Tag: GBA
RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 169/2023 VAN 19 DECEMBER 2023

Betreft        

Na een klacht tegen het Bisdom Gent heeft de GBA bevolen dat het verzoek van de gedoopte moet ingewilligd worden om uit het doopregister van de parochie geschrapt te worden.

Context       

Verzoek tot wissing gegevens uit het doopregister

Rechtsgrond

Artikel 5.1.a) GDPR

Artikel 5.1.f) GDPR

Artikel 6 GDPR

Artikel 9.1 en 9.2 GDPR

Artikel 12.1, 12.3 en 12.4 GDPR

Artikel 13 GDPR

Artikel 15 GDPR

Artikel 17 GDPR

Feiten

De gedoopte verzocht op 22 maart 2021 het bisdom Gent om elke verwijzing naar zijn persoon uit elk fysiek of digitaal archief te schrappen.

Door de toenmalige Kanselier van het Bisdom werd hem meegedeeld dat de uittreding uit de Rooms-Katholieke Kerk op 24 maart 2021 werd opgeschreven op de lijst van kerkverlaters van de parochie Gent en dat de mogelijkheid bestaat om de aantekening in het doopregister persoonlijk te komen controleren.

De gedoopte meent hiermee geen genoegen te kunnen nemen. Hij betwist namelijk in eerste instantie ooit zelf een intrede in de kerk gemaakt te hebben aangezien hij door zijn ouders werd ingeschreven in het doopregister. Een uittrede kan dan ook niet plaatsvinden indien er nooit een intrede is geweest. Hij drong verder aan op de verwijdering van elk gegeven verwijzend naar zijn persoon, met inbegrip van informatie i.v.m. zijn uittreding uit de Rooms-Katholieke Kerk, uit alle fysieke of digitale register of archieven.

Diezelfde dag diende de gedoopte zijn klacht in.

Informatieverplichting

De betrokkenen worden geïnformeerd over de verwerkingen die plaatsvinden met betrekking tot de doop aan de hand van een formulier dat een privacyverklaring bevat. In verband met de verwerkingen van persoonsgegeven vermeldt dit formulier:

“Mijn persoonsgegevens evenals de gegevens van mijn kind mogen verwerkt worden in een bestand met het doel de doop, de eerste communie of het vormsel van mijn kind mogelijk te maken.”

Aangezien bevestigd werd dat dit de enige informatie is die wordt verschaft, oordeelt de Geschillenkamer dat het Bisdom Gent in overtreding is met de verplichting tot transparantie vervat in artikel 5.1.a) GDPR en de daarmee samenhangende verplichte specifieke informatie die volgens artikel 13 GDPR bij de verzameling van persoonsgegevens verstrekt moet worden.

Er wordt nergens in het formulier bovendien verwezen naar een privacyverklaring die online wel raadpleegbaar is. Overigens is zelfs niet in deze online privacyverklaring alle vereist informatie opgenomen. Zo is er bijvoorbeeld geen periode van opslag van de periode gegevens vermeld.

Artikel 12.1, 12.3 en 12.4 GDPR bevat nog de specifieke verplichting tot het verschaffen van deze informatie indien een verzoek conform de artikelen 15 t.e.m. 22 GDPR wordt ingediend. De mededeling die de gedoopte ontving n.a.v. van zijn verzoek beantwoordt hier niet aan:

Ik kan u meedelen dat uw uittreding uit de Katholieke Kerk werd genoteerd op de lijst van de kerkverlaters van de parochie Gent op 24 maart 2021. (1955 nr. 536) doopregister Toevlucht van Maria. Het staat u vrij deze aantekening persoonlijk in het doopregister te verifiëren.”

Het feit dat er wel een standaardantwoord bestaat, wat in deze kwestie niet aan betrokkene verzonden werd, en dat gedoopte niet verder aandrong bij het Bisdom Gent op de informatie, kan hier geen afbreuk aandoen. De verplichting bestaat eruit om dit reeds bij het eerste verzoek mee te delen en kan een betrokkene niet verplicht worden om nog bijkomende vragen hieromtrent te stellen alvorens de informatie te bekomen.

De geschillenkamer stelt dan ook een schending van artikel 12.4 GDPR vast.

Integriteit en vertrouwelijkheid

Het Bisdom Gent legt de nadruk op het feit dat de dooparchieven voorzien zijn van de nodige beveiligingsmaatregelen. De toegang tot deze archieven zou beperkt zijn tot de priester of een door hem gemachtigde en een afschrift zou alleen worden verstrekt op verzoek van de betrokkene zelf. De implementatie in de praktijk lig in handen van de priester van de betreffende parochie.

Aangezien de Geschillenkamer niet de mogelijkheid heeft om daadwerkelijk te controleren of deze maatregelen in de praktijk worden toegepast, oordeelt zij dat de technische en organisatorische maatregelen conform artikel 5.1.f) GDPR prima facie als adequaat worden beschouwd.

Rechtmatigheid van de verwerking

Aangezien het over de verwerking van bijzondere persoonsgegevens conform artikel 9.1 GDPR gaat, moet het Bisdom Gent een rechtsgrond conform artikel 6 GDPR én een uitzonderingsgrond uit artikel 9.2 GDPR kunnen aanwijzen vooraleer de verwerking rechtmatig zou kunnen zijn.

Het Bisdom Gent duidt het gerechtvaardigd belang conform artikel 6.1.f) GDPR aan als de rechtsgrond voor de verwerking.

Vaste rechtspraak van het Hof van Justitie van de Europese Unie heeft drie cumulatieve voorwaarden uitgewerkt alvorens een beroep op deze rechtsgrond gedaan kan worden, waarbij de verwerkingsverantwoordelijke moet aantonen dat:

  • de belangen die hij met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (‘de doeltoets’);
  • de beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (‘de noodzakelijkheidstoets’); en
  • de afweging van deze belangen tegen de fundamentele belangen, vrijheden en grondrechten van de betrokkenen in het voordeel van de verwerkingsverantwoordelijke of van een derde is (‘de afwegingstoets’).

Het doeleinde is het vermijden van identiteitsfraude m.b.t. het uitvoeren van de sacramenten.

De geschillenkamer stelt hierbij vast dat wanneer er uiting wordt gegeven aan een fundamenteel recht of vrijheid, hier vrijheid van godsdienst en van vereniging, dit als een gerechtvaardigd belang moet worden gezien. Bovendien is identiteitsfraude in overweging 47 van de GDPR opgenomen als mogelijk gerechtvaardigd belang. De doeltoets is voldaan.

De noodzakelijkheidstoets kan niet los gezien worden van het beginsel van doelbinding en het data minimalisatie-beginsel vervat in artikel 5.1.b) en 5.1.c) GDPR.

Hier blijkt het schoentje te wringen.

De registers bestaan immers enkel op papier en niet digitaal. Het Bisdom Gent is afhankelijk van de vrijwillige verstrekking van de nodige persoonsgegevens om te controleren of de relevante sacramenten nog niet zijn ondergaan. Interparochiale opzoekingen zijn des te meer afhankelijk van medewerking van de betrokkenen aangezien de doopregisters slechts per parochie worden bijgehouden. De doopregisters vermijden op zich dus geenszins dat een betrokkene tweemaal eenzelfde sacrament kan ondergaan. Bovendien is een doop onder voorwaarde een mogelijkheid indien er onzekerheid zou bestaan over de geldigheid. De noodzakelijkheidstoets blijkt op dit vlak al niet doorstaan te kunnen worden.

De annotatie die wordt gemaakt in het doopregister bestaat eruit aan te geven dat de betrokkene “op datum van uittreding de Kerkgemeenschap heeft verlaten”. In de praktijk gaat dergelijk verzoek tot uittreding vaak gepaard met verzoek tot schrapping uit alle registers. Bijkomende gegevens worden dus verwerkt en dus kunnen mogelijk nog gevoeliger geacht worden.

Eerder werd reeds geoordeeld dat het nagestreefde doel wel gerechtvaardigd is, maar de wijze waarop dit wordt nagestreefd is niet in overeenstemming met de noodzakelijkheidsvereiste. Het is immers geen waterdichte methode om de correcte status van een betrokkene na te gaan en te voorkomen dat tweemaal eenzelfde sacrament wordt toegediend.

Bovendien wordt niet een minimum aan persoonsgegevens bewaard. Het bijhouden van persoonsgegevens van de peter en meter, datum van uittreding is bijvoorbeeld niet noodzakelijk voor dit doel.

De geschillenkamer stelt dan ook een schending van het beginsel van doelbinding en data minimalisatie-beginsel vast (artikel 5.1.b) en 5.1.c) GDPR).

Tot slot moet er nog een afweging gemaakt worden tussen het gerechtvaardigde belang van het vermijden van identiteitsfraude en een dubbele doop en het recht op bescherming van persoonsgegevens van de gedoopte.

Het levenslang bewaren van de persoonsgegevens van de gedoopte is disproportioneel, ongeacht het feit dat het oorspronkelijke doel van de verwerking gerechtvaardigd is.

De geschillenkamer stelt dan ook vast dat er geen rechtsgrond voor de verwerking heeft in strijd met artikelen 5.1.a) en 6.1.f) GDPR aangezien zowel de noodzakelijkheidstoets als de afwegingstoets niet wordt doorstaan.

De geschillenkamer zet wel uitdrukkelijk de deur op een kier voor de mogelijkheid dat dergelijke verwerking wel gerechtvaardigd kan zijn indien voldoende aandacht wordt besteed aan het beginsel van dataminimalisatie en proportionaliteit.

Recht op rectificatie

De gedoopte meent dat de gegevens onjuist zijn aangezien hij op verzoek van zijn ouders gedoopt is en dus nooit zelf dit verzocht heeft. Dit zou resulteren in onjuiste gegevens die ge rectificeert moeten worden conform artikel 16 GDPR.

De (on)juistheid moet beoordeeld worden in verband met de specifieke doeleinden van de verwerking. De ouders hebben in dit kader de beslissingsbevoegdheid om hun kind(eren) op te laten nemen in een religieuze vereniging en hierbij is dan ook de gedoopt lid geworden van de Rooms-Katholieke kerk zodat er van onjuiste gegevens geen sprake is.

Het recht op rectificatie kan dan ook niet ingewilligd worden.

Recht op gegevenswissing

Er worden door het Bisdom Gent geen dwingende gerechtvaardigde gronden aangetoond voor de verwerking van alle persoonsgegevens zoals deze in het doopregister vermeld staan.

Het Bisdom Gent moet dan ook de gegevens zonder onredelijke vertraging wissen.

Uitspraak    

Bij deze uitspraak benadrukt de geschillenkamer dat de inbreuk een categorie van gevoelige persoonsgegevens betreft en dit om die van ernstige aard is. Evenwel houdt de geschillenkamer als “verzachtende omstandigheid” ook rekening met het feit dat de doopregisters niet vrij toegankelijk zijn voor het publiek en slechts sporadisch worden geraadpleegd op verzoek van de betrokkenen.

De Geschillenkamer stelt vast dat “de voortdurende verwerking van de persoonsgegevens van klager in de doopregisters ondanks zijn verzoek tot gegevenswissing een gedraging is die inbreuk uitmaakt op de artikelen 6.1 en 9 AVG, is het aan de orde corrigerende maatregelen te nemen lastens de verweerster. Voorts heeft de Geschillenkamer vastgesteld dat de informatieverplichtingen op grond van artikel 13 AVG niet zijn nageleefd. De verweerster handelt tevens in overtreding met artikel 17 AVG, tezamen gelezen met artikel 12 AVG.”

De Geschillenkamer berispt het Bisdom Gent voor het gebrek aan duidelijke informatie aan de betrokkenen en de weigering om het verzoek tot gegevenswissing uit te voeren. Hierbij werd rekening gehouden met het coöperatief samenwerken van het Bisdom Gent met de Geschillenkamer. Het opleggen van een geldboete zou onevenredig zijn.

Het Bisdom Gent krijgt bovendien 30 dagen om volgende maatregelen te nemen om de verwerking van persoonsgegevens in overeenstemming met de bepalingen van de GDPR te brengen:

  • terdege en onverwijld gevolg te geven aan het verzoek tot gegevenswissing van de klager overeenkomstig artikel 17 GDPR (artikel 58.2.b) GDPR en artikel 100, §1, 6°, WOG);
  • om de verwerkingen van de persoonsgegevens van kerkverlaters in hun huidige vorm te staken overeenkomstig artikel 21.1 AVG (artikel 59.2.b) GDPR en artikel 100, §1, 8°, WOG).

Het Bisdom Gent moet eveneens alle gezamenlijke verwerkingsverantwoordelijken van deze beslissing en bevel in kennis stellen en benadrukken dat de huidige rechtsgronden niet overeenstemmen met de GDPR.

Gelet op het bredere belang van de beslissing alsook voor het goed begrip worden de identificatiegegevens van het Bisdom Gent bekendgemaakt.

Onze mening         

De geschillenkamer onderzoekt terecht grondig of de cumulatieve voorwaarden voor het toepassen van de rechtsgrond van het gerechtvaardigde belang werd voldaan.

Deze beslissing maakt nogmaals duidelijk dat het beoogde doel perfect legitiem kan zijn, maar dat vervolgens steeds de nodige aandacht besteed moet worden aan de noodzakelijkheid en proportionaliteit van de vervolgens toegepaste verwerkingen om dit doel te bereiken.

Uit de feitelijkheden van deze kwestie wordt duidelijk dat het Bisdom Gent hier niet de nodige aandacht aan heeft besteed en om die reden is de beslissing dan ook terecht.

Beslissing

Beslissing 169/2023

Definitief?  

Nee, procedure in hoger beroep voor het Marktenhof is nog hangende.

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 15/2021 VAN 9 FEBRUARI 2021

Betreft        

Een consultant legt een klacht neer tegen het IT-adviesbureau waarbij hij werkte omdat hem de volledige inzage tot zijn persoonsgegevens werd geweigerd.

Context       

Verzoek tot inzage van werknemer bij werkgever in de IT-adviessector

Rechtsgrond

Artikel 15 GDPR

Feiten

De klager trad in juni 2008 als werknemer in dienst bij de verweerder die actief is in de IT-adviessector. Hij vervulde later de functie van senior consultant. Vanaf 2015 was de consultant regelmatig afwezig. In 2016 wordt hij verkozen tot vertegenwoordiger van de werknemers. Een jaar later start zijn werkgever, het IT-adviesbureau een procedure voor de arbeidsrechtbank omdat de consultant informatie op een privéblog zou bekendmaken die door het IT-adviesbureau nog niet officieel was gemaakt. Hiermee weigerde hij te stoppen, ondanks het verzoek hiertoe.

Het arbeidshof oordeelde in haar arrest van 21 juni 2018 dat het IT-adviesbureau de consultant niet op ernstige gronden kan ontslaan.  De consultant zette zijn functie vanaf 27 juni 2018 weer verder. Hij richtte vervolgens op 12 juli 2018 een verzoek tot uitoefening van zijn recht van  inzage  en/of  kopie  van  alle  over  hem  geregistreerde  persoonsgegevens.

De consultant was van oordeel dat hier ontoereikend op werd geantwoord en stelde op 2 oktober 2018 een klacht in. Hierbij wees hij er nog op dat door het IT-adviesbureau foto’s van haar werknemers nam op bedrijfsevenementen en deze zomaar op het intranet van het bedrijf publiceerde, zonder hiervoor toestemming te vragen.

Op  18  januari  2019  zou de arbeidsrelatie tussen de partijen beëindigd zijn via een transactieovereenkomst.

Beoordeling

De Geschillenkamer benadrukt dat het niet haar rol is om andere rechtbanken te vervangen bij de uitoefening van hun bevoegdheden, hier doelend op het arbeidsrecht. Zij spreekt zich dan ook enkel uit over de naleving van de regelgeving die van toepassing is op de gegevensverwerking en niet over bijvoorbeeld de naleving van de transactieovereenkomst tussen de partijen.

Volgens artikel 15.1 van de GDPR heeft de betrokkene recht op inzage. Wat betekent dat deze van de verwerkingsverantwoordelijke  verduidelijking mag krijgen of er persoonsgegevens van hem verwerkt worden. Indien dat het geval is, heeft de betrokkene het recht om hiervan inzage te verkrijgen en om bepaalde bijkomende informatie over die verwerking te bekomen (artikel 15.1 a) – h) GDPR) zoals bijvoorbeeld het  doeleinde  van  de  verwerking  van  de  gegevens  en  de  eventuele  ontvangers  van  de gegevens,  evenals  informatie  over  het  bestaan  van  zijn  rechten,  waaronder  het  recht  om rectificatie of wissing van zijn gegevens te vragen, of om een klacht bij de GBA in te dienen.  Zie meer in detail ons eerder artikel over het recht op inzage hier.

Concreet vroeg de consultant aan het IT-adviesbureau om alle geregistreerde persoonsgegevens over hem mee te delen, en in het bijzonder wenste hij informatie over de redenen, doeleinden, bewaartermijnen, … voor ieder bewaard persoonsgegeven. Hij maakte ook duidelijk dat zijn verzoek betrekking had op inzage en kopie van zijn persoonsgegevens, namelijk:

  • alle evaluaties die op hem betrekking hebben;
  • alle foto’s waarop hij zou kunnen worden geïdentificeerd;
  • een kopie van de e-mails in zijn mailbox;
  • elke notitie, aantekening, opmerking die deel uitmaakt van zijn personeelsdossier;
  • de hem betreffende IT-logs;
  • een overzicht van zijn persoonsgegevens, met inbegrip van de doeleinden van de verwerking en de ontvangers van de gegevens;
  • de inhoud van de persoonsgegevens over hem die door de verweerder worden verwerkt;
  • cv’s die hem betreffen;
  • zijn door de verweerder geregistreerde pasfoto’s.

Meerdere malen stuurde de consultant dat hij het antwoord onvolledig vond.

Uiteindelijk volgt het volgende antwoord van het IT-adviesbureau: “Een  kopie  van  alle  persoonsgegevens waartoe jij geen toegang hebt en waarvan we je een kopie moeten geven, is naar jou verstuurd. Dit punt is dus wat ons betreft afgesloten”.

Het IT-adviesbureau betwist niet dat geweigerd werd om gevolg te geven aan het verzoek om inzage zoals door de klager in zijn e-mail van 24 september 2018 is gepreciseerd.

Wat betreft de weigering van het recht op inzage van de aantekeningen en opmerkingen in het personeelsdossier van de consultant baseer het IT-adviesbureau zich op artikel 15.4 GDPR. De inzage van die gegevens zou een inbreuk vormen op de bescherming van de persoonsgegevens van de voormalige leidinggevenden en de personeelsverantwoordelijke die auteur zijn van die aantekeningen en opmerkingen.

De Geschillenkamer spreekt niet tegen dat dergelijke aantekeningen persoonsgegevens van de leidinggevenden en personeelsverantwoordelijke betreffen.

Er moet een afweging gemaakt worden tussen het recht op inzage van de consultant en de rechten en vrijheden van deze leidinggevenden en personeelsverantwoordelijke.

Die afweging mag er wel niet toe leden dat geen enkele informatie wordt meegedeeld.

Het IT-adviesbureau had de persoonsgegevens van anderen kunnen anonimiseren om zo correct gevolg te geven aan het verzoek tot inzage.

Door te weigeren gevolg te geven aan het verzoek  van de consultant om inzage van de aantekeningen in zijn personeelsdossier, werden de artikelen 15.1 en 15.3 GDPR geschonden.

Wat betreft de weigering om inzage te leveren van de IT-logs m.b.t. de consultant wordt dan weer géén schending vastgesteld door de Geschillenkamer aangezien dit onevenredige verplichtingen en buitensporige lasten aan het IT-adviesbureau zou opleggen aangezien hiervoor een periode van 2008 tot 2019 helemaal zou moeten doorzocht worden.

Met betrekking tot de beweerde onrechtmatige weigering tot inzage  van de evaluaties wordt dit ook door de Geschillenkamer verworpen aangezien er sinds 2013 geen evaluatie meer was geweest omwille van de regelmatige afwezigheid van de consultant.

Vervolgens kan het IT-adviesbureau zich op het zakengeheim beroepen om geen inzage toe te staan in de e-mailcorrespondentie. Hiervoor wordt wel benadrukt dat het zakengeheim restrictief geïnterpreteerd moet worden steeds concreet per geval.

Tot slot wordt het argument omtrent de recht om kopie te krijgen van foto’s waarop de consultant identificeerbaar zou zijn, afgewezen aangezien hij geen bewijs leverde van het bestaan of de verspreiding van dergelijke foto’s van hem.

Uitspraak    

Aangezien de aantekeningen in personeelsdossier reeds verwijderd werden kan een verplichting tot uitvoering van het recht op inzage niet meer opgelegd worden en wordt volstaan met het IT-adviesbureau op te leggen de Geschillenkamer een verklaring op eer toe te zenden van het feit dat de aantekeningen in het personeelsdossier over consultant zijn verwijderd na zijn verzoek om inzage.

Daarnaast wordt opgelegd om de verwerking in verband met de aantekeningen in de personeelsdossiers van het personeel in overeenstemming te brengen met artikel 15 van de GDPR.

Onze mening         

Wederom is duidelijk dat een correct gevolg geven aan de uitoefening van de rechten door betrokkenen een zeer cruciaal aspect is van de GDPR.

Uit deze beslissing wordt duidelijk dat niet zomaar aan de naleving van het recht op inzage kan worden ontsnapt, ook al is dit omwille van de juiste intenties (beschermen rechten en vrijheden van anderen). Het anonimiseren had in dit verband kunnen volstaan als bescherming van deze rechten en vrijheden van anderen en zo zou een evenwichtige balans gevonden zijn met het recht op inzage.

De Geschillenkamer overweegt terecht dat dit de eerst sanctie van het IT-adviesbureau was en legt geen boete op.

Beslissing

Beslissing 15/2021

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 81/2020 VAN 23 DECEMBER 2020

Betreft       

Een parkeerwachter en een gerechtsdeurwaarder worden geconfronteerd met een klacht bij de GBA door een foutparkeerder naar aanleiding van de invordering van de onbetaald gebleven parkeerboete. Uiteindelijk zal de gerechtsdeurwaarder hoger beroep instellen bij het marktenhof.

Context      

Parkeerwachter & Gerechtsdeurwaarder

Rechtsgrond

Artikel 5.1.c) GDPR

Artikel 5.2 GDPR

Artikel 6 GDPR

Artikel 12 GDPR

Artikel 14 GDPR

Artikel 15 GDPR

Artikel 24 GDPR

Feiten

De  eerste  verweerder  is  een  bedrijf  dat  gespecialiseerd  is  in het innen van vergoedingen en boetes i.v.m. “straatparkeren”.  Zij is dus “parkeerwachter” en voert controle uit op de straten in de betreffende gemeente.

De tweede verweerder is een kantoor van Gerechtsdeurwaarders waarbij de parkeerwachter cliënt is o.a. met betrekking tot onbetaalde parkeergelden.

Op 2 januari 2019 parkeerde de foutparkeerder zijn voertuig onrechtmatig in een van de straten onder controle door de parkeerwachter

De foutparkeerder zou geen blauwe schijf in de parkeerzone van 30 minuten achter zijn voorruit hebben geplaatste en een uitnodiging tot betaling werd op zijn vooruit geplaatste door de parkeerwachter.

De foutparkeerder betwist dit ontvangen te hebben, net zoals de herinnering die op 24 januari 2019 volgens de parkeerwachter verzonden zou zijn geweest.

Omwille van de niet-betaling werd het dossier overgemaakt aan de gerechtsdeurwaarder. Deze verzond een aanmaning op 25 februari 2019 met alle gebruikelijke bijkomende kosten toegepast.

Op  3  maart  2019  heeft  foutparkeerder  de gerechtsdeurwaarder verzocht om uitleg en stelde hij nooit de uitnodiging tot betaling of aanmaning te hebben ontvangen. Tegelijk maakt hij bezwaar tegen betaling van de boete.

Voorts stelt hij de rechtsgrond voor toegang tot het DIV en het rijksregister in vraag. Tot slot oefent hij zijn recht van inzage uit (artikel 15 GDPR). Dezelfde verzoeken stelde hij t.a.v. de parkeerwachter.

De parkeerwachter volstond met het antwoord “Regel het met de gerechtsdeurwaarder”.

Op 2 april verschafte de gerechtsdeurwaarder de foutparkeerder van antwoord. Hierbij maakte de gerechtsdeurwaarder bepaald informatie over met betrekking tot het verzoek tot inzage en de gegevens die hij verwerkt alsook over de door de parkeerwachter uitgevoerde verwerkingshandelingen.

Na verdere briefwisseling stelde de foutparkeerder een klacht in op 15 mei 2019 tegen zowel de parkeerwachter als de gerechtsdeurwaarder.

Deze klacht omvat:

t.a.v. de parkeerwachter:

  • een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
  • een schending van zijn recht op toegang (artikel 15 van de GDPR);
  • een schending van artikel 28 van de GDPR gelet op de hoedanigheid van verwerker van de tweede verweerder;
  • een schending van artikel 5 van de GDPR (naleving van het noodzakelijkheidsbeginsel gelet op de raadpleging van de DIV);
  • een schending van het proportionaliteitsbeginsel en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) gelet op de mededeling van zijn gegevens aan de tweede verweerder;
  • een schending van het beginsel van de minimale gegevensverwerking (artikel 5 van de GDPR) gelet op het feit dat een foto werd genomen van zijn voertuig tijdens de vaststelling van de parkeerovertreding.

 

t.a.v. de gerechtsdeurwaarder:

  • een schending van zijn recht op informatie (artikelen 12 en 14 van de GDPR);
  • een schending van zijn recht op toegang (artikel 15 van de GDPR);
  • een schending van artikel 28 van de GDPR gelet op zijn hoedanigheid van verwerker;
  • een schending van het beginsel inzake proportionaliteit en onrechtmatig hergebruik van gegevens (artikelen 5 en 6 van de GDPR) die hij ontving van de eerste verweerder ook al zou daar geen rechtsgeldige basis voor zijn;
  • een schending van het beginsel van minimale gegevensverwerking en het inwinnen van de verplichte toestemming (artikelen 5 en 6 van de GDPR) gelet op het formulier gevoegd bij de aanmaning tot betaling.

De foutparkeerder vraagt in zijn klacht bovendien dat de parkeerwachter en de gerechtsdeurwaarder veroordeeld worden tot een straf die in verhouding is met de ernst van de feiten, waarbij rekening moet gehouden worden met het doel en de omvang van hun beroepsactiviteit, welke een groot aantal burgers treft.

Daarnaast vordert de foutparkeerder dat de beslissing op niet-anonieme wijze bekendgemaakt wordt om zo de illegale praktijken i.v.m. het beheer van de parkeergelden aan het publiek duidelijk te maken.

Soevereine beoordeling geschillenkamer

Voorafgaandelijk benadrukt en herinnert de Geschillenkamer eraan dat zij niet gebonden is door de vaststelling van de inspectiedienst. Zij heeft de mogelijkheid om op basis van alle documenten en argumenten die zijn voorgelegd in het tegensprekelijk debat. Zo kan de geschillenkamer oordelen over inbreuken die niet per se in het inspectieverslag aan bod kwamen.

Voorts benadrukt de geschillenkamer dat zij in de loop van de procedure de juridische kwalificatie uit de klacht kan wijzigen of nieuwe feiten kan onderzoeken, mits partijen de kans hebben gehad om over deze juridische kwalificatie of feiten standpunt hebben kunnen innemen.

Hoedanigheid van parkeerwachter en gerechtsdeurwaarder

De Geschillenkamer bepaalt zeer duidelijk dat zowel de parkeerwachter als de gerechtsdeurwaarder te kwalificeren zijn als verwerkingsverantwoordelijken. Zij komen elks op een onderscheiden moment in de minnelijke invordering tussen. Zij kunnen niet als gezamenlijke verwerkingsverantwoordelijke gezien worden aangezien dit een gezamenlijke bepaling van zowel het doel als de middelen van de verwerking noodzaakt, wat hier niet zo is. Zij voeren opeenvolgende verwerkingen uit waarbij een deel van de gegevens overlappen, maar nooit het doel en de middelen gezamenlijk worden vastgesteld. De Geschillenkamer snapt wel de verwarring bij de foutparkeerder gelet op de werkwijze en communicatie vanwege de parkeerwachter en de gerechtsdeurwaarder waaruit dit niet duidelijk blijkt.

Beoordeling t.a.v. de parkeerwachter

  • Informatieplicht

In  zijn  hoedanigheid  van  verwerkingsverantwoordelijke  moet  de  parkeerwachter  de artikelen 12, 13 en  14  van de GDPR ten uitvoer leggen en deze effectieve tenuitvoerlegging  kunnen aantonen (artikel 5.2 en 24 van de GDPR). Overeenkomstig artikel 12.1 van de GDPR is de eerste verweerder immers verantwoordelijk voor het nemen van passende maatregelen om de in de artikelen 13 en 14 van de GDPR bedoelde informatie op beknopte,  transparante,  begrijpelijke  en  gemakkelijk  toegankelijke  wijze  in  duidelijke  taal te verstrekken.

In casu was de eerste verweerder, aangezien de gegevens niet rechtstreeks bij  de  foutparkeerder  werden  verzameld,  verplicht  hem  informatie  te  verstrekken  over  de  verwerking  van gegevens die op hem betrekking hadden in het kader van de inning van de verschuldigde vergoeding. Aangezien het privacy beleid van de eerste verweerder geen betrekking heeft op de invordering van schulden schendt deze laatste zijn informatieplicht uit artikel 14 GDPR. Bovendien werden de termijnen uit artikel 12.3 GDPR niet gerespecteerd, net als de verplichting om de contactgegevens van de DPO ter beschikking te stellen aan de betrokkenen (artikel 12.1 GDPR).

  • Recht van inzage

Krachtens artikel 15 van de GDPR heeft elke betrokkene het recht om van de verwerkingsverantwoordelijke uitsluitsel te  verkrijgen  over  het  al  dan  niet  verwerken van hem betreffende  persoonsgegevens  en,  wanneer  dat  het  geval  is,  om  inzage  te  verkrijgen  van  die persoonsgegevens en van de opgesomde informatie in artikel 15.13. a) tot h) van de GDPR.

De Geschillenkamer kwam in dit verband tot het besluit dat de parkeerwachter het verzoek van de foutparkeerder niet op een bevredigende manier heeft ingewilligd doordat hij zijn verantwoordelijkheid steevast trachtte door te schuiven naar de gerechtsdeurwaarder, wat blijkbaar een vaste praktijk was vanaf dat een dossier aan de gerechtsdeurwaarder werd overgemaakt. Hij kan zo echter niet ontsnappen aan zijn verantwoordelijkheden als verwerkingsverantwoordelijke om tijdig en volledig te antwoorden op het verzoek. Bovendien kwam hij zijn verplichting niet na om de uitoefening van de rechten van betrokkenen te vergemakkelijken (artikel 12.3 GDPR), er was geen duidelijke en eenvoudige procedure voor dit verzoek in voege.

  • Minimale gegevensverwerking

Gezien het feit dat de parkeerwachter de DIV heeft geraadpleegd vóór het verstrijken van de termijn voor de spontane betaling van het gevorderde bedrag van de vergoeding, begaat de eerste verweerder een inbreuk op het beginsel van de minimale gegevensverwerking conform artikel 5.1.c) GDPR. Volgens dit principe dienen persoonsgegevens toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het voortijdig raadplegen van de DIV door de parkeerwachter was met helemaal niet noodzakelijk aangezien de foutparkeerder nog steeds binnen de termijn kon betalen.

Wat betreft de praktijk dat de werknemers van de parkeerwachter foto’s nemen van het voertuig, de nummerplaat als ook de vooruit (om aan te tonen dat er geen parkeerbewijs voorhanden is), wijst de Geschillenkamer erop dat op deze praktijk met aandacht voor de GDPR moet gebeuren en niet de minimale gegevensverwerking te buiten moet gaan. Zonder vast te stellen dat dit beginsel met het oog op de bewijsvoering dat door de parkeerwachter bij discussies moet gebeuren, benadrukt de Geschillenkamer dat de gegevens niet het relevante doel mogen overschrijden.

  • Passende technische en organisatorische maatregelen

Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.

Gezien de voorgaande inbreuken van de parkeerwachter, besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen. Er waren niet de nodige procedures in plaats opdat de foutparkeerder zijn rechten efficiënt kon uitoefenen, noch waren er voldoende maatregelen zodat de voortijdige raadpleging van het DIV kon worden voorkomen.

Beoordeling t.o.v. de gerechtsdeurwaarder:

  • Informatieplicht

De foutparkeerder verwijt gerechtsdeurwaarder dat hij hem niet overeenkomstig de vereisten van artikel 14 GDPR heeft ingelicht toen hij voor het eerst contact met hem opnam. De gerechtsdeurwaarder tracht zich echter op de uitzondering van artikel 14.5.c) van de GDPR te beroepen. Deze uitzondering bestaat erin dat de de verwerkingsverantwoordelijke wordt vrijgesteld van zijn informatieplicht voor zover het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke  van  toepassing  is, en voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

Hij baseert zich hiervoor op het gemeentelijk reglement.

De Geschillenkamer besluit dat de gerechtsdeurwaarder zich niet kan beroepen op de vrijstelling aangezien het gemeentelijk regelement waarop deze laatste zich steunt, op geen enkele wijze ingaat op aspecten van gegevensbescherming. Het rechtskader van het beroep van gerechtsdeurwaarder en de eerbiediging van de ethische regels zijn op zich niet voldoende om passende garanties te bieden op het gebied van gegevensbescherming in de zin van artikel 14.5.c) van de GDPR. De gerechtsdeurwaarder schendt met andere woorden zijn informatieplicht in strijd met artikel 14.1 en 2. j° 12.3 GDPR.

  • Toestemming

Een toestemming kan maar geldig worden gegeven als deze vrij, specifiek, geïnformeerd en ondubbelzinnig plaatsvindt. Het betalingsformulier van de gerechtsdeurwaarder verweerder was echter zo opgesteld dat er een duidelijk machtsonevenwicht bestond. De indruk werd opgewekt dat dit formulier ingevuld moest worden. De toestemming kan met andere woorden niet als vrij worden gekwalificeerd waardoor deze in strijd is met artikel 4.11 GDPR. Bijgevolg kan de gerechtsdeurwaarder zich onder die omstandigheden hierop niet beroepen als de rechtmatigheidsgrond voor de verwerking (artikel 6.1.a) GDPR).

Met betrekking tot de naleving van het beginsel van de minimale gegevensverwerking (artikel 5.1. c),  van  de  GDPR)  merkt  de  Geschillenkamer  ook  op  dat  met  betrekking  tot  de verschillende gegevens die onder “Uw contactgegevens” worden gevraagd in het formulier, nergens met een sterretje of andere aanduiding staat aangegeven dat de betrokkene vrij is om een van de communicatiemiddelen  te  kiezen  (telefoonnummer,  mobiel  telefoonnummer,  e-mailadres)  en  dat sommige  gegevens  dus  facultatief  zijn. Ook artikel 5.1.c)  (minimale gegevensverwerking) van de GDPR werd niet nageleefd.

  • Passende technische en organisatorische maatregelen

Uit artikel 5.2 j° 24.1. en 2. GDPR volgt de verplichting van de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen zodat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de GDPR.

Gezien de voorgaande inbreuken van de gerechtsdeurwaarder besluit de Geschillenkamer dat deze niet de vereiste maatregelen heeft genomen om de daadwerkelijke uitoefening van de rechten van de betrokkenen in acht te nemen.

Overwegingen in verband met de sancties

De Geschillenkamer gaat er prat op dat zij bij het opleggen van de sancties altijd alle relevante omstandigheden in overweging neemt.

T.o.v. de parkeerwachter zijn die overwegingen als volgt:

  • Er gebeurden reeds voorafgaand aan de beslissing toezeggingen om aan de inbreuken te verhelpen;
  • Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
  • De parkeerwachter is deel van een grote groep van ondernemingen, deze omzet wordt in aanmerking genomen;
  • Groot aantal personen zijn getroffen door de inbreuken aangezien deze tot de dagelijkse praktijk van de parkeerwachter behoren;
  • De inbreuken hebben minstens sinds 25 mei 2018, met uitzondering van inbreuk op artikel 5.1.c) GDPR;
  • Gedurende de gehele procedure heeft de parkeerwachter met de GBA samengewerkt;
  • Geen opzettelijke inbreuken.

T.o.v. de gerechtsdeurwaarder zijn die overwegingen als volgt;

  • Gerechtsdeurwaarder heeft voorgesteld bepaalde wijzigingen in praktijk aan te brengen;
  • Schendingen vonden plaats van de grondbeginselen van de GDPR (minimale gegevensverwerking en accountability);
  • Gerechtsdeurwaarder zou zwaar getroffen zijn door covid-19 en toekomstige omzet 2020 en 2021 zou niet in verhouding staan met voorgaande omzet;
  • Groot aantal personen zijn getroffen door de inbreuken;
  • De voorbeeldfunctie van een gerechtsdeurwaarder;
  • Inbreuken duren minstens sinds januari 2019;
  • Geen opzettelijke inbreuken;
  • De gerechtsdeurwaarder heeft meegewerkt tijdens de procedure.

 

Uitspraak   

T.a.v. de parkeerwachter:

Volgende inbreuken worden vastgesteld:

  • Niet nakomen informatieplicht;
  • Niet nakomen van verplichting gevolg te geven aan recht op inzage/toegang;
  • Niet nakomen van verplichting van minimale gegevensverwerking bij voorbarige raadpleging van DIV;
  • Niet nakomen van verplichting om passende technische en organisatorische maatregelen te nemen;

Volgende sancties worden opgelegd:

  • Een berisping;
  • Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en inzage/toegang. Hierbij moet de parkeerwachter de GBA binnen een termijn van drie maanden in kennis stellen van zowel zijn privacybeleid dat van toepassing is als zijn informatieclausule(s) en de procedure die is ingesteld om te reageren op de uitoefening van het recht op inzage/toegang;
  • Een administratieve boete van € 50.000.

T.a.v. de gerechtsdeurwaarder:

Volgende inbreuken worden vastgesteld:

  • Niet nakomen informatieplicht;
  • Het ontbreken van een rechtsgrondslag voor het verzamelen van gegevens via het formulier bij de aanmaning tot betaling en niet in acht nemen beginsel van minimale gegevensverwerking;
  • Niet naleven van artikelen 5.2 en 24.1-2 GDPR

Volgende sancties worden opgelegd:

  • Een berisping;
  • Een nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en de rechtsgrondslag voor het formulier bij de aanmaning tot betaling. Hierbij moet de gerechtsdeurwaarder de GBA in kennis stellen binnen een termijn van drie maanden van zowel zijn privacy beleid dat van toepassing is, als zijn informatieclausule(s) en van de wijze waarop hij voornemens is te reageren op de inbreuken in verband met het formulier;
  • Een administratieve boete van € 15.000.

Onze mening        

Terecht oordeelt de Geschillenkamer dat de parkeerwachter en de gerechtsdeurwaarder beide verwerkingsverantwoordelijken zijn voor hun opeenvolgend optreden in verband met de inning en invordering van de boete.

De parkeerwachter kan dan ook niet volstaan met te verwijzen naar de gerechtsdeurwaarder voor de uitoefening van de rechten van de betrokkene.

Omwille van de gebrekkige transparantie en het ontbreken van een duidelijke procedure voor de uitoefening van de rechten, is de concrete opeenvolgende rol van beide ook niet duidelijk t.o.v. de betrokkene.

Beide maken verschillende inbreuken op de GDPR, waaronder een aantal basisbeginselen; minimale gegevensverwerking, transparantie, voorzien van passende en technische en organisatorische maatregelen..

De boetes lijken ons dan ook terecht gelet op eerdere rechtspraak van de Geschillenkamer en de parkeerwachter en gerechtsdeurwaarder zullen hun procedures aanzienlijk moeten aanpassen om GDPR-proof te zijn. Het blijkt echter dat het marktenhof in hoger beroep milder is en herinnert aan de vereiste proportionaliteit van sancties. (zie onder)

Beslissing

Beslissing 81/2020

Definitief?  

Nee, arrest marktenhof dd. 26.05.2021.

Arrest Hof van beroep, afdeling marktenhof van 26 mei 2021

 

De gerechtsdeurwaarder tekende hoger beroep aan tegen de beslissing van 23 december 2020 bij het Marktenhof (afdeling van het hof van beroep te Brussel).

De gerechtsdeurwaarder vorderde hierbij in hoofdorde dat wat betreft haar veroordeling de beslissing vernietigd wordt én dat de GBA wordt veroordeeld om de administratieve boete van € 15.000 die werd betaald, terug te betalen. Ondergeschikt vorderde de gerechtsdeurwaarder om indien de veroordeling bevestigd zou worden, de boete om te vormen tot een loutere berisping.

Algemene overweging

Het Marktenhof herinnert er in eerste instantie aan dat het beroep ingesteld bij haar geen “gewoon hoger beroep” is. Het Marktenhof kan enkel de regelmatigheid en wettelijkheid toetsen. Wat betreft de grond van de zaak beperkt het Marktenhof haar onderzoek dan ook tot het nagaan of de feiten correct zijn voorgesteld en indien er geen sprake is van een kennelijke beoordelingsfout of indien de juridische kwalificatie van de feiten juist is.

Bepaalde grieven die werden aangevoerd, kunnen dan ook geen gevolg aan gegeven worden aangezien ze niet binnen de beoordelingsbevoegdheid van het Marktenhof vallen.

Vernietiging boete

Het Marktenhof oordeelt dat de beslissing van de GBA enkel op het punt van het opleggen van een boeten van € 15.000,00 vernietigd dient te worden.

Het Marktenhof herinnert eraan dat het fundamentele doel van de Europese wetgeving niet is om sancties op leggen onder de vorm van boetes voor de geringste inbreuk. Het werkelijke doel is de bescherming van persoonsgegevens.

Het loutere feit dat de vastgestelde inbreuken de fundamentele beginselen betreffen waarvoor de hoogste boetes opgelegd kunnen worden, volstaat niet om de proportionaliteit hiervan te verantwoorden. Het loutere feit dat in het verleden als verzwarende factor de publieke hoedanigheid van een verweerder werd opgenomen, verantwoordt niet op zich waarom dit hier ook zo zou zijn. Er bestaat geen bindende precedentenleer voor de GBA. Er moet steeds geval per geval een beoordeling gebeuren.

Het Marktenhof wijst op het feit dat het een eenmalig voorval betrof dat beperkt is in duur. Daarnaast is de inbreuk theoretisch aangezien het niet betwist wordt dat de betrokkene het formulier waarop de klacht betrekking heeft, niet heeft teruggestuurd.

De GBA heeft verscheidene elementen vastgesteld die erop wijzen dat de gerechtsdeurwaarder op geen enkele wijze een intentie tot het miskennen van de principes van de GDPR heeft gemanifesteerd en de inbreuk die begaan werd louter een  gevolg is van nalatigheid of zelfs maar een eenvoudige onoplettendheid.

De ingesteldheid die leunt naar het opleggen van een boete bij de eerste inbreuk stemt niet overeen met de principes van de GDPR. De sanctionering dient gradueel te gebeuren in functie van de zwaarte van de inbreuken. Het Marktenhof geeft als voorbeeld volgende gradatie:

  1. Een berisping of een aanmaning aan het overtredende bedrijf, waarin het wordt herinnerd aan zijn plicht om ervoor te zorgen dat de verwerking van gevoelige gegevens in overeenstemming is met de GDPR;
  2. Bevel om inbreuk te staken;
  3. (in bepaalde gevallen): tijdelijke beperking of opschorting van gegevensverwerking;
  4. administratieve sancties voor niet-naleving van de GDPR-regels.

Het Marktenhof oordeelt dat de GBA door het opleggen van een boete vanaf de eerste inbreuk het principe van proportionaliteit van de sancties miskent. Hoewel de geschillenkamer van de GBA in haar motivering had gewezen op het ontbreken van opzet bij de inbreuken en de reële bereidheid om haar praktijken in overeenstemming te brengen met de GDPR, laat zij na laat om rekening te houden met de noodzaak van proportionaliteit die namelijk inhoudt dat rekening gehouden moet worden met het vermoeden van goede trouw, waarvan de gerechtsdeurwaarder had moeten kunnen genieten.

Er zijn geen aanwijzingen dat de berisping en bevel tot naleving opgelegd aan de gerechtsdeurwaarder niet voldoende zou zijn geweest. Het fundamentele beginsel van proportionaliteit van de sanctie werd miskend.

Het Marktenhof vernietigt dan ook de bestreden beslissing, doch énkel wat betreft het opleggen van een geldboete van € 15.000.

 

Arrest

Arrest marktenhof 26 mei 2021

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 81/2023 VAN 22 JUNI 2023

Betreft       

Er werden camera’s geplaatst bij een glasbak  van een gemeente teneinde sluikstorten tegen te gaan.

Context

Bewakingscamera’s geplaatst door een gemeente.

Rechtsgrond

Artikel 5 lid 1, a), artikel 6 lid 1, artikel 24 en artikel 30 GDPR.

Artikel 65 Camerawet en artikelen 1 en 4 Koninklijk Besluit van 10 februari 2008 tot vaststelling van de wijze waarop wordt aangegeven dat er camerabewaking plaatsvindt.

Feiten en beoordeling

N.a.v. het laten staan van enkele lege flessen naast de glasbak, ontving de sluikstorter een brief van de tweede verweerder, waarin stond dat hij hiermee een overtreding begaan zou hebben. Tweede verweerder is de camera-beheerder die op instructie van eerste verweerder, de gemeente, deze bewakingscamera heeft geplaatst en het beheer hiervan heeft. In dit kader treedt de tweede verweerder op als verwerker in het kader van het uitschrijven van een GAS-boete op basis van de camerabeelden.

Op 1 februari 2021 werd door de sluikstorter een klacht ingediend tegen de camerabeheerder. Daarbij stelt hij o.a. in vraag of de bewakingscamera rechtsgeldig werd geplaatste. Op basis van dit beeldmateriaal werd hem namelijk een GAS-boete opgelegd.

De Geschillenkamer komt op basis van de klacht en het antwoord van de klager op de vragen van de inspectiedienst, tot de vaststelling dat deze gericht zijn tegen de camerabeheerder. De inspectiedienst besluit echter dat de gemeente de verwerkingsverantwoordelijke is voor de bewakingscamera en de camerabeheerder optreedt als verwerker i.v.m. het uitschrijven van GAS-boetes op basis van de camerabeelden. Dit werd niet betwist door de partijen en de gemeente moet dan ook als verwerkingsverantwoordelijke en de camerabeheerder als de verwerker gekwalificeerd worden.

Door de Geschillenkamer wordt geoordeeld dat de verwerking van persoonsgegevens door deze bewakingscamera aan de glasbak op rechtmatige wijze gebeurt.

Deze verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag van de verwerkingsverantwoordelijke. Meer specifiek bestaat deze taak van algemeen belang uit het voorkomen en bestrijden van sluikstorten, zwerfvuil en de bescherming van de openbare netheid en gezondheid. Op artikel 9.3 van de algemene politieverordening van de gemeente wordt gewezen, waarin wordt bepaald dat een houder van een kentekenplaat steeds kan aantonen wie werkelijk met het voertuig reed op moment van de overtreding. Bij afwezigheid van dergelijk verweer, wordt de boete opgelegd aan de houder van de kentekenplaat. Tot slot zou de privacyverklaring van de gemeente alle betrokkenen voldoende informeren over het feit dat persoonsgegevens in het kader van het algemeen belang verwerkt kunnen worden. Er is dus geen schending van artikel 5 en 6 GDPR.

De inspectiedienst onderzocht verder nog of er conform artikel 24 GDPR passende technische en organisatorische maatregelen worden genomen om te kunnen waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de GDPR gebeurt. De inspectiedienst besluit hier eenvoudigweg dat aangezien er geen inbreuk van artikel 5 en 6 GDPR is, er ook geen sprake kan zijn van inbreuk op dit vlak.

Wat betreft de Camerawet en het KB stelt de inspectiedienst vast dat de verplichtingen hieromtrent (bv. beslissing door openbare overheid, plaatsing pictogrammen) werden nageleefd. Mede gelet op het opnieuw uitblijven tegenargumenten door de sluikstorter, oordeelt de Geschillenkamer dat geen schending van artikel 5 Camerawet en artikelen 1 en 4 van het KB zijn.

Het laatste aspect dat onderzocht werd en ter discussie stond is de naleving van de verplichting tot het correct bijhouden van een register van de verwerkingsactiviteiten door de camerabeheerder. (artikel 30 GDPR)

Dit register blijkt niet te voldoen:

  • De contactgegevens van de camerabeheerder zijn onvolledig;
  • De beschrijving van de categorieën van betrokkenen is onvolledig;
  • De beschrijving van de categorieën van persoonsgegevens is onvolledig;
  • De naam en contactgegevens van iedere verwerkingsverantwoordelijke voor rekening waarvan de tweede verweerder als verwerker handelt, worden niet vermeld.

De Geschillenkamer benadrukt in dit verband dat het van essentieel belang is dat deze verplichtingen correct worden nageleefd aangezien het register een instrument is om de verwerkingsverantwoordelijke of verwerker te helpen bij de naleving van de GDPR en zo essentieel is bij het naleven van de verantwoordingsplicht (“accountability”).

De camerabeerder bezorgde op 7 december 2022 een aangepast register, welke door de Geschillenkamer beoordeeld werd als tegemoetkomend aan verschillende van voormelde onvolledigheden. Echter bleek de vermelding van de naam en contactgegevens van de verwerkingsverantwoordelijken nog te ontbreken.
Een inbreuk op artikel 30 lid 2, a )GDPR wordt dan ook vastgesteld.

Uitspraak   

De Geschillenkamer legt een berisping op aan de camerabeheerder voor de inbreuk op artikel 30 lid 2, a) GDPR.

Wat betreft de overige grieven wordt de klacht geseponeerd.

Onze mening        

De inspectiedienst en geschillenkamer oordelen o.i. nogal snel dat het plaatsen van de bewakingscamera noodzakelijk is om sluikstorten tegen te gaan. Nochtans valt te overwegen dat er minder verregaande maatregelen zouden kunnen volstaan om dit doel te bereiken.

Voorts oordeelt de geschillenkamer eenvoudigweg dat er passende technische en organisatorische maatregelen voorhanden zijn, omdat de verwerking een voldoende rechtmatigheidsgrond zou hebben en in dit kader noodzakelijk is. Niettemin kan er o.i. wel een inbreuk zijn op de technische en organisatorische maatregelen wanneer er een rechtmatigheidsgrond voorhanden is. Het is namelijk niet omdat een verwerking een rechtmatig doel heeft en proportioneel zou zijn, er geen gebrekkige concrete uitvoering of technische ondersteuning kan zijn.

De Geschillenkamer stoelt zich op het ontbreken van tegenargumenten van de klager om de inspectiedienst te volgen in haar vaststelling, terwijl wij in andere beslissingen vaststellen dat de Geschillenkamer haar autonomie nét benadrukt.

Beslissing

Beslissing 81/2023

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 48/2021 VAN 8 APRIL 2021

Betreft

Een notaris raadpleegde de gegevens van haar ex-medewerker in het rijksregister voor het verzenden van eco-cheques. Beging zij hierbij een inbreuk?

Context

Raadpleging gegevens rijksregister van ex-medewerker door notaris.


Rechtsgrond

Artikel 5.1.a) en c) GDPR: “1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

(…)

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”

 

Artikel 6 GDPR:

“1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

 


a) Unierecht; of

b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

 

4.Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

 


a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

 

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. (hierna Rijksregister-wet)

Artikel 100 WOG:

Ҥ 1

De geschillenkamer heeft de bevoegdheid om:

1° een klacht te seponeren;

2° de buitenvervolgingstelling te bevelen;

3° de opschorting van de uitspraak te bevelen;

4° een schikking voor te stellen;

5°  waarschuwingen en berispingen te formuleren;

6° te bevelen dat wordt voldaan aan de verzoeken van de betrokkene om zijn rechten uit te oefenen;

7° te bevelen dat de betrokkene in kennis wordt gesteld van het veiligheidsprobleem;

8° te bevelen dat de verwerking tijdelijk of definitief wordt bevroren, beperkt of verboden;

9° te bevelen dat de verwerking in overeenstemming wordt gebracht;

10° de rechtzetting, de beperking of de verwijdering van gegevens en de kennisgeving ervan aan de ontvangers van de gegevens te bevelen;

11° de intrekking van de erkenning van certificatie-instellingen te bevelen;

12° dwangsommen op te leggen;

13° administratieve geldboeten op te leggen;

14° de opschorting van grensoverschrijdende gegevensstromen naar een andere Staat of een internationale instelling te bevelen;

15° het dossier over te dragen aan het parket van de procureur des Konings te Brussel, die het in kennis stelt van het gevolg dat aan het dossier wordt gegeven;

16° geval per geval te beslissen om haar beslissingen bekend te maken op de website van de Gegevensbeschermingsautoriteit.

 §2

Wanneer na toepassing van § 1, 15°, het openbaar ministerie er van afziet een strafvervolging in te stellen, een minnelijke schikking of een bemiddeling in strafzaken bedoeld in artikel 216ter van het Wetboek van strafvordering voor te stellen, of wanneer het openbaar ministerie geen beslissing heeft genomen binnen een termijn van zes maanden te rekenen van de dag van ontvangst van het dossier, beslist de Gegevensbeschermingsautoriteit of de administratieve procedure moet worden hernomen.”

 

Feiten

De medewerker was in dienst bij de notaris en volgens zijn arbeidscontract alsook het contract i.v.m. de toekenning van ecocheques was hij woonachtig in Wallonië. In tegenstelling tot het contract waarin de maandelijkse bijschrijving van de ecocheques op de ecochequerekening van de medewerker werd opgenomen, werden de ecocheques steeds per post verzonden.

Om de reistijd te beperken verhuisde de medewerker naar Vlaanderen. Hij behield zijn woonplaats in Wallonië.

In 2020 kwam het ontslag van de medewerker, welke in een gespannen sfeer zou hebben plaatsgevonden waarbij alle vertrouwen tussen de notaris en de medewerker zoek was.

Er bleef nog € 56,07 aan ecocheques verschuldigd door de notaris aan de medewerker. Pas na twee herinneringen heeft de notaris deze ecocheques aan de medewerker verzonden na, volgens de eigen verklaring van de notaris, het Rijksregister te hebben geraadpleegd voor het correcte adres.

De medewerker hekelde deze raadpleging van het Rijksregister.

De notaris verklaarde in dit verband dat hij had willen nagaan wat het correcte adres was om de ecocheques naar te verzenden aangezien hij niet zeker was omwille van het feit dat de medewerker een adres in Vlaanderen en Wallonië had.

De Geschillenkamer benadrukt allereerst de omvang van haar eigen bevoegdheid om aan te tonen dat de klacht hierbinnen valt.

De controletaak van de GBA betreft de naleving van de GDPR in haar geheel. Haar bevoegdheid beperkt zich dus niet tot de “fundamentele beginselen van gegevensbescherming”. Evengoed omvat de bevoegdheid van de GBA ook bepalingen met betrekking tot gegevensbescherming vervat in specifieke wetgeving, zoals in casu de Rijksregisterwet alsook bv. de Camerawet zoals reeds in eerdere beslissingen is gebleken.[1]

Het verweer van de notaris dat de GBA onbevoegd is aangezien deze bevoegdheid zich beperkt tot de “fundamentele beginselen  van gegevensbescherming” wordt dan ook door de Geschillenkamer van tafel geveegd.

Daarnaast tracht de notaris te beweren dat de controle i.v.m. de toegang tot het rijksregister een bevoegdheid is van de minister van Binnenlandse Zaken.

De machtiging vervat in artikel 5.1 van de Rijksregisterwet aan de notarissen om toegang te krijgen tot het Rijksregister  wordt inderdaad door de minister van Binnenlandse Zaken uitgereikt.

Het onderzoek of de toegang rechtmatig was, behoort volgens de Geschillenkamer ongetwijfeld tot de bevoegdheid van de GBA. De toezichthoudende bevoegdheid werd namelijk niet bij wet aan de minister van Binnenlandse Zaken toegekend. Een minister voldoet overigens per definitie niet aan de voorwaarden om de taken van een onafhankelijke gegevensbeschermingsautoriteit onder de GDPR uit te oefenen. (artikel 51 GDPR)

Artikel 17 van de Rijksregisterwet verwijst overigens zelf naar de bevoegdheid van de GBA.

De klacht is dus ontvankelijk.

De Geschillenkamer oordeelt dat de raadpleging van het Rijksregister van de medewerker door de notaris niet beperkt werd tot de specifieke uitoefening van het beroep.

Het feit dat de notaris ook via een andere bron (Kruispuntbank van de Sociale Zekerheid) toegang tot de adresgegevens zou hebben gehad, doet hier geen afbreuk aan. Dit kan enkel in acht genomen worden bij de beoordeling van de sanctie.

De notaris heeft het Rijksregister zonder passende rechtsgrondslag geraadpleegd en aldus een gegevensverwerking verricht waarbij hij zich niet kon beroepen op een van de rechtmatigheidsgronden in artikel 6 GDPR. Hij schendt hierdoor artikel 6 als ook artikel 5.1.a) GDPR dat bepaalt dat de verwerking rechtmatig moet zijn.

Volgens de GBA was de raadpleging bovendien niet noodzakelijk aangezien de adressen in de overeenkomsten vervat waren en de notaris steeds de kans had om in reactie op de herinneringen van de medewerker, de vraag naar het correcte adres aan hem te stellen. Hierbij herinnert de Geschillenkamer aan het minimaliseringsbeginsel vervat in artikel 5.1.c) GDPR.

Met betrekking tot de sanctie maakt de Geschillenkamer een uitgebreide overweging van alle concrete omstandigheden:

  • De schending betreft de grondbeginselen van de GDPR waarvoor een hogere maximale boete kan opgelegd worden;
  • De notaris heeft als openbaar ambtenaar en strikt gereglementeerd vrij beroep een voorbeeldfunctie waardoor vereist wordt dat hij een voorbeeldige houding aanneemt m.b.t de naleving van de wet, inclusief regelgeving inzake gegevensbescherming;
  • Het betreft een alleenstaande schending m.b.t. één werknemer in de specifieke en eenmalige context van vertrouwensbreuk. Daarnaast zorgde de covid-19-pandemie en de opkomende lockdown voor bijkomende moeilijkheden voor de verzending. Er is geen enkele reden om aan te nemen dat de schending deel is van een structureel gebrek bij de werking van de notaris;
  • De notaris is van mening dat adresgegevens betrekkelijk onbeduidend zijn en niet bijzonder gevoelig. Hij heeft geen mogelijkheid om bij de raadpleging van het Rijksregister de zoekopdracht enkel hiertoe te beperken;
  • De notaris heeft verschillende maatregelen genomen om aan zijn verplichtingen als verwerkingsverantwoordelijke te voldoen (bv. benoeming DPO, register van verwerkingsactiviteiten, beleid inzake bescherming van persoonsgegevens voor burgers…);

Op basis van al deze elementen volstaat volgens de Geschillenkamer een berisping.

Uitspraak

De geschillenkamer stelt een inbreuk van artikel 6 GDPR juncto artikel 5.1.a) GDPR vast en legt een berisping op als sanctie.

Onze mening

Net zoals we in eerdere beslissingen met betrekking tot burgemeesters en schepenen hebben kunnen vaststellen, blijft de GBA terecht belang echten aan de voorbeeldfunctie van de notaris in haar beoordeling van de inbreuken.

De toegang tot het Rijksregister is een bevoegdheid van de notaris die énkel wordt verstrekt in het kader van de uitoefening van zijn specifieke beroep. De notaris ging in casu deze bevoegdheid te buiten.

De sanctie van berisping lijkt ons gepast gelet op het feit dat blijkt dat dit een eenmalig voorval is waarbij de notaris geleid werd door de vertrouwensbreuk en de moeilijke omstandigheden in het kader van de pandemie en in dit kader zich wou verzekeren van de correcte adressering teneinde geen verder geschil met de voormalige medewerker te bewerkstelligen.

Beslissing

Beslissing 48/2021

 

[1] Zie bv. Beslissing ten gronde nr. 80/2020 (https://studio-legale.com/rechtspraak-gba-beslissing-ten-gronde-nr-80-2020-van-17-december-2020/ ).

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 27/2023 VAN 13 MAART 2023

Betreft

Een verhuurder reageert niet tijdig, noch volledig op een verzoek tot inzage van een voormalige huurder. De Geschillenkamer laat hier haar licht over schijnen.

Context

Uitoefening recht op inzage door voormalige huurder t.a.v. voormalige verhuurder.

Rechtsgrond

Artikel 12, lid 3 en 4 GDPR:

“3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

 

Artikel 15, lid 1 GDPR:

“1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

a) de verwerkingsdoeleinden;

b) de betrokken categorieën van persoonsgegevens;

c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”

Feiten

De voormalige huurder stelde op 2 december 2019 een verzoek tot inzage in bij zijn voormalige verhuurder. Op 31 december 2019 wordt hij door zijn voormalige verhuurder verwittigd dat hij de antwoordtermijn met twee maanden verlengt.

Dat antwoord bleef uit en op 3 maart 2020 diende de voormalige huurder een klacht in.

De voormalige huisbaas ontkent niet dat het antwoord uitgebleven is. Hij zou advocaten hebben geraadpleegd om een afdoende antwoord voor te bereiden. Omwille van onderbemanning, werd dit blijkbaar vergeten en nooit verzonden.

Op 2 september 2020, in de loop van de procedure, werd een antwoord geboden. Volgens de voormalige huurder is dat antwoord onvolledig. De voormalige huisbaas beweert dat de vragen die onbeantwoord zijn gebleven niet onder het recht op inzage vallen en hij hier dus niet op moest antwoorden.

De Geschillenkamer verduidelijkt dat het recht van inzage uit drie componenten bestaat.

Als eerste heeft de betrokkene het recht om uitsluitstel te krijgen over het al dan niet verwerken van zijn persoonsgegevens door de verwerkingsverantwoordelijke.
Vervolgens, wanneer er een verwerking is, heeft hij het recht om inzage te krijgen van die persoonsgegevens en meer bepaald ook de informatie vermeld in artikel 15 lid 1, a) tot en met h).[1]

Tot slot heeft hij het recht om een kopie van die persoonsgegevens te verkrijgen.

Bij de uitoefening van het recht op inzage kan een verwerkingsverantwoordelijke inderdaad de initiële antwoord termijn van één maand verlengingen met twee maanden indien hij dit meedeelt binnen deze initiële termijn. Echter, indien hij niet van plan is om gevolg hieraan te geven, moet hij dit meedelen binnen de initiële termijn van één maand én de betrokkene informeren over de mogelijkheid om beroep in te stellen bij de GBA.

Het is duidelijk, en wordt niet ontkend, dat de voormalige verhuurder niet binnen de termijn heeft gereageerd. Hij reageerde pas op 2 september 2020 (kort nadat hij door de GBA geïnformeerd was van procedure ten gronde) terwijl het verzoek dateerde van 2 december 2019.

De voormalige huurder voert aan als reden de langdurige afwezigheid van de behandelende werknemer en volhardt wel degelijk voornemens te zijn geweest een antwoord te formuleren.

De Geschillenkamer oordeelt dat dergelijke omstandigheid hem niet ontslaat van zijn verplichtingen en er een schending is van artikel 15, lid 1 en artikel 12, leden 3 en 4 GDPR.

De Geschillenkamer stelt wel rekening te zullen houden met het feit dat aangetoond werd dat er inderdaad door advocaten begonnen werd met het opstellen van een antwoord en dat de voormalige verhuurder intussen organisatorische maatregelen heeft genomen om dergelijk voorval te vermijden naar de toekomst toe.

Drie vragen bleven echter onbeantwoord door de voormalige huisbaas en de voormalige huurder stelt dat dit ook een inbreuk uitmaakt op basis van het recht op inzage.

Het betreft vragen met betrekking tot 1) het bestaan van mogelijke lekken van de gegevens van de voormalige huurder wegens gebrekkige beveiliging, 2) de beveiligingsprotocollen van de voormalige verhuurder en 3) de beveiligings- en organisatorische maatregelen met betrekking tot de verwerking van persoonsgegevens door de werknemers of medecontractanten van de voormalige verhuurder

De Geschillenkamer oordeelt dat deze inderdaad buiten het bereik van het recht op inzage vallen en de voormalige verhuurder niet verplicht was hierop te antwoorden.

In het kader van een datalek dient slechts een melding gemaakt te worden aan een betrokkene wanneer deze “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Niets toont aan dat dit hier het geval zou zijn.

In het verband met de beveiligingsprotocollen en beveiligings- en organisatorische maatregelen stelt de Geschillenkamer vast dat deze niet in de lijst met informatie van artikel 15 zijn opgenomen.

Uitspraak

Een inbreuk op artikel 15, lid1 en artikel 12, leden 3 en 4 GDPR wordt vastgesteld en er wordt slechts een berisping opgelegd.


Onze mening

Terecht wordt een inbreuk vastgesteld door de Geschillenkamer op het recht op inzage gelet op de laattijdigheid van het antwoord door de voormalige huisbaas.

Een berisping kan volstaan gelet op de verzachtende omstandigheid dat wel degelijk de intentie is gebleken om te antwoorden én dat de voormalige huisbaas maatregelen heeft genomen om dit naar de toekomst toe te vermijden.

Beslissing

Beslissing 27/2023

[1] Zie in dit verband ons eerder artikel over het recht op inzage: https://studio-legale.com/recht-op-inzage/

RECHTSPRAAK GBA: BESLISSING NR. 181/2022 VAN 9 DECEMBER 2022

Betreft       

Een koeriersbedrijf bezorgt een pakketje van haar bestemmeling bij de buren zonder toestemming. Mag dat zomaar?

Context      

Levering pakketje bij buren zonder toestemming

Rechtsgrond

Artikel 2.1. GDPR: “Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

Artikel 95, §1, 3° WOG: “De geschillenkamer beslist over de opvolging die het geeft aan het dossier en is bevoegd:

(…)

3° de klacht te seponeren;”

Feiten en beoordeling

De bestemmeling van een pakketje diende op 7 november 2022 een klacht in bij de GBA tegen de koeriersdienst die het pakketje bij de buren leverde zonder toestemming hiertoe. De buren bezorgde het pakketje aan de bestemmeling.

De bestemmeling baseert de klacht op dat de buren, door de bezorging van het pakketje aan hun adres, kennis hebben kunnen nemen van zijn persoonsgegevens, nl. naam en adres.

De Geschillenkamer beslist over te gaan tot technisch sepot.

De feiten vallen naar oordeel van de Geschillenkamer niet onder het materieel toepassingsgebied van de GDPR zoals vervat in artikel 2.1.

Overwegingen 6 en 7 van de GDPR verduidelijken het kader waaromtrent de invoering van de GDPR noodzakelijk werd geacht:

“(6) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen.

 

 

(7) Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties.”

Het toepassingsgebied van de GDPR kadert zich dus volgens de Geschillenkamer in het licht hiervan op de verwerking van gegevens in een digitale omgeving.

De levering van het postpakket aan de buren houdt dan ook geen geheel of gedeeltelijk geautomatiseerde verwerking in, noch een verwerking van persoonsgegevens die in bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen.

Een behandeling van de klacht is dan ook niet mogelijk.

Uitspraak   

Op grond van Artikel 95, §1, 3° WOG wordt de klacht geseponeerd.

Onze mening        

Terecht wordt het loutere bezorgen van een postpakket aan buren die dit pakket aan de bestemmeling bezorgden niet geacht een verwerking van persoonsgegevens onder de GDPR uit te maken op zich.

Volgens ons is het wel niet zo evident om te stellen dat er sowieso in heel dit gebeuren geen persoonsgegevens verwerkt worden. Uiteraard verwerkt de koeriersdienst wel persoonsgegevens voor de levering en mogelijks ook deze van de buren bij de levering. Alleszins worden persoonsgegevens gebruikt van en bekendgemaakt aan de buren die mogelijk wel degelijk een verwerking uitmaken.

In casu, waarbij er geen melding is van een bijzonder gevoelig pakje en dat de buren dit onmiddellijk hebben rechtgezet, lijkt het ons een gepaste oplossing van de GBA om hier verder geen gevolg aan te geven. Er zijn echter wel situaties denkbaar waarin dit problematischer is. Bijvoorbeeld bij de levering van “gevoelige/niet-onschuldige” pakketjes (bv. medicatie, seksspeeltjes…).

De koeriersdiensten moeten (voorlopig) hiervoor dus geen GDPR-repercussies vrezen. Niettemin lijkt het ons aangewezen om steeds de leveringsvoorkeuren van klanten te respecteren en niet op eigen initiatief pakketjes bij de buren aan te bieden om verdere klachten te voorkomen.

Beslissing

Beslissing 181/2022

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 80/2020 VAN 17 DECEMBER 2020

Betreft       

Er wordt een klacht ingesteld door een persoon zonder persoonlijk belang, die anoniem wenst te blijven, m.b.t. camerabewaking in een carwash. Volstaat een publiek belang om te doen blijken van een voldoende belang bij de GBA?

Context      

Anonieme klacht tegen het gebruik van bewakingscamera’s in een carwash

Rechtsgrond

Art. 6. Camerawet: “De beslissing tot het plaatsen van een of meer bewakingscamera’s in een voor het publiek toegankelijke besloten plaats wordt genomen door de verantwoordelijke voor de verwerking.

 

De verantwoordelijke voor de verwerking deelt de in § 1 bedoelde beslissing mee aan de Commissie voor de bescherming van de persoonlijke levenssfeer en de korpschef van de politiezone waar die plaats zich bevindt. Hij doet dat uiterlijk de dag vóór die waarop de bewakingscamera of -camera’s in gebruik worden genomen.

(…)

 

De verantwoordelijke voor de verwerking plaatst bij de toegang tot de voor het publiek toegankelijke besloten plaats een pictogram dat aangeeft dat er camerabewaking plaatsvindt. Het model van dat pictogram en de erop te vermelden inlichtingen worden door de Koning bepaald, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

(…)”

Art. 9. Camerawet: “Uitsluitend de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, heeft toegang tot de beelden.

 

De verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, neemt alle nodige voorzorgsmaatregelen teneinde de toegang tot de beelden te beveiligen tegen toegang door onbevoegden.

 

De personen die toegang hebben tot de beelden, hebben een discretieplicht omtrent de persoonsgegevens die de beelden opleveren, met dien verstande dat de verantwoordelijke voor de verwerking inzake voor het publiek toegankelijke besloten plaatsen of niet voor het publiek toegankelijke besloten plaatsen of de persoon die onder zijn gezag handelt, de beelden : 1° kan overdragen aan de politiediensten of de gerechtelijke overheden indien hij feiten vaststelt die een misdrijf kunnen vormen en de beelden kunnen bijdragen tot het bewijzen van die feiten en het identificeren van de daders;2° moet overdragen aan de politiediensten indien zij hierom verzoeken in het kader van hun opdrachten van bestuurlijke of gerechtelijke politie en de beelden het vastgestelde misdrijf betreffen. Indien het een private plaats betreft, kan de verantwoordelijke voor de verwerking of de persoon die onder zijn gezag handelt, evenwel eisen dat er een gerechtelijk mandaat in het kader van een opsporingsonderzoek of gerechtelijk onderzoek wordt voorgelegd.”

Art. 17 Ger.W: “De rechtsvordering kan niet worden toegelaten, indien de eiser geen hoedanigheid en geen belang heeft om ze in te dienen.

(…)”

Art. 100 §1, 1°:

“De geschillenkamer heeft de bevoegdheid om:

         1° een klacht te seponeren;

         (…)”

Feiten

Een klant hekelt het feit dat er in een carwash gebruikt wordt gemaakt van bewakingscamera’s zonder vermelding dat de klanten worden gefilmd d.m.v. pictogrammen zoals de camerawetgeving voorschrijft. Er wordt ook met geen woord gerept over het gebruik van bewakingscamera’s in de privacyverklaring zoals gepubliceerd op de website van de carwash. Bovendien werden videobeelden en foto’s gebruikt op de facebookpagina van mevrouw Z door de carwash om haar ongelijk aan te tonen. De klant – die anoniem wenst te blijven – vermoedt eveneens dat het beeldmateriaal onbeperkt wordt bijgehouden.

Hoewel de geschillenkamer haar bevoegdheid bevestigt om kennis te nemen van klachten i.v.m. inbreuken op de Camerawet en inbreuken op de GDPR  nadat de Inspectiedienst terecht een aantal ernstige aanwijzingen i.v.m. inbreuken op de Camerawet en GDPR vaststelde, besluit de Geschillenkamer dat zij genoodzaakt is de klacht te seponeren omwille van een gebrek aan voldoende concreet belang.

Hoewel artikel 17 Ger. W., dat een vereiste van hoedanigheid en belang aan procespartijen oplegt, volgens de Geschillenkamer niet rechtstreeks van toepassing is op een procedure binnen de GBA, lijkt deze toch minstens naar analogie toepassing te vinden. In hoger beroep bij het Marktenhof zal dit hoe dan ook wel van toepassing zijn. De Geschillenkamer bevestigt dat een klager blijk moet geven van een voldoende belang.

De anonieme klager heeft uitdrukkelijk aangegeven dat hij niet over een persoonlijk belang beschikt en stoelt zich louter op het publiek belang voor de klacht. Gelet op het feit dat de klant niet aantoont of zelfs geen element aanvoert dat hem in verband brengt met de verwerking van persoonsgegevens door de carwash, toont hij geen afdoende belang, noch hoedanigheid aan.

Uitspraak   

Gelet op het gebrek aan belang en hoedanigheid in hoofde van de anonieme klager wordt besloten om voorliggende klacht te seponeren.

Onze mening        

Net zoals in ons burgerlijke procesrecht oordeelt de Geschillenkamer dat de klager dient te beschikken over enerzijds een voldoende persoonlijk belang en anderzijds een hoedanigheid. Het nastreven van een publiek belang is onvoldoende.

De concrete rechtsgrond die de Geschillenkamer hiervoor gebruikt blijft onduidelijk aangezien zij eerst aangeeft dat artikel 17 Ger. W. niet van toepassing is, om vervolgens alsnog een gebrek aan belang en hoedanigheid als reden voor seponering aan te voeren.  Eerder besloot de Geschillenkamer reeds om een klacht na intrekking door de betrokkene nog verder te behandelen. Het is ons niet geheel duidelijk waarom van deze mogelijkheid in dit verband geen gebruik gemaakt werd.

Er lijkt op zeer technisch punt door de Geschillenkamer beroep gedaan om geen beslissing te moeten vellen, terwijl we lezen dat de inspectiedienst wel degelijk verscheidene inbreuken, minstens ernstige aanwijzingen op inbreuken op zowel de Camerawet als de GDPR heeft vastgesteld.

 

Beslissing

 

Beslissing 80/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 71/2020 VAN 30 OKTOBER 2020

Betreft       

Het uploaden van een video op YouTube met vermelding van naam en adres van een buurtbewoner. Mag dat zomaar?

Context      

YouTube video waarbij de identiteit van een persoon zonder zijn toestemming wordt kenbaar gemaakt

Rechtsgrond

Artikel 4.1 GDPR: (Definities – Persoonsgegevens);

Artikel 6.1.d) & e) GDPR: (Rechtmatigheid van de verwerking);

Feiten

Op een gegeven ogenblik uploadt een buurtbewoner een video op YouTube waarbij de woning – en meer bepaald de schouw van een andere buurtbewoner die een houtvuur gebruikt – te zien is. Hierbij wordt ook de naam en het adres van de bewoner van de betreffende woning vermeld. De houtstoker maakt de zaak vervolgens aanhangig bij de GBA.

Voorafgaand aan de beoordeling en beslissing van de GBA

Op 17 april 2019 beslist de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde. Een week later ontvangt de Geschillenkamer vanwege de buurtbewoner die de video op Youtube zette, de mededeling dat hij de tussenkomst van de Geschillenkamer niet aanvaardt en hij in beroep wenst te gaan bij het Marktenhof tegen de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde.

Hij zou onder druk worden gezet door de Eerstelijnsdienst door het dreigen met het opleggen van een hoge geldboete zonder in kennis te zijn gesteld van enige inhoudelijke klacht. Hierdoor zou blijk zijn gegeven van partijdigheid en zou zijn gehandeld in strijd met het reglement van interne orde van de GBA. Ten tweede zou er tevens voor dezelfde feiten een klacht zijn ingediend bij  het Openbaar Ministerie waardoor de buurtbewoner vraagt om beide dossiers samen te voegen en te laten behandelen door een rechtbank ten gronde.

Op 10 mei 2019 verzoekt het Marktenhof bij Hof van Beroep te Brussel voor de toezending van het rechtsplegingsdossier overeenkomstig artikel 723 Ger.W. Het Marktenhof bekijkt het dossier en oordeelt dat een beslissing van de Geschillenkamer uitvoerbaar bij voorraad is en derhalve de procedure voor de Geschillenkamer moet worden voortgezet. De buurtbewoner blijft zich verzetten en op 29 mei 2019 vindt er een inleidingszitting plaats bij het Marktenhof waarbij de GBA verstek laat.

Het arrest van het Marktenhof[1] kan als volgt worden samengevat:

  • Vereiste van onpartijdigheid van de Geschillenkamer van de GBA

De situatie waarbij bepaalde personeelsleden van de GBA enerzijds adviezen geven en mailverkeer voeren met personen die denken gegriefd te zijn en dat dezelfde personeelsleden nadien, in dezelfde zaak, desgevallend fungeren als adviseur van de Geschillenkamer van de GBA of in een andere hoedanigheid, is vatbaar voor kritiek en sanctie.

Ook het feit dat dat de GBA reeds een inhoudelijk standpunt ten gronde heeft ingenomen door te dreigen met torenhoge boetes bij gebreke aan verwijdering van de video’s, én waar later één van haar organen te weten de Geschillenkamer als administratieve rechter zal moeten oordelen over het al dan niet bewezen zijn van een beweerde inbreuk, getuigt volgens het Marktenhof niet van een naleven van alle rechten van verdediging

  • Beslissing Geschillenkamer dat dossier gereed is voor behandeling

Aangaande de beslissing van de Geschillenkamer dat het dossier gereed is voor behandeling ten gronde en daartoe een conclusiekalender heeft bepaald, stelt het Marktenhof dat het ontvankelijk verklaren van een klacht niet vooruit loopt op de beoordeling ervan.

  • Bedreiging van de burger met mogelijke veroordeling tot het betalen van hoge boetes

Het Marktenhof stelt dat, hoewel de bedreiging die wordt gericht aan de burger en waarbij hem voorgespiegeld wordt dat hij tot het betalen van hoge boetes zal kunnen worden veroordeeld door de GBA, deze niet in strijd is met een wettelijke bepaling, doch de GBA door de gehele wijze van handelen wel minstens de schijn wekt niet onpartijdig te zullen optreden.

Het Marktenhof beslist dat nieuwe conclusietermijnen dienen te worden bepaald waarbij de eerste termijn voor de houtstoker ten vroegste vervalt op de laatste dag van de maand die aanvangt nadat de procespartijen kennis hebben gekregen van het arrest. Het Marktenhof is hic et nunc niet gevat van een verhaal tegen een ‘beslissing’ ten gronde van de Geschillenkamer van de GBA en kan dienvolgens niet (bij voorbaat) oordelen over de wijze waarop de Geschillenkamer van de GBA dan wel het geschilpunt zou moeten oplossen.

Beoordeling GBA

Een video-opname van enkel en alleen een schouw waarop de uitstoot van rook te zien is zonder dat deze de identificatie van een persoon mogelijk maakt, is geen persoonsgegeven in de zin van artikel 4.1 GDPR. Echter, gezien de naam en het adres wel werd vermeld, maakt deze wel een verwerking uit van persoonsgegevens. De video-opname, alsmede de naam en het adres van de buurtbewoner zijn immers gepubliceerd met het oogmerk om te kunnen overgaan tot identificatie. De maker van de video erkent dit uitdrukkelijk doordat hij zelf aangeeft dat hij derden daarmee de gelegenheid  wil  bieden  om  te  achterhalen  wie de houtrookhinder veroorzaakt om zich vervolgens eventueel tegen die persoon burgerlijke partij te kunnen stellen…

Volgens artikel 6 van de GDPR is een  verwerking  van  persoonsgegevens  slechts  rechtmatig  indien  daartoe  een  rechtsgrond bestaat. Om de rechtmatigheid van de publicatie van het filmpje samen met de naam en het adres van de buurtbewoner aan te tonen, beroept de videomaker zich op artikel 6.1. d) GDPR (de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen) en artikel 6.1. e) GDPR (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen).

Voor wat betreft de rechtsgrond uit artikel 6.1.d) GDPR dient de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, voorop te staan. De videomaker voert echter niet aan dat de publicatie van de gegevens van de houtstoker van belang zouden zijn voor het leven van hemzelf, maar daarentegen wel van belang zou zijn voor de bescherming van de gezondheid van derden, meer bepaald de omwonenden door hen te beschermen tegen de hinder van houtrookemissie.

Uit overweging (46) van de GDPR volgt dat dat de verwerking van persoonsgegevens op grond van het vitale belang voor een  andere  natuurlijke  persoon  in  beginsel  alleen  is  toegestaan  indien  de  verwerking  kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Bijgevolg gaat de Geschillenkamer na of er desgevallend een andere rechtsgrond kan worden ingeroepen.

De videomaker beroept zich naast artikel 6.1.d) verder nog op artikel 6.1.e) GDPR. Volgens hem is  de  publicatie  noodzakelijk  voor  de  vervulling  van  een  taak  van algemeen belang Vermits uit zijn argumentatie niet blijkt dat  hij  zich  op  enige  rechtsgrond vastgesteld bij Unierecht of lidstatelijk recht beroept waaruit hij het recht zou kunnen putten om in het kader van het algemeen belang over te gaan tot de publicatie van de videobeelden met naam en adres van de houtstoker, is de Geschillenkamer van oordeel dat hij  zich niet kan beroepen op artikel 6.1. e) GDPR om de betreffende publicatie als rechtmatig te bestempelen.

Uit eigen initiatief onderzoekt de Geschillenkamer nog of de videomaker zich zou kunnen beroepen op de rechtsgrond van gerechtvaardigd belang in artikel 6.1. f) GDPR. Hiervoor herhaalt de Geschillenkamer zijn eerdere rechtspraak omtrent de voorwaarden die door het Hof van Justitie zijn vastgesteld, namelijk moet er voldaan worden aan 1) de doeltoets, 2) de noodzakelijkheidstoets en 3) de afwegingstoets.

  • Het aantonen van de ernst van de hinder en de impact van de rookemissie op de gezondheid van de omwonenden kan aangemerkt worden als een gerechtvaardigd doel;
  • Het feit dat de houtstoker met naam vermeld werd bij de video is niet als noodzakelijk te beschouwen voor het bereiken van het doeleinde. Hiermee wordt enkel bereikt dat deze als vervuiler aangemerkt wordt zonder enige mogelijkheid tot verweer. Zonder vermelding van de naam, kon het doeleinde ook bereikt worden.
  • Ook de afwegingstoets kan niet voldaan worden aangezien de houtstoker zich op geen enkel moment kon verwachten aan de publicatie van de beelden met zijn naam en adres. Enkel indien de toestemming werd gevraagd had dit mogelijk geweest onder de GDPR.

Uit het geheel van de uiteengezette elementen is de Geschillenkamer van oordeel dat de videomaker zich op geen enkele rechtsgrond kan beroepen waaruit de rechtmatigheid blijkt van de gegevensverwerking. De inbreuk op artikel 6.1. GDPR is aldus bewezen. De Geschillenkamer besluit hem hiervoor enkele een berisping te geven rekening  houdend  met  het  feit  dat  de videobeelden met vermelding van de naam en het adres van de houtstoker zijn verwijderd,  alsmede dat de inbreuk slechts voor een eerste keer werd begaan. Op het verzoek van de videomaker om hem een schadevergoeding toe te kennen, kan de Geschillenkamer niet ingaan vermits zij niet over die bevoegdheid beschikt.

Uitspraak   

  • Een berisping op te leggen voor wat betreft de inbreuk op artikel 6.1. GDPR.

Onze mening        

Gegevens zijn slechts persoonsgegevens in zoverre identificatie van een bepaalde persoon mogelijk is. Door het plaatsen van de naam en adres van de betrokkene bij de video op YouTube, kwalificeert de video als een persoonsgegeven.

De rechtmatigheidsgrond van vitaal belang voor andere natuurlijke personen is enkel mogelijk indien er geen beroep gedaan kan worden op andere rechtsmatigheidsgronden. De GDPR stelt m.a.w. een strenge voorwaarde om gebruik te kunnen maken van deze rechtmatigheidsgrond. Reden waarom zij in de praktijk maar sporadisch wordt gebruikt.

Het feit dat er slechts een berisping wordt opgelegd, lijkt ons voldoende gemotiveerd door de Geschillenkamer. Een eerste inbreuk vanwege de videomaker, die ook nog eens de beelden in de loop van de procedure heeft verwijderd, hoeft geen aanleiding te geven tot een boete. Een terechte beslissing, je mag niet zomaar beelden maken zonder toestemming en deze verspreiden.

 

Beslissing

Beslissing 71/2020

[1] De integrale tekst van het arrest is beschikbaar op de website van de Gegevensbeschermingsautoriteit via volgende link: https://www.gegevensbeschermingsautoriteit.be/publications/arrest-van-12-juni-2019-van-het-marktenhof.pdf

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 53/2020 VAN 1 SEPTEMBER 2020

Betreft       

Een ex-burgemeester gebruikt gegevens verzameld tijdens zijn mandaat voor het sturen van een e-mail met verkiezingspropaganda voor zijn kandidatuur voor de Provincieraad.

Context      

Gebruik e-mail voor verkiezingspropaganda

Rechtsgrond

Artikel 5.1 a) en b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – rechtmatigheid, behoorlijkheid en transparantie & doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking);

Artikel 25 GDPR: (Gegevensbescherming door ontwerp en door standaardinstellingen);

Artikel 32 GDPR: (Beveiliging van de verwerking);

Artikel 33 GDPR: (=Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Feiten

Op 22 mei 2019 verstuurt een ex-burgemeester onderstaand verkiezingsbericht naar een inwoner van een bepaalde gemeente: “beste dames, heren en vrienden, ik ben er trots op als (Xde) kandidaat op de lijst (Y) te staan voor ons arrondissement (lijst van de betrokken gemeenten… ) Sta mij toe om uw stem te vragen. Met een goed resultaat zal ik met onze ploeg van het College en de Provincieraad nog doeltreffender kunnen zijn. Ik wil mijn uiterste best doen om ook onze lokale vertegenwoordigers en hun projecten te steunen.”

De betrokken inwoner is hier absoluut niet mee gediend en vraagt zich luidop af hoe het komt dat hij dergelijke berichten ontvangt op zijn persoonlijk e-mailadres. Dat het bericht werd verstuurd met talrijke ontvangers in kopie, maakt de frustratie des te groter. Na verder onderzoek is aan het licht gekomen dat het e-mailadres van de betrokkene is verzameld naar aanleiding van een verzoek om informatie die de betrokkene in 2014 aan het secretariaat van de ex-burgemeester had verzonden om een openbare netheidskwestie te signaleren. Hierdoor werd zijn e-mailadres opgenomen in de lijst om verkiezingsberichten uit te sturen. Op het moment van de verzending van het bericht was de ex-burgemeester echter geen burgemeester meer.

Aangezien de ex-burgemeester op het moment van het verzamelen van het betreffende e-mailadres (in 2014) de verwerkingsverantwoordelijke was, was het ook zijn verantwoordelijkheid om ervoor te zorgen dat de persoonsgegevens op een passende rechtsgrondslag en in strikte overeenstemming met de in de GDPR vastgestelde beginselen werden verwerkt. Hij is ook verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens niet verder worden verwerkt voor een doel dat onverenigbaar is met het doel waarvoor zij oorspronkelijk zijn verzameld en verwerkt (artikel 5.1.f), artikel 6.4, en artikel 32 van de GDPR).

Het finaliteitsbeginsel is een cruciaal beginsel van de gegevensbescherming. Persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor zij zijn verzameld. Het persoonlijk e-mailadres werd in 2014 verzameld omdat de burger destijds een melding deed over een stortplaats waarvoor hij een opkuis vroeg. Nu werd zijn e-mailadres gebruikt voor verkiezingsdoeleinden. Het hoeft dan ook geen betoog dat er geen verband is tussen de twee verwerkingsdoeleinden. Iets wat de GBA dan ook terecht opmerkte.

Sterker nog, de GBA is van mening dat het hergebruik door een ex-burgemeester van persoonsgegevens die in de loop van zijn ambtstermijn zijn verzameld voor onverenigbare doeleinden, de grondslagen van de democratie en de gelijkheid tussen de kandidaten ondermijnen. Een terechte visie van de GBA volgens ons.

Wat betreft de ongewenste verspreiding van het e-mailadres aan derde personen, geeft de ex-burgemeester toe een behandelingsfout te hebben begaan. Ongeacht of er al dan niet sprake is van een behandelingsfout, blijft er op dit vlak een schending bestaan van artikel 32.1. en 32.4. van de GDPR. Weliswaar accepteert de Geschillenkamer het niet-opzettelijk karakter van de inbreuk als een verzachtende omstandigheid.

Ook artikel 33 van de GDPR werd geschonden nu de kandidaat-burgemeester deze inbreuk niet binnen de termijn van 72 uur heeft gemeld aan de toezichthoudende overheid.

De Geschillenkamer heeft al eerder te maken gekregen met klachten in verband met de onrechtmatige gegevensverwerking voor verkiezingsdoeleinden.[1] Toen werd er in de meerderheid van de gevallen een administratieve boete opgelegd.

De GBA tilt zwaar aan het feit dat de kandidaat-burgemeester op het tijdstip van het verzamelen van de gegevens burgemeester en parlementslid was. Gezien zijn rol in het openbare leven, zou van hem verwacht mogen worden dat hij er zorgvuldig op  toeziet dat de verzamelde gegevens niet ten persoonlijke titel worden hergebruikt, en dat hij een verkiezingscampagne voert met inachtneming van alle toepasselijke regels (inclusief de regels inzake gegevensbescherming). Elke overheidsmandataris heeft immers een voorbeeldfunctie inzake het naleven van de wetgeving.

Uitspraak   

De schendingen van artikel 5.1. b) (onverenigbare verdere verwerking), artikel 5.1. a) (rechtmatigheid) en artikel 6.1 van de GDPR (onrechtmatige verwerking) die in deze beslissing worden vastgesteld, vormen een schending van de fundamentele beginselen van gegevensbescherming. In feite zijn dit inbreuken waarvoor de maximum boetes het hoogst zijn. De Geschillenkamer legt dan ook een administratieve boete op van € 5.000,00.

Onze mening        

Het finaliteitsbeginsel is een van de belangrijkste beginselen uit de GDPR. Het is dan ook zeer belangrijk dat dit basisbeginsel wordt nageleefd. In de eerste gepubliceerde beslissing (over verkiezingen) was de Geschillenkamer nog mild gelet op de toen nog nieuwe GDPR-wetgeving. In latere beslissingen waarbij gegevens onrechtmatig werden verwerkt voor verkiezingsdoeleinden, werd wel steevast een boete opgelegd. Dat is ook in deze zaak het geval. Er wordt terecht strenger opgetreden. Ook het feit dat de betrokkene een openbare functie uitoefende op het ogenblik van de gegevensverwerking, is een verzwarende omstandigheid.

Net zoals  eerdere beslissingen wordt geoordeeld dat een openbaar ambtenaar extra voorzichtig dient omgegaan met het verwerken van persoonsgegevens. Hieromtrent citeerde de Gegevensbeschermingsautoriteit het Europees Comité voor gegevensbescherming als volgt:

“de naleving van de regels inzake gegevensbescherming, ook in het kader van verkiezingsactiviteiten en -campagnes, is essentieel voor de bescherming van de democratie. Het is ook een middel om het vertrouwen van de burgers en de integriteit van de verkiezingen te behouden.”

Deze uitspraak is in lijn met de eerdere uitspraken waarin persoonsgegevens misbruikt werden voor verkiezingsdoeleinden. De GBA blijft op dit vlak onverbiddelijk.

 

Vernietiging door arrest Marktenhof van 27 januari 2021

Nadat de ex-burgemeester in hoger beroep is gegaan bij het Marktenhof van het hof van beroep te Brussel besluit het Marktenhof tot de vernietiging van de beslissing van de GBA en beveelt de opschorting van de beslissing.

Het Marktenhof oordeelt immers dat de sanctie bestaande uit de administratieve geldboete van € 5.000 disproportioneel is.

Het Marktenhof gaat helemaal niet akkoord met de verantwoording van de geschillenkamer dat een basisbeginsel geschonden zou zijn en dat dit zou bijdragen aan de verantwoording van de proportionaliteitseis. Iedere zaak moet in concreto beoordeeld worden en het Marktenhof wijst erop dat elementen uit eerdere beslissingen/zaken geen invloed mogen hebben op deze concrete beoordeling. De boete van € 5.000 wordt dan ook te vanzelfsprekend opgelegd volgens het Marktenhof, wat een disproportioneel karakter heeft.

Bovendien kan het eventuele niet-naleven van de formele schriftelijke procedure door de ex-burgemeester onder geen beding een verzwarende omstandigheid uitmaken.

Tot slot hecht het Marktenhof belang aan het feit dat duidelijk blijkt dat de ex-burgemeester op geen enkel ogenblik de intentie heeft getoond om de principes van gegevensbescherming te schenden, maar dat de schending een gevolg is van nalatigheid of onachtzaamheid, welke situatie onmiddellijk werd rechtgezet en waarvoor de ex-burgmeester zijn excuses aanbood.

Het Marktenhof stelt zich dan ook uitdrukkelijk de vraag of een berisping niet kon volstaan. De geschillenkamer zou nagelaten hebben om het vermoeden van goede trouw in acht te nemen.

Onze mening

 

Het Marktenhof ziet streng toe op de motivering en beoordeling door de Geschillenkamer van haar beslissing.

Hoewel uiteraard iedere zaak inderdaad concreet behandeld moet worden en alle elementen in overweging genomen dienen te worden, zijn wij van oordeel dat het Marktenhof dan weer onterecht geen aandacht spendeert aan het feit dat een ex-burgemeester en huidig parlementslid een voorbeeldfunctie heeft en in dat licht het opportunistische gebruik van gegevens waartoe hij toegang uit zijn voorbeeldfunctie o.i. toch aanleiding dient te geven tot het opleggen van een boete.

 

Beslissing en arrest

Beslissing 53/2020

Arrest marktenhof 27 januari 2021

[1] Beslissing 11-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-11-2019-van-25-november-2019/) ; Beslissing 10-2019 van 25 november 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-10-2019-van-25-november-2019/);  Beslissing 04/2019 van 28 mei 2019 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-04-2019-van-28-mei-2019/);  en beslissing 30/2020 van 8 juni 2020 (https://www.generaldataprotection.be/news/rechtspraak-gba-beslissing-ten-gronde-nr-30-2020-van-8-juni-2020/).

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 63/2020 VAN 22 SEPTEMBER 2020

Betreft       

Een klacht werd ingesteld tegen Google wegens de weigering om tot verwijdering/wissing van bepaalde links over te gaan. De klacht werd in de loop van de procedure echter ingetrokken door de klager…

Context      

Recht op gegevenswissing , recht op vergetelheid

Implicaties van een afstand van klacht voor de bevoegdheid van de GBA

Rechtsgrond

Artikel 12.4 GDPR: “Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.”

Artikel 17 GDPR: “1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

 

a) de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

 

b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

 

c) de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

 

d) de persoonsgegevens zijn onrechtmatig verwerkt;

 

e) de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

 

f) de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

 

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

 

 a) voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b) voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c) om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;

d) met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.”

 

Feiten

Een persoon richt zich tot de Gegevensbeschermingsautoriteit omdat Google zou weigeren om de URL’s die verschijnen op “Google.be” en “Google.com” in de resultaten na een zoekopdracht op naam van de persoon te verwijderen. Nog voor er een zitting kan plaatsvinden, laat de persoon weten dat hij afstand wenst te doen van zijn klacht aangezien de URL’s waren verwijderd. Beide partijen geven aan de zaak niet verder te willen zetten.

Desondanks beslist de Geschillenkamer het onderzoek van de klacht voort te zetten. De Geschillenkamer stelt namelijk, net zoals in haar beslissing nr. 17/2020, dat eenmaal zij is gevat, zij bevoegd is om in volledige onafhankelijkheid  de  naleving  van  de  GDPR  te  onderzoeken  en  te  waken  over  de  effectieve toepassing  ervan,  en  dit  ongeacht  de  intrekking  van  de  klacht  door  de  klager  of  het  zonder voorwerp worden ervan. Het beslechten van geschillen is maar een van de taken van de Geschillenkamer. Zij moet meer in het algemeen toezicht houden op de naleving van de regels inzake gegevensbescherming.

Omwille van gebrek aan feitelijke elementen in deze zaak, beide partijen hadden na melding van afstand van de klacht namelijk geen verdere conclusies of documenten neergelegd, is het de Geschillenkamer niet mogelijk om verdere vaststellingen te doen omtrent een eventuele inbreuk op de GDPR en seponeerde zij alsnog de klacht.

 

Uitspraak   

De voorliggende klacht wordt geseponeerd bij gebrek aan feitelijke elementen.

Onze mening        

Onverminderd het feit dat partijen afstand hebben gedaan van de klacht, verklaart de Geschillenkamer van de Gegevensbeschermingsautoriteit zich nadat zij gevat is bevoegd om in onafhankelijkheid het onderzoek naar inbreuken verder zetten. Dit is logisch aangezien indien zij niet meer bevoegd zou zijn na dergelijke afstand van klacht, verwerkingsverantwoordelijken zouden kunnen volstaan met slechts gevolg te geven aan de verzoeken tot uitoefening van de rechten van de betrokkenen tijdens de procedure zelf. Iets wat de bescherming van persoonsgegevens niet ten goede zou komen en alleszins niet de bedoeling van de GDPR-beginselen is.

 

Definitief?  

Ja

Beslissing

Beslissing 63/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE 35/2020 VAN 30 JUNI 2020

 

 

Betreft:

Teneinde een toegangsverbod ten uitvoer te brengen werd door een griffier van de Sportrechtbank een screenshot van de profielfoto van de Klager, na bewerking, overgemaakt de sportcommissarissen van een event, alsook in CC aan de organiserende instelling.

Context:

Hergebruik van een profielfoto beschikbaar op facebook en GDPR door de Sportrechtbank m.h.o.o. de uitvoering en handhaving van een opgelegd toegangsverbod

Rechtsgrond:

Artikel 4. 7) GDPR: Voor de toepassing van deze verordening wordt verstaan onder:
[…]
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen
voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen
voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden
bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Artikel 6. 1) AVG:

  1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[…]

  1. f) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Feiten:

Een screenshot van een op facebook beschikbare foto werd verspreid via e-mail gericht aan derden, waaronder vrijwilligers en medewerkers van verweerster zonder dat de persoon in kwestie hiervoor zijn toestemming zou gegeven hebben.

De welbepaalde foto werd van facebook gehaald nadat de Sportrechtbank een aanwezigheidsverbod had opgelegd aan Klager.

In gevolge een vonnis van de Sportrechtbank werd klager veroordeeld tot “een algemeen verbod om aanwezig te zijn op trainingen, kampioenschappen of enige andere wedstrijd van om het even welke aard, georganiseerd onder de sportieve autoriteit van Y, dit voor een periode van 1 jaar. Dit verbod strekt zich uit tot elke plaats waar de competitie zich afspeelt, […]”.

Eerste verweerder is werknemer (griffier) van tweede verweerder, de Sportrechtbank.

Om het aanwezigheidsverbod te kunnen handhaven  werd in opdracht van de Sportrechtbank door de griffier een e-mail met de profielfoto van klager in bijlage uitgestuurd aan de sportcommissarissen van een welbepaald nakend event, alsook in cc aan de organiserende instelling.

Vooraleer deze profielfoto werd verspreid, werd deze ook bewerkt. De tweede persoon die op de foto te zien was, werd onzichtbaar gemaakt zodat enkel klager nog zichtbaar was.

De Geschillenkamer stelt vast dat de eerste verweerder het doel en de middelen voor de uitvoering van het vonnis van de Sportrechtbank heeft bepaald doordat de e-mail met foto in bijlage in haar naam en opdracht werd verzonden door de tweede verweerder die louter optrad in zijn functie van werknemer van de eerste verweerder.

De eerste verweerder, de werkgever wordt dus aangemerkt als verwerkingsverantwoordelijke in de zin van art. 4.7) GDPR.

Vervolgens is de geschillenkamer van oordeel dat er weldegelijk sprake is van een verwerking in de zin van artikel 4. 2) GDPR, gezien de foto op geautomatiseerde wijze aan de hand van bepaalde technologieën werd geraadpleegd om vervolgens te worden gebruikt en doorgezonden aan derden.

De Geschillenkamer oordeelt vervolgens dat verweerders zich terecht op art. 6.1 f) GDPR beroepen als grondslag voor de verwerking. Ten eerste stelt ze dat het feit dat een foto vrij toegankelijk werd gemaakt door de betrokkene zelf, geenszins het vrije hergebruik toelaat van de foto door derden die deze raadplegen. De Geschillenkamer benadrukt hiermee het principe dat het feit dat iemands profielfoto vrij toegankelijk is voor het publiek, niet betekent dat anderen deze vrij mogen gebruiken. Het gebruik is slechts mogelijk in geval van de aanwezigheid van een rechtsgrond zoals in casu art. 6.1 f) GDPR.

Op grond van rechtspraak van het Hof van Justitie dient aan drie cumulatieve voorwaarden voldaan te zijn opdat een verwerkingsverantwoordelijke zich rechtsgeldig kan beroepen op deze rechtmatigheidsgrond:

  1. De belangen die de verwerkingsverantwoordelijke met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (= de “doeltoets”);
  2. De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (= de noodzakelijkheidstoets”); en
  3. De afweging van deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen doorweegt in het voordeel van de verwerkingsverantwoordelijke (= de “afwegingstoets”).

Volgens de Geschillenkamer is aan de doeltoets voldaan omdat het belang dat de verweerder als verwerkingsverantwoordelijke nastreefde overeenkomstig overweging 47 GDPR als een gerechtvaardigd belang kan worden beschouwd. Het doeleinde dat erin bestaat uitvoering te geven aan het vonnis van de Sportrechtbank kan worden aangemerkt met oog op een gerechtvaardigd belang.

Ook de aan de noodzakelijkheidstoets is voldaan. Allereerst omwille van het feit dat door de foto te bewerken op zo een manier dat de andere persoon die op de profielfoto stond niet meer zichtbaar was, het beginsel van minimale gegevensverwerking werd gerespecteerd. Daarnaast stelt de Geschillenkamer vast dat de foto van de klager noodzakelijk was voor zijn identificatie om het aanwezigheidsverbod te kunnen handhaven. De wijze waarop de foto ter beschikking werd gesteld, hetzij via bijlage bij de betreffende e-mail, hetzij door rechtstreekse raadpleging via de Facebook pagina van klager, acht de Geschillenkamer irrelevant. Daardoor is ook op dit punt het beginsel van minimale gegevensverwerking gerespecteerd.

Ten slotte is volgens de Geschillenkamer ook voldaan aan de afwegingstoets tussen de belangen van de verwerkingsverantwoordelijke enerzijds en de fundamentele vrijheden en grondrechten van betrokkene anderzijds. De vraag die hiervoor dient gesteld te worden is: “mocht betrokkene op het tijdstip en in het kader van de verzameling van persoonsgegevens redelijkerwijze verwachten dat verwerking met dat doel kan plaatsvinden?”. Doordat de klager zelf de foto heeft gepubliceerd op zodanige wijze dat deze vrij toegankelijk is voor eenieder, is de Geschillenkamer van oordeel dat het binnen de redelijke verwachtingen van de klager valt dat derden zich toegang verschaffen tot de publiek gedeelde informatie en deze gebruiker. Doordat de Sportrechtbank naast het aanwezigheidsverbod ook stipuleert dat de griffier van het secretariaat van verweerder 1 wordt verzocht om dit verbod ter kennis te brengen van alle organisatoren van wedstrijden op Belgisch grondgebied, stelt de Geschillenkamer dat verweerders zich terecht beroepen op art. 6.1 f) GDPR.

Uitspraak:

Op basis van deze redenen en de informatie die de Geschillenkamer ter beschikking had, werd besloten de voorliggende klacht te seponeren.

Onze mening:

Doordat verweerders het beginsel van minimale gegevensverwerking hebben gerespecteerd door de foto op zo een manier te bewerken dat de andere persoon niet meer zichtbaar was én dat het vonnis van de Sportrechtbank verzocht  aan de griffier van het secretariaat van verweerder om het aanwezigheidsverbod ter kennis te stellen van alle organisatoren van wedstrijden op Belgisch grondgebied, werden ook volgens ons voldoende maatregelen genomen om te stellen dat er geen schending heeft plaatsgevonden van de GDPR regelgeving.

Deze klacht werd terecht geseponeerd.

 Definitief?

Ja.

Beslissing

 

 

Beslissing 35/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 64/2020 VAN 29 SEPTEMBER 2020

Betreft       

Een onderneming weigert de e-mailadressen van een gewezen gedelegeerd bestuurder af te sluiten bij zijn vertrek.

Context      

Het niet of niet-tijdig afsluiten van de e-mailbox van een gewezen gedelegeerd bestuurder door een KMO

Rechtsgrond

Artikel 5.1.b), c) en e) GDPR: (beginselen inzake verwerking van persoonsgegevens – doelbinding – minimale gegevensverwerking – opslagbeperking);

Artikel 6.1 GDPR: (rechtmatigheid van de verwerking);

Artikel 12.3 GDPR: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 17.1.a) GDPR: (recht op gegevenswissing („recht op vergetelheid”)).

Feiten

Een voormalig gedelegeerd bestuurder (hierna: bestuurder) van een KMO gespecialiseerd in medische hulpmiddelen dient een klacht in bij de Gegevensbeschermingsautoriteit omdat de KMO verschillende e-mailadressen die aan hem en zijn familieleden gekoppeld zijn – na zijn tewerkstelling – zou blijven gebruiken ondanks meermaals protest. De beëindiging van de tewerkstelling was abrupt en conflictueus, zonder overdracht van dossiers voor zijn opvolgers.

De KMO was oorspronkelijk een familiebedrijf en werd destijds opgericht door de vader van de voormalige bestuurder. Het betreft een gereglementeerde en gecontroleerde sector door het Belgisch Federaal Agentschap voor Geneesmiddelen en  Gezondheidsproducten  (FAGG).  In  veel  landen  bestaat  een  gelijkwaardig controleorgaan waarmee de KMO ook betrekkingen onderhoudt.

Een bepaalde mailbox zou vertrouwelijke, particuliere en professionele informatie bevatten. Zo vermoedt hij ook dat privéfoto’s die beschikbaar waren op de computers van hem en zijn vrouw werden gebruikt om een smakeloze fotomontage te maken, waarbij zijn vrouw een andere man kust.

Wat betreft de niet-naleving van het finaliteitsbeginsel als bedoeld in artikel 5.1. b) in combinatie met de niet-naleving van artikel 5.1. c) (minimalisering) en e), van de GDPR (beperking van de bewaartermijn) dient vooreerst te worden opgemerkt dat de KMO de verwerkingsverantwoordelijke is, aangezien zij het doel en de middelen bepaalt van de gegevensverwerking. Ten tweede zijn de betwiste e-mailadressen wel degelijk persoonsgegevens in de zin van de GDPR aangezien de gegevens kunnen leiden tot de identificatie van (natuurlijke) personen.

De betwiste e-mailadressen werden in twee fasen geschrapt. In een eerste stap werden de adressen met voornamen en achternamen geschrapt en in een tweede fase werden de adressen met alleen een verwijzing naar voornamen afgesloten. Het langer handhaven van deze laatste e-mailadressen bestond er namelijk in om geen belangrijke professionele boodschappen te verliezen gezien de belangrijke functie van gedelegeerd bestuurder.

De Geschillenkamer was echter van mening dat wanneer iemand zijn functie beëindigd, dat de verwerkingsverantwoordelijke uiterlijk op de dag van het vertrek de e-mailbox dient te blokkeren.  Deze  blokkering  zou dan moeten gebeuren  nadat  ze  daarvan  vooraf  zijn verwittigd  en  nadat  ze  een  automatisch  bericht  hebben  ingevoegd, dewelke alle volgende correspondenten verwittigd dat de betrokkene zijn functie binnen het bedrijf niet meer uitoefent. Hierbij moeten zij tevens de contactgegevens van de persoon (of het algemene e-mailadres) die in zijn plaats komt, meedelen en dit gedurende een redelijke periode (1-3 maand).

Aangezien de bestuurder al in november 2016 was ontslagen, had de verwerking van deze gegevens op die datum al moeten worden stopgezet of alleszins binnen een redelijke termijn na die datum. Ook de e-mailadressen van de familieleden hadden binnen de 1 tot 3 maanden moeten worden gedeactiveerd. De Geschillenkamer concludeert dan ook dat artikel 5.1.b), c) en e) van de GDPR niet in acht werd genomen.

Bovendien schrijft artikel 6 van de GDPR voor dat alle verwerkingen moeten berusten op een rechtsgrondslag. Aangezien de KMO geen rechtmatig belang kan aantonen om een verdere verwerking van persoonsgegevens (lees: e-mailadressen van de bestuurder) te rechtvaardigen, begaat de KMO een inbreuk op artikel 6 van de GDPR.

Tot slot heeft volgens artikel 17.1.a) en artikel 12.3 van de GDPR de bestuurder het recht om zijn gegevens te laten wissen wanneer deze gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld of verwerkt. Aangezien de KMO het verzoek niet beantwoordde binnen de maand, zonder opgave van enige reden, heeft zij niet voldaan aan bovenstaande artikelen.

Uitspraak

Naast een berisping en het uitvaardigen van een nalevingsbevel voor het invoeren van een beleid waarbij de e-mailboxen worden afgesloten in geval van vertrek, is de Geschillenkamer van mening dat een administratieve boete van € 15.000,00 gerechtvaardigd is.

Onze mening        

De principes van rechtmatigheid, doelbinding, minimale gegevensverwerking en proportionele gegevensbewaring zijn de grondbeginselen van de GDPR. Indien hierop wordt gezondigd, zal de Geschillenkamer automatisch in strengere straffen voorzien. Er wordt een boete van maar liefst van € 15.000,00 opgelegd.

Een verwerkingsverantwoordelijke moet er steeds voor zorgen dat uiterlijk op datum van vertrek of binnen een redelijke termijn (1-3 maanden) de betreffende mailadressen gedeactiveerd moeten worden.

Definitief?  

Ja

 

 

 


Beslissing

Beslissing 64/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 34/2020 VAN 23 JUNI 2020

 

Betreft        

Verzekeringsmaatschappijen verwerken bewust persoonsgegevens van klanten die zijn opgenomen in de Kruispuntbank van de voertuigen. Ze verkrijgen deze toegang via het informatieplatform INFORMEX NV. Een rechtsgeldige verwerking volgens de GBA?

Context       

Verzekeringsmaatschappijen hebben toegang tot gegevens vervat in de Kruispuntbank van voertuigen

Rechtsgrond

Artikel 5.1.b) GDPR: (Beginselen inzake verwerking van persoonsgegevens – doelbinding);

Artikel 6.1 GDPR: (Rechtmatigheid van de verwerking)

Artikel 12 GDPR: (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

Artikel 13 GDPR: (Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

Artikel 14 GDPR: (Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke);

Artikel 31 GDPR: (Medewerking met de toezichthoudende autoriteit);

Artikel 33 GDPR: (Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit);

Artikel 37 GDPR: (Aanwijzing van de functionaris voor gegevensbescherming);

Artikel 38 GDPR : (Positie van de functionaris voor gegevensbescherming).

Feiten

Op een gegeven ogenblik beslist het Directiecomité van de Gegevensbeschermingsautoriteit (hierna: GBA) om een dossier aanhangig te maken bij de Inspectiedienst aangezien het ernstige aanwijzingen heeft dat bepaalde verzekeringsondernemingen toegang zouden krijgen tot de persoonsgegevens vervat in de Kruispuntbank van voertuigen. Dit met als doel deze commercieel te exploiteren. Meer bepaald zouden deze verzekeringsondernemingen toegang verkrijgen via het informatieplatform Informex NV.

Enkele vaststellingen die door de inspectiedienst werden gedaan:

1) Wat betreft de vaststellingen inzake het principe van doelbinding (artikel 5.1.b) en de rechtmatigheid van de verwerking (artikel 6.1 GDPR)

De Inspectiedienst stelt vast dat de FOD Mobiliteit en Vervoer (verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens opgenomen in de Kruispuntbank van voertuigen) al sinds 2017 op de hoogte was van het feit dat Informex NV ervoor zorgt dat verzekeringsmaatschappijen gebruik kunnen maken van bepaalde persoonsgegevens afkomstig uit de Kruispuntbank van voertuigen,  zodat  deze ondernemingen  op  basis  van  die  gegevens  een  gepersonaliseerd  prijsaanbod  kunnen  opstellen voor potentiële verzekeringsnemers.

Conform het KB van 8 juli 2013 (hierna: KB KBV) is het echter verboden om persoonsgegevens die werden verkregen via de Kruispuntbank van voertuigen te gebruiken voor direct marketingdoeleinden. De Geschillenkamer concludeert dat de praktijk waarbij de klanten van de NV Informex persoonsgegevens verkregen via de KBV verwerken met het oog op het opstellen van een individueel prijsaanbod als direct marketing moet aanzien worden.

Bovendien somt de wet KBV een beperkt aantal doelen van algemeen belang op waarbij de via de Kruispuntbank verkregen persoonsgegevens niet mogen worden gebruikt voor andere doeleinden.

De Geschillenkamer stelt dat zowel de FOD Mobiliteit en Vervoer, als de NV Informex, alsook diens klanten (de verzekeringsmaatschappijen) als verwerkingsverantwoordelijken dienen te worden gekwalificeerd, aangezien zij elk het doel en de middelen van hun respectieve verwerkingsprocessen bepalen. Zij zijn bijgevolg in hun hoedanigheid van verwerkingsverantwoordelijke overeenkomstig de in artikel 5.2. en 24 GDPR vervatte verantwoordingsplicht voor hun eigen verwerkingsproces verantwoordelijk voor de naleving van de beginselen van de GDPR en het aantonen hiervan.

De verwerking van de persoonsgegevens vervat in de Kruispuntbank van de voertuigen gebeurt  door  elk  van  de  hierboven  geïdentificeerde  verwerkingsverantwoordelijken  op  grond van een andere rechtmatigheidsgrond.

Zo baseert NV Informex de doorgifte van de gegevens uit de KBV aan verzekeraars op de doeleinden van algemeen belang vervat in het KB KBV, met name: “de  veiligheid,  en  het  verbeteren  van  de bescherming van de consument (…)” en “het vermijden van fraude aan de voertuigverzekering”. Op zijn beurt verwerken de klanten van de NV Informex (de verzekeraars) de persoonsgegevens op grond van toestemming van de betrokkenen. Deze toestemming kan evenwel nooit rechtsgeldig zijn, aangezien de verwerking kan gekwalificeerd worden als direct marketing wat wordt verboden door het KB KBV. Een toestemming kan nooit rechtsgeldig zijn indien zij betrekking heeft op een verwerking die wettelijk is verboden.

Bovendien is de  Geschillenkamer van  oordeel  dat  de  dienst  aangeboden  door  verzekeraars,  waarbij op basis van de kentekenplaat de gegevens van het voertuig in de Kruispuntbank van de voertuigen worden opgevraagd teneinde gepersonaliseerde prijsopgaven op te stellen, niet kan  worden  ondergebracht  onder  deze  doeleinden  van  algemeen  belang  van  het  KB  KBV. Deze dienst betreft immers de commerciële relatie tussen de verzekeraar en diens klanten en niet de verwezenlijking door de NV Informex van de haar door dit KB toegekende taken van (onder meer) consumentenbescherming en fraudebestrijding. Deze verwerking schendt aldus het beginsel van doelbinding, zoals vervat in artikel 5.1.b) GDPR.

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 5.1.b) en 6.1. GDPR kan worden vastgesteld, kan – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste. Zij had immers te goeder trouw en conform het advies van de gewezen CBPL (Commissie voor de bescherming van de persoonlijke levenssfeer) gehandeld, wat haar uiteraard – gelet op het gewekt vertrouwen – achteraf niet verweten kan worden.

2) Wat betreft de vaststellingen betreffende de naleving van de verantwoordelijkheid van de verwerkingsverantwoordelijke (artikel 24 GDPR), de beveiliging van de verwerking (artikel 32 GDPR) en de melding van  een  inbreuk  in  verband  met  persoonsgegevens  aan  de  toezichthoudende overheid (artikel 33 GDPR)

Hoewel de Geschillenkamer van oordeel is dat een inbreuk op de artikelen 24, 32 en 33 GDPR kan worden vastgesteld, kan ook hier – gelet op het rechtszekerheidsbeginsel – geen sanctie worden opgelegd aan deze laatste.

3) Wat betreft de vaststellingen betreffende de aanwijzing van de functionaris voor gegevensbescherming (hierna: DPO) (artikel 37 GDPR) en diens positie (artikel 38 GDPR)

Gezien het feit dat FOD Mobiliteit en Vervoer een overheidsinstantie is, is deze verplicht een DPO aan te stellen met de nodige expertise (artikel 37.1.a) GDPR.

De  Geschillenkamer  stelt  vast  op  basis  van  de  overgemaakte  stukken  dat  de  door de FOD Mobiliteit en Vervoer aangeduide DPO overeenkomstig artikel 37.5. GDPR werd aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming. Dit blijkt meer bepaald uit  de  bij  de  conclusie  van  antwoord  gevoegde  bewijsstukken  betreffende  de  opleiding  tot  “certified DPO” en de certificaten behaald door betrokkene. Bijgevolg ligt er geen inbreuk voor op de artikelen 37 en 38 GDPR.

4) Wat betreft de vaststellingen betreffende de naleving van de medewerkingsplicht (artikel 31 GDPR en artikel 66, §2 WOG)

In  zijn  verslag  stelt  de  Inspectiedienst  ten  eerste  dat  de FOD Mobiliteit en Vervoer niet binnen de opgelegde termijn van één maand antwoordde op de door haar gestelde vragen. Ten  tweede  stelt  de  Inspectiedienst  dat  de  FOD Mobiliteit en Vervoer  geen  kopie  voorlegde  van  de  documenten  die  de  keuze  voor  de  heer  Y  als  DPO  verantwoorden.

Wat betreft de eerste tenlastelegging roept de FOD Mobiliteit en Vervoer een overmachtssituatie in (namelijk het overlijden familielid medewerker verantwoordelijk voor het beantwoorden van deze vragen). Bijgevolg vond er een kleine vertraging plaats. Met betrekking tot het tweede luik van deze tenlastelegging dient erop te worden gewezen dat de FOD Mobiliteit en Vervoer weldegelijk een kopie overmaakte van de documenten die de keuze voor de heer Y als DPO staven. Het betreft meer bepaald de functieomschrijving voor de positie, alsook de door betrokkene behaalde ISO-certificaten. Bijgevolg ligt er geen inbreuk voor op artikel 31 GDPR.

5) Wat betreft  de  vaststellingen  betreffende  de  naleving  van  de  transparantieverplichtingen (artikel 12 GDPR) en de te verstrekken informatie (artikelen 13 en 14 GDPR)

De Geschillenkamer stelt ten eerste vast dat de privacyverklaring van de FOD Mobiliteit en Vervoer onvolledig is wat betreft de door de FOD Mobiliteit en Vervoer verzamelde en verwerkte persoonsgegevens. Ten  tweede  dient  te  worden  vastgesteld  dat  de  privacyverklaring  niet  op  voldoende  gedetailleerde wijze de rechtmatigheidsgrond van artikel 6.1. GDPR vermeldt op basis waarvan de FOD Mobiliteit en Vervoer de door hem verzamelde persoonsgegevens verwerkt.

Hiermee samenhangend stelt de Geschillenkamer ten derde vast dat de FOD Mobiliteit en Vervoer eveneens op onvoldoende precieze wijze de verwerkingsdoeleinden omschrijft waarvoor de persoonsgegevens  worden  verzameld.

Ten vierde dient te worden vastgesteld dat eveneens de bewaartermijn van de persoonsgegevens onvoldoende wordt gepreciseerd teneinde te voldoen aan de vereisten van artikel 13.2. en 14.2. a) GDPR.

Ten  vijfde  stelt  de  Geschillenkamer  vast  dat  de  privacyverklaring  van  de  FOD Mobiliteit en Vervoer  geen  limitatieve  lijst  bevat  van  de  (categorieën  van)  ontvangers  van  de  door  hem  verzamelde persoonsgegevens  zoals  vereist  door  artikelen  13.1.  en  14.1. e) GDPR.

De Geschillenkamer wijst er daarenboven op dat de FOD Mobiliteit en Vervoer als openbare overheid een voorbeeldfunctie heeft op het vlak van de naleving van de wetgeving inzake de bescherming van persoonsgegevens en bovendien een grote hoeveelheid persoonsgegevens verwerkt en dat deze er bijgevolg overeenkomstig het beginsel “lead by example” te allen tijde dient over te waken te handelen conform deze wetgeving en in het bijzonder de hierboven genoemde essentiële bepalingen van de GDPR betreffende transparantie.

De Geschillenkamer is om de hierboven uiteengezette redenen van oordeel dat een inbreuk op de artikelen 12, 13 en 14 GDPR dient te worden vastgesteld.

Uitspraak    

Ten eerste wordt de onderneming bevolen om de verwerking van persoonsgegevens in overeenstemming te brengen met de artikelen 5.1. b) en 6.1 GDPR, 12, 13 en 14 GDPR. Ten tweede komt zij er vanaf met enkel een berisping voor wat betreft de schending van de artikelen 12,13 en 14 GDPR.

Onze mening         

 

Een van de belangrijkste punten om mee te nemen is – en dat is iets dat zeer vaak terugkomt in de praktijk – is het principe van accountability. Het kunnen verantwoorden waarom er bepaalde persoonsgegevens worden verzameld. Gelet op het feit dat de verwerkinsgsverantwoordelijke eerst advies had ingewonnen van de voormalige CBPL of Privacycommissie en dus te goeder trouw handelde, kan haar achteraf niet worden verweten. Reden waarom er slechts een berisping werd gegeven in plaats van een geldboete.

Tweede belangrijk punt is dat een toestemming nooit rechtsgeldig kan worden verleend voor verwerkingen die wettelijk zijn verboden. Ten derde mag een DPO niet zomaar iemand zijn, de verwerkingsverantwoordelijke moet aantonen dat die persoon werd aangesteld omwille van zijn of haar kwalificaties. Uiteindelijk werd er in casu wel een certificaat voorgelegd. Problemen hadden wel vermeden kunnen worden door dit tijdig over te maken. Ten vierde moet je altijd tijdig reageren op vragen van de inspectiedienst (binnen één maand). En tot slot, wat betreft het finaliteitsbeginsel: de kruispuntbank is uiteraard niet opgericht om te dienen als platform voor direct marketing.

Definitief?  

Ja

Beslissing

Beslissing 34/2020

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 33/2020 VAN 19 JUNI 2020

 

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

 

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!