Categorie: Beslissingen GBA
Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

 

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!