Categorie: Beslissingen GBA

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja


 

 


Beslissing

Beslissing 64/2020

Beslissing ten gronde nr. 34/2020 van 23 juni 2020

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

Beslissing ten gronde nr. 33/2020 van 19 juni 2020

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

 

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!