempeld als stroman

Dat blijkt eens te meer uit een zaak waarin de Geschillenkamer moest beoordelen of de fiscus een verzoek mocht weigeren van een Luxemburgse fiduciaire die om informatie, inzage, rectificatie en beperking tot verwerking van haar persoonsgegevens vroeg.

Ondanks haar legitieme activiteit, had de fiduciaire vastgesteld dat zij – zonder enige aanwijsbare reden – in fiscale onderzoeken lastens Belgische belastingplichtigen (o.a. haar klanten) als “stroman” werd bestempeld (met vermelding van voornaam, naam en rijksregisternummer). Onder verwijzing naar de fiduciaire werden er in hoofde van die klanten aanwijzingen van belastingontduiking in aanmerking genomen, met de toepassing van de verlengde onderzoeks- en aanslagtermijn van zeven jaar tot gevolg.[4] De vermeende kwalificatie als stroman was daarbij enkel geënt op de stelling dat de fiduciaire betrokken zou zijn in een groot aantal vennootschappen en dat die vennootschappen gevestigd zouden zijn op slechts enkele adressen (informatie die overigens feitelijk onjuist bleek te zijn). Enig vermoeden van simulatie of een fiscale onregelmatigheid in hoofde van de fiduciaire werd door de fiscus niet aangevoerd.

Van die zware (en ongefundeerde) aantijgingen werd de fiduciaire zelf door de fiscus niet op de hoogte gebracht. Pas toen enkele klanten de fiduciaire confronteerden met de argumentatie van de fiscus, bekloeg die zich daarover bij de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer binnen FOD Financiën.[5]

Op 18 juli 2019 kreeg de fiscus formeel het verzoek om informatie, inzage, rectificatie en beperking van de verwerking van de persoonsgegevens.[6] Het was voor de fiduciaire immers op dat ogenblik onduidelijk aan wie – naast de klanten die haar daarover hadden aangesproken – de bewuste mededeling over het stromanschap werd of zou worden gedaan.

Op 21 augustus 2019 kreeg de fiduciaire inzage in enkele stukken, maar die waren door de FOD Financiën quasi volledig zwart en dus onleesbaar gemaakt. Een onderbouwde verklaring voor de kwalificatie als stroman kreeg men tijdens die inzage hoe dan ook niet.

Pas op 28 oktober 2019[7] werd het verzoek van de fiduciaire door de fiscus op een zeer beknopte wijze formeel afgewezen. In zijn beslissing moest de fiscus vooreerst toegeven dat er in hoofde van de fiduciaire geen onderzoek liep. Daarnaast benadrukte de fiscus dat hij al op 21 augustus 2019 inzage had verleend én dat de verwerking van de persoonsgegevens – en dus ook de vermelding als stroman – noodzakelijk was voor het vervullen van zijn taak. Enige verklaring voor de aangevoerde tendentieuze en schadelijke kwalificatie als stroman werd in de beslissing niet gegeven.

De fiduciaire ging niet akkoord met die beslissing en diende vervolgens een klacht in bij de GBA. 

Is er sprake van de verwerking van persoonsgegevens?

In de procedure voor de Geschillenkamer trachtte de fiscus vervolgens de klacht van de fiduciaire te laten afwijzen door vooreerst te stellen dat de kwalificatie als “stroman” een “standpunt over een fiscale kwestie” zou betreffen en geen persoonsgegeven. De fiscus benadrukte dat hij steeds “standpunt mag innemen teneinde de juiste heffing van de belasting te verzekeren”. Doordat er geen sprake zou zijn van “de verwerking van persoonsgegevens”, zou de fiduciaire zich niet kunnen beroepen op de waarborgen die de AVG biedt. Tot slot zou enkel een fiscale rechtbank en niet de Geschillenkamer van de GBA bevoegd zijn om daarover uitspraak te doen, aldus de fiscus.

De Geschillenkamer liet geen spaander heel van die argumentatie en wees erop dat het begrip “persoonsgegevens”, zoals o.a. uitgelegd in artikel 4.1 AVG en de rechtspraak van het Hof van Justitie[8], ruim geïnterpreteerd moet worden. Persoonsgegevens omvatten zowel objectieve als subjectieve informatie over een natuurlijk persoon, ongeacht of die informatie correct of bewezen is.[9] De Geschillenkamer merkte op dat de fiduciaire t.a.v. de klanten door de fiscus duidelijk werd bestempeld als stroman in combinatie met de vermelding van naam, voornaam én rijksregisternummer.

De Geschillenkamer oordeelde dan ook terecht dat de fiscus de persoonsgegevens[10] van de fiduciaire had verwerkt, de fiduciaire aanspraak kon maken op de rechten die de AVG biedt, en dat de GBA – in het bijzonder de Geschillenkamer – bevoegd was om deze zaak te beoordelen.

Het spanningsveld tussen de AVG en de wet van 3 augustus 2012

In de discussie ten gronde – m.b.t. het verzoek tot informatie, inzage, rectificatie en beperking van de verwerking van de persoonsgegevens – probeerde de fiscus zich vervolgens te verschuilen achter zijn status als controlerende overheid.

Artikel 23 AVG laat immers toe dat lidstaten o.a. het inzagerecht beperken als dat wettelijk geregeld is én als de beperking van de rechten van belanghebbenden strikt noodzakelijk is ter vrijwaring van o.a. de fiscale belangen van de staat.

De wet van 3 augustus 2012[11] betreffende de verwerking van persoonsgegevens door de FOD Financiën bevat zo’n beperking van de rechten van betrokkenen wier persoonsgegevens worden verwerkt.[12] Die beperkingen of uitzonderingsgronden zijn door de wetgever gecreëerd om een fiscaal onderzoek niet in gevaar te brengen (bv. wegens gevaar voor collusie) (Parl.St. Kamer nr. 53-2343/1, 11).

Louter onder verwijzing naar die uitzonderingsgronden – en dus zonder concreet te worden – verzocht de fiscus om het verzoek van de fiduciaire als ongegrond af te wijzen.

Ook daarover kreeg de fiscus nul op het rekest. Zo bepaalt de wet van 3 augustus 2012 over het recht op informatie[13] dat de beperkingen op de rechten van de betrokkene enkel kunnen “gelden gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde diensten […] alsook gedurende de periode waarin de stukken afkomstig van deze diensten worden behandeld om de vervolgingen hieromtrent in te stellen”.[14] Uit die bepaling vloeit voort dat de fiscus de uitzonderingsgrond alleen maar kan worden inroepen als de betrokkene zelf het voorwerp uitmaakt van een controle, onderzoek of voorbereidende werkzaamheden van de fiscus.[15] Dat was in casu niet het geval aangezien niet de fiduciaire, maar de klanten het voorwerp van een fiscaal onderzoek waren, waarin de persoonsgegevens van de fiduciaire werden verwerkt.

De Geschillenkamer benadrukt voorts dat de beperkingen die zijn opgenomen in de wet van 3 augustus 2012 zeer ruim zijn geformuleerd en verder gaan dan artikel 23 AVG. De wet van 3 augustus 2012 voorziet immers niet enkel in een beperking van de rechten van de betrokkene, maar creëert ook – in tegenstelling tot artikel 23 AVG – de mogelijkheid om elk recht aan de betrokkene te ontzeggen (“kan het recht … worden uitgesteld, beperkt of uitgesloten”)[16]. Bovendien is geen duidelijke tijdsbeperking verbonden aan die volledige uitsluiting van de rechten van betrokkenen.[17] Volgens de Geschillenkamer moeten de beperkingen van de rechten van de betrokkene dan ook restrictief begrepen worden, conform de hogere rechtsnormen en in het bijzonder artikel 23 AVG.

Fiscus faalt in zijn voorbeeldfunctie

De fiduciaire verzocht de behandelende ambtenaren van de fiscus – tijdens de hoorzitting voor de Geschillenkamer – vervolgens om een overzicht te krijgen van alle personen waaraan er melding was gemaakt van het vermeende stromanschap. Daarop kreeg zij geen duidelijk antwoord. Het exacte aantal personen kon men klaarblijkelijk niet met absolute zekerheid meedelen.

In de beslissing van 4 juni 2021 lezen we daarover ook: “De Geschillenkamer stelt tevens vast op basis van de verklaringen van [de fiscus] tijdens de hoorzitting dat deze laatste niet over een interne procedure lijkt te beschikken die toelaat een volledig overzicht te hebben van alle persoonsgegevens van een betrokkene, in casu de [de fiduciaire], die [hij] verwerkt. Tijdens de hoorzitting stelde [de fiscus] immers dat ‘er veel verschillende afdelingen zijn binnen de [fiscus]’ en dat ‘niet alle documenten opgesteld door alle betrokken ambtenaren kunnen worden gescreend of geïndexeerd om na te gaan of de naam van de [de fiduciaire] of andere persoonsgegevens werden gebruikt”.

Terecht oordeelde de Geschillenkamer dat op de fiscus – als verwerkingsverantwoordelijke – de verplichting rust om passende technische en organisatorische maatregelen te nemen met als doel de gegevensbeschermingsbeginselen doeltreffend uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter bescherming van de rechten van de betrokkenen. De verwerkingsverantwoordelijke moet er dus voor zorgen dat het technisch mogelijk is om persoonsgegevens op te vragen in alle systemen binnen zijn organisatie, in het bijzonder als die op grote schaal persoonsgegevens verwerkt.

De Geschillenkamer besluit dat die verantwoordingsplicht één van de hoekstenen van de AVG vormt en dat de fiscus als overheidsdienst een voorbeeldfunctie heeft op vlak van de naleving van de beginselen inzake gegevensbescherming.

De fiscus werd – gelet op zijn houding in dit dossier – door de GBA tot slot formeel berispt.[18] De FOD Financiën werd daarnaast veroordeeld tot het verlenen van informatie, inzage en rectificatie aan de fiduciaire. Bovendien moet de fiscus iedere ontvanger – aan wie de fiduciaire werd afgeschilderd als stroman – op de hoogte te stellen van die rectificatie. Tegen deze uitspraak heeft de fiscus geen beroep aangetekend bij het Marktenhof.

De houding van de fiscus doet de wenkbrauwen fronsen

Helaas toont deze zaak aan dat de fiscus er klaarblijkelijk in de praktijk niet voor terugdeinst om – zonder enig vermoeden van simulatie en pour les besoins de la cause[19] – een ondernemer t.a.v. zijn klanten af te schilderen als een stroman. Dergelijke praktijk kan nooit kaderen in de taak van de fiscus om een “juiste heffing van belastingen” te verzekeren. De ondernemer in kwestie staat bovendien tegen dergelijke aantijgingen machteloos aangezien hij daarover door de fiscus niet wordt ingelicht. Er werd hier onmiskenbaar reputatieschade aangericht.

Dat de fiscus vervolgens alle zeilen bijzet om – in haar interne procedure én voor de Geschillenkamer – zijn schadelijke gedrag te vergoelijken en de fiduciaire haar grondrechten te ontzeggen, is onbegrijpelijk. Het vertrouwen in de fiscus wordt door dergelijke praktijken toch wel aangetast.

Ondanks de digitalisering van de overheidsdiensten slaagt de fiscus er klaarblijkelijk niet in om ‘met één druk op de knop’ te controleren aan wie welke informatie werd verzonden. Ook die vaststelling is opmerkelijk én zeer verontrustend.

Eenieder die persoonsgegevens verwerkt, werd er – in het kader van de inwerkingtreding van de AVG of GDPR – nog maar eens op gewezen dat natuurlijke personen controle en zeggenschap moeten hebben over hun persoonsgegevens. Ondernemers die te nonchalant omspringen met data van bv. klanten of werknemers kunnen daarvoor beboet worden. Die boetes kunnen zelfs oplopen tot 4% van hun jaarlijkse wereldwijde omzet. De AVG bezorgde menig ondernemer daardoor reeds kopzorgen. In tegenstelling tot die ondernemers, lijkt de fiscus – ondanks zijn voorbeeldfunctie – daar minder van wakker te liggen en er zelfs ‘een potje van te maken’…

Bron: Tiberghien

[1] https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-66-2021.pdf.

[2] art. 16 en 18 AVG.

[3] De (oude) Privacycommissie is vervangen door de Gegevensbeschermingsautoriteit (wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit of WOG).

[4] art. 333 lid 3 jo. art. 354 lid 2 WIB92.

[5] Artikel 3 wet van 3 augustus 2012 (“houdende bepalingen betreffende de verwerking van persoonsgegevens door de FOD Financiën”) kwalificeert de fiscus als verantwoordelijke verwerker en benadrukt dat “de Federale Overheidsdienst Financiën persoonsgegevens verzamelt en verwerkt om zijn wettelijke opdrachten uit te voeren. De verzamelde gegevens mogen door … Financiën niet voor andere doeleinden dan voor de uitvoering van zijn wettelijk omschreven opdrachten worden gebruikt.”

[6] o.a. op basis van art. 14, 15, 16 en 18 AVG

[7] Die beslissing werd door de fiscus laattijdig meegedeeld aangezien hij – als verwerkingsverantwoordelijke – in principe binnen één maand na ontvangst van het verzoek van de fiduciaire het verzoek moet beantwoorden ofwel de verzoeker in kennis moet stellen van een verlenging van de termijn (bv. op basis van de complexiteit van het dossier). Daarom oordeelde de Geschillenkamer dat de fiscus een inbreuk pleegde op art. 12.3 en 12.4 AVG, alsook op art. 11 §3, 11/1 §3, 11/2 §3 en 11/3 §3 wet van 3 augustus 2012.

[8] O.a. HvJ 20 december 2017, C434/16, Peter Nowak t. Data Protection Commissioner.

[9] A. Focquet en E. Declerck, Gegevensbescherming in de praktijk, Intersentia, Antwerpen, 2019, 6; C. Docksey en H. Hijmans, “The Court of Justice as a Key Player in Privacy and Data Protection: An Overview of Recent Trends” in Case Law at the Start of a New Era of Data Protection Law, EDPL Review 2019, 302-304.

[10] Cfr. Art. 4.1 AVG: een persoonsgegeven betreft alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon.

[11] Zoals gewijzigd bij wet van 5 september 2018, BS 10 september 2018.

[12] Die beperkingen zijn meer bepaald vervat in art. 11 §1 (recht op informatie), 11/1 §1 (recht op inzage), 11/2 §1 (recht op rectificatie) en 11/3 §1 (recht op beperking van de verwerking).

[13] Gelijkaardige bepalingen zijn art. 11/1 §2, 11/2 §2 en 11/3 §2 voor respectievelijk het recht op inzage, rectificatie en beperking van de verwerking van persoonsgegevens.

[14] Art. 11 §2 wet van 3 augustus 2012.

[15] Parl.St. Kamer nr. 53-2343/1, 12

[16] art. 11 e.v. wet van 3 augustus 2012

[17] In de wet van 3 augustus 2012 wordt enkel gepreciseerd dat de voorbereidende werkzaamheden niet langer mogen duren dan één jaar vanaf de ontvangst van een verzoek tot uitoefening van de rechten door een betrokkene. Maar er is geen maximumtermijn bepaald waarbinnen de controle of het onderzoek moet worden afgesloten (en waarna de rechten opnieuw kunnen worden uitgeoefend).

[18] T.w. een berisping op grond van artikel 58.2 b) AVG en artikel 100, §1, 5° WOG voor de inbreuken op de artikelen 11, 11/1, 11/2 en 11/3 §2 juncto §3 van de Wet van 3 augustus 2012 en de artikelen 14, 15, 16 en 18 AVG.

[19] Onder verwijzing naar het stromanschap werden er in hoofde van de klanten aanwijzingen van belastingontduiking weerhouden met de toepassing van de verlengde onderzoeks- en aanslagtermijn van zeven jaar tot gevolg.