Tag: PERSOONSGEGEVENS
PREDIKEN VAN DEUR-TOT-DEUR EN GEGEVENSBESCHERMING: GETUIGEN VAN JEHOVA T. FINLAND (EHRM 09.05.2023)

Getuigen van Jehova werden in Finland op hun vingers getikt voor de verwerking van persoonsgegevens bij hun deur-tot-deur prediken, wat resulteerde in een procedureslag. Het Europees Hof voor de Rechten van de Mens oordeelde in haar beslissing dd. 09.05.2023 uiteindelijk over de afweging tussen het recht op godsdienstvrijheid en het recht op privacy, meer bepaald databescherming.

Feiten en voorgaanden

De “Data Protection Ombudsman” (hierna: “de Ombudsman”), de Finse toezichthouder op het vlak van gegevensbescherming, onderzocht reeds in 2000 het prediken van deur tot deur van de Getuigen van Jehova en uitte haar bezorgdheid omtrent de verwerking van persoonsgegevens die hierbij plaatsvond en adviseerde dat dit enkel kon met de toestemming van de betrokkenen.

De Getuigen van Jehova namen immers notities bij deze praktijk en dit zou wel eens als een bestand van persoonsgegevens beschouwd kunnen worden. Na bevraging in dit kader bevestigde de gemeenschap van Getuigen van Jehova dat lokale congregaties een handmatig archiefsysteem hanteerden met de namen en adressen van personen die wensten niet bezocht te worden door Getuigen van Jehova. Volgens de gemeenschap gebeurde dit  op basis van de bewuste en vrijwillige toestemming tot verwerking van hun persoonsgegevens door het loutere feit dat ze vroegen niet bezocht te worden en dat de lokale congregaties hier geen gevolg aan konden geven zonder de naam en het adres te verzamelen. Volgens de gemeenschap zouden de individuele leden niet onder enige verplichting staan om de gegevens bij te houden. Deze gegevens zouden niet gezien worden door, in bezit komen van of bewaard worden door de gemeenschap of lokale congregaties en zouden in principe uiteindelijk door het individuele lid verwijderd worden.

De gemeenschap of de lokale congregaties zouden geen lijsten, indexen of folders bijhouden van geïnteresseerden. De congregatie handelt enkel als een informeel mailingssysteem waarbij een oudere van de congregatie persoonlijke notities van een individu doorstuurden naar een andere individuele Getuige van Jehova. Noch de oudere, noch de gemeenschap zouden kopieën bewaren of de persoonsgegevens op enige wijze gebruiken.

Aangezien dit niet door de beugel kon volgens de Ombudsman, diende deze een verzoek in bij haar Data Protection Board om de gemeenschap te verbieden persoonsgegevens te verzamelen en op andere wijze te gebruiken in het kader van haar deur-tot-deur prediken, zonder de toestemming van de betrokkenen.

De Data Protection Board legde de gemeenschap het verbod op tot verzamelen en verwerken van persoonsgegevens in verband met het deur-tot-deur prediken indien er geen ondubbelzinnig akkoord van de betrokkene bekomen is. Binnen een periode van 6 maanden moest de gemeenschap dit in orde brengen.

Bij het noteren van namen, adressen en andere persoonlijke gegevens – zij het als geheugensteuntje bij het opnieuw bezoeken van geïnteresseerden volgens de gemeenschap – worden wel degelijk persoonsgegevens, die kunnen worden teruggevonden, verzameld. Wanneer de betrokkene zijn religieuze gezindheid of gezondheidstoestand wordt genoteerd, wordt er zelfs gevoelige data verzameld. De Data Protection Board oordeelde dat zowel de gemeenschap als de leden verwerkingsverantwoordelijken zijn in dit verband.

De gemeenschap en twee individuele Getuigen van Jehova gingen hiertegen in beroep bij het “Administrative Court” van Helsinki. Ze verzochten om de beslissing te wijzigen zodat noch de gemeenschap, noch de individuele leden als verwerkingsverantwoordelijken bestempeld worden. De private notities in het kader van het deur-tot deur prediken zouden kaderen in louter persoonlijke doeleinden voor vergelijkbare gewoonlijke en private doeleinden. Er werd ook een mondelinge hoorzitting verzocht. Dit laatste werd geweigerd.

Het Adminstrative Court oordeelde eveneens dat de verzameling van persoonsgegevens in dit kader niet gezien kon worden als uitgevoerd ten louter persoonlijke doeleinden, maar dat dit kaderde binnen de activiteiten van de gemeenschap en de manifestatie van haar geloof en dat van haar individuele leden. De expliciete toestemming van de betrokkenen is dan ook noodzakelijk voor de verzameling en verwerking van hun persoonsgegevens. Er werd evenwel  geoordeeld dat de gemeenschap niet als verwerkingsverantwoordelijke gezien kon worden aangezien ze enkel instructies in verband met de verwerking van persoonsgegevens had gegeven. Het werd namelijk niet aangetoond dat de persoonsgegevens in een dossier voor de gemeenschap werd bijgehouden waarover deze enige bevoegdheid zou uitoefenen.

De Ombudsman ging hierop in beroep bij het “Supreme Adminstrative Court”.

Het Supreme Administrative Court verzocht een prejudiciële beslissing van het Hof van Justitie van de Europese Unie met betrekking tot de kwestie of de gemeenschap als verwerkingsverantwoordelijke beschouwd moet worden. Hierbij werd verwezen naar het feit dat de gemeenschap en haar lokale congregaties territorium kaarten bijhield met als doel de territoria te verdelen tussen de leden die deelnemen aan het deur-tot-deur prediken, alsook een “prohibition register” waarin werd opgenomen welke personen verzocht hadden niet bezocht te worden.

In haar arrest stelde het Hof van Justitie allereerst dat de activiteiten van de gemeenschap en haar leden bij het deur-tot-deur prediken door haar eigen aard, bedoeld is om het geloof van de gemeenschap van de Getuigen van Jehova te verspreiden en dus naar buiten toe, weg van de private sfeer van de persoon die de persoonsgegevens verwerkt in dat kader.

Het Hof van Justitie stelde daarnaast vast dat de gemeenschap van Getuigen van Jehova wel degelijk als gezamenlijke verwerkingsverantwoordelijke met haar leden beschouwd moet worden aangezien zij het doel en de middelen van het deur-tot-deur prediken en dus ook minstens indirect van de gegevensverwerking in dit kader bepaalde door het organiseren, coördineren en aanmoedigen van het prediken en de dataverzameling in dat verband.

Het Supreme Administrative Court vernietigde hierop de beslissing van de Administrative Court in zover dat deze laatste de beslissing van de Board vernietigde. Het verzoek tot een mondelinge hoorzitting werd hierbij eveneens afgewezen aangezien de schriftelijke verklaringen van de getuigen ervoor zorgde dat het Hof voldoende geïnformeerd dit kon beoordelen en een hoorzitting niet noodzakelijk was.

Het arrest van het Europees Hof voor de Rechten van de Mens

Op 10 juni 2019 werd door de gemeenschap van Getuigen van Jehova de zaak voor het Europees Hof voor de Rechten van de Mens (hierna: “EHRM”) gebracht. Er werd door hen een schending aangevoerd van zowel artikel 6 als artikel 9 van het Europees Verdrag voor de Rechten van de Mens (hierna: “EVRM”).

Artikel 6 EVRM – Recht op een eerlijk proces

De gemeenschap voerde aan dat haar recht op een eerlijk proces geschonden werd door het gebrek aan mondelinge hoorzittingen in de nationale procedures.

Artikel 6 § 1 EVRM bepaalt in dat verband als volgt:

“1. Bij het vaststellen van zijn burgerlijke rechten en verplichtingen of bij het bepalen van de gegrondheid van een tegen hem ingestelde vervolging heeft een ieder recht op een eerlijke en openbare behandeling van zijn zaak, binnen een redelijke termijn, door een onafhankelijk en onpartijdig gerecht dat bij de wet is ingesteld. (…)”

Er werd geen enkele mondelinge hoorzitting gehouden in de nationale procedures. Het dient wel opgemerkt te worden dat hierom enkel verzocht werd door de Gemeenschap in de administratieve procedures.

Door het EHRM wordt opgemerkt dat in de procedure voor het Administrative Court de Gemeenschap niet gespecifieerd had welk bewijs zij wenste te voor te leggen op de gevraagde mondelinge hoorzitting. Dit is vereist door artikel 38 (3) van de toepasselijke Administrative Judicial Procedure Act. Daarnaast werd eveneens niet verduidelijkt waarom het noodzakelijk zou zijn om dat bewijs in een hoorzitting en niet schriftelijk voor te leggen.

Het EHRM kan zich vinden in de beoordeling van de Administrative Court waarbij zij ten eerste geen nood zagen voor een hoorzitting voor de klachten van de individuele leden die afgewezen worden zonder onderzoek ten gronde en ten tweede, bij de zaken die wel ten gronde werden beoordeeld, de hoorzitting manifest onnodig was in het licht van de uitkomst van de zaak, welk in het voordeel van de Gemeenschap was.

Wat betreft de procedure voor het Supreme Administrative Court wordt het relevant geacht dat de Gemeenschap niet in haar eerste procedurestukken verzocht om de mondelinge hoorzitting, maar slechts in de laatste ronde na de prejudiciële beslissing van het Hof van Justitie. De Gemeenschap vond dat de relevante feitelijke problemen met betrekking tot de aard van het deur-tot-deur prediken, het concept van archiefsysteem en de deelname in de verwerken van de persoonsgegevens niet beantwoord zou zijn geweest door de prejudiciële beslissing. Hierbij werd de schriftelijke getuigenverklaring van 24 getuigen van Jehova gevoegd, welke zij wensten gehoord te zien in de hoorzitting.

Het horen van de getuigen werd niet noodzakelijk bevonden en de schriftelijke verklaringen werden in de beslissing in overweging genomen.

Verder benadrukt het EHRM dat de afwezigheid voor een tweede of derde aanleg-rechtscollege beoordeeld moet worden in het licht van de gehele procedures. De praktijk van verzamelen en verwerken van persoonsgegevens door individuele Getuigen van Jehova was het onderwerp van debat op nationaal niveau voor vele jaren en de Gemeenschap heeft dan ook gebruik gemaakt van de mogelijkheid om bewijs en argumenten aan te voeren met betrekking tot alle feitelijke en juridische punten. Het EHRM is dan ook overtuigd dat er geen beslissende feiten zijn die enkel in een hoorzitting naar voren gebracht konden worden, waarover nog discussie bestond. Daarnaast noodzaakten de juridische problemen aan de kern van de procedures geen mondelinge hoorzitting.

Het EHRM besluit dat er geen schending is van artikel 6 van het EVRM omwille van het ontbreken van een mondelinge hoorzitting in de nationale procedures.

Artikel 9 EVRM – Vrijheid van gedachte, geweten en godsdienst ↔ Artikel 8 EVRM –Recht op eerbiediging van privé-, familie- en gezinsleven

De kern van de hele kwestie bevindt zich op de balans tussen enerzijds de vrijheid van godsdienst (artikel 9 EVRM) en anderzijds het recht op eerbiediging van privéleven (recht op Privacy – artikel 8 EVRM).

Artikel 9 EVRM:

“1. Een ieder heeft recht op vrijheid van gedachte, geweten en godsdienst; dit recht omvat tevens de vrijheid om van godsdienst of overtuiging te veranderen, alsmede de vrijheid hetzij alleen, hetzij met anderen, zowel in het openbaar als privé zijn godsdienst te belijden of overtuiging tot uitdrukking te brengen in erediensten, in onderricht, in practische toepassing ervan en in het onderhouden van geboden en voorschriften.

2. De vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen kan aan geen andere beperkingen worden onderworpen dan die die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

In rechtspraak van het EVRM werd reeds bevestigd dat dit behoort tot een van de fundamenten van een democratische samenleving. Het behoort tot een van de meest cruciale elementen die bijdragen tot het vormen van de identiteit van gelovigen en hun levensopvatting, alsook is het zeer belangrijk voor de atheïsten, agnosten, sceptici en de onbekommerde. De vrijheid om al dan niet een religieuze overtuiging te hebben en al dan niet een godsdienst te belijden wordt beschermd door artikel 9 EVRM. Meer bepaald is het verspreiden van informatie over een bepaalde geloofsovertuiging aan anderen die deze geloofsovertuiging niet hebben, ook bekend als missionariswerk, beschermd.

Artikel 8 EVRM:

“1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

 

Het concept privéleven is zeer breed. Rechtspraak van het EHRM heeft duidelijk gemaakt dat het recht om privé te leven, weg van ongewenste aandacht wordt hieronder wordt geplaatst. Het werd eveneens reeds bevestigd en herhaald in dit arrest, dat het recht tot bescherming van persoonsgegevens door artikel 8 wordt gewaarborgd. Dit laatste is van fundamenteel belang voor een individu zijn genot van het recht tot eerbiediging van privé-en familieleven zoals vervat in artikel 8 EVRM.

Concrete afweging in deze zaak

Artikel 9 §2 EVRM laat ruimte voor een inmenging indien dit voorgeschreven is per wet, voor een legitiem doel en noodzakelijk is in een democratische samenleving.

Teneinde te oordelen of er aan schending van artikel 9 EVRM plaatsvond door het verbod dat door de Data Protection Board werd opgelegd om persoonsgegevens zonder expliciete toestemming te verwerken, beoordeelde het Hof achtereenvolgend:

  1. Het bestaan van een inmenging;
  2. Of de inmenging voorgeschreven is bij wet;
  3. Een legitiem doel wordt nagestreefd;
  4. De inmenging noodzakelijk in een democratische samenleving is.

Allereerst stelt het EHRM vast dat de toepassing van de vereiste van toestemming voor de verzameling en verwerking van persoonsgegevens en gevoelige gegevens door de Getuigen van Jehova in het kader van het deur-tot-deur prediken een inmenging uitmaakt van het recht op privéleven van de Gemeenschap.

Vervolgens staat het vast dat de inmenging een wettelijke basis had in de Personal Data Act.

Het legitiem doel bestaat uit het beschermen van de rechten en vrijheden van andere, betrokkenen in het licht van hun persoonsgegevens in dit geval.

Wat betreft de noodzaak in een democratische samenleving, verduidelijkt het EHRM dat de betrokkenen een redelijke verwachting van privacy hadden en mochten verwachten dat de bepalingen i.v.m. verwerking persoonsgegevens nageleefd werden bij de persoonsgegevens en gevoelige gegevens die verzameld en verwerkt werden bij het van deur-tot-deur prediken. Het vereisen van toestemming door de betrokkene is een gepaste en noodzakelijke waarborg teneinde te voorkomen dat enige communicatie of bekendmaking van persoonlijke en gevoelige gegevens in deze context voorvalt. Het EHRM ziet niet in hoe het vragen en verkrijgen van toestemming  het recht op vrijheid van godsdienst van de Gemeenschap en haar leden zou verhinderen. Enige bewijs van het tegendeel werd niet geleverd.

De nationale rechtbanken hebben dan ook een evenwichtige balans (“fair balance”) gevonden tussen beide rechten en er is geen schending van artikel 9 van het EVRM.

 

 

De Getuigen van Jehova hadden steeds (en zullen dus in de toekomst ook) de bepalingen en principes i.v.m. verwerking van persoonsgegevens moeten naleven en hebben nood aan de duidelijke en expliciete toestemming van de betrokkenen om de verwerking uit te voeren.

Indien u nog vragen heeft kan u steeds het Studio Legale team bereiken via het telefoonnummer 03/216.70.70 of via mail: [email protected].

RECHTSPRAAK GBA: BESLISSING TEN GRONDE NR. 33/2020 VAN 19 JUNI 2020

 

Betreft       

Een onderneming krijgt te maken met verschillende vragen over hoe en waarom zij bepaalde persoonsgegevens verwerkt. Een les over hoe het (niet) moet?

Context

Recht op inzage en het nemen van technische en organisatorische maatregelen als verwerkingsverantwoordelijke

Rechtsgrond

Artikel 5 GDPR: (beginselen inzake verwerking van persoonsgegevens);

Artikel 6 GDPR: (Rechtmatigheid van de verwerking);

Artikel 15 GDPR: (Recht van inzage van de betrokkene);

Artikel 24 GDPR: (Verantwoordelijkheid van de verwerkingsverantwoordelijke).

Feiten

De functionaris voor gegevensbescherming (hierna: DPO) van een onderneming die workshops aanbiedt, ontvangt een vraag omtrent de verwerking van bepaalde persoonsgegevens. Een bepaalde persoon (hierna: de heer X) ontving namelijk de vraag om een bepaalde workshop te volgen, hoewel hij geen klant is bij de onderneming. Om adequaat een antwoord te kunnen formuleren, vraagt de DPO om

bijkomende informatie ter identificatie van de heer X in haar databank.

Een paar weken later ontvangt de heer X wederom een nieuw commercieel e-mailbericht van de onderneming. De heer X schrijft de DPO aan met onder meer de volgende vragen:

  • Welke grondslag volgens de GDPR gebruiken jullie om mij deze mails te sturen?
  • Waar hebben jullie mijn gegevens vandaan?
  • Welke gegevens hebben jullie van mij?

Uit dit schrijven blijkt dus dat de heer X danig op de hoogte is van de geldende privacywetgeving. Een antwoord uit hoofde van de DPO blijft uit waardoor de zaak aanhangig wordt gemaakt bij de Geschillenkamer.

Na verder onderzoek haalt de onderneming aan dat de e-mailberichten die werden verstuurd naar de heer X niet voor hem bestemd waren, maar voor een andere persoon met dezelfde naam en voornaam. Zij vraagt dan ook om de buitenvervolgstelling gezien de verwerking van het e-mailadres van de heer X het gevolg was van een manuele vergissing en de verwerking van persoonsgegevens louter accidenteel was.

Artikel 5.1.a) GDPR stelt onder meer dat persoonsgegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk, transparant en juist is. Artikel 6 GDPR legt vervolgens vast op welke manier een verwerking op rechtmatige wijze geschiedt.

Gelet op de verklaringen van de onderneming, beschouwt de Geschillenkamer de verwerking van het e-mailadres van de heer X als onrechtmatig. Geen van de voorwaarden onder artikel 6.1 GDPR is namelijk vervuld. Anderzijds begrijpt de Geschillenkamer het argument van de onderneming dat dit een manuele vergissing betreft en dat zij nooit tot doel had de persoonsgegevens te verwerken van de heer X omdat hij niet behoort tot het doelpubliek.

Maar doordat de onderneming het foutief e-mailadres van de heer X niet onmiddellijk heeft gewist, is zij nalatig geweest in het nemen van ‘redelijke maatregelen’ teneinde de juistheid van de persoonsgegevensverwerking te verzekeren, wat nochtans wordt voorgeschreven door artikel 5, lid 1, c) GDPR.

Wat opvalt is dat de heer X al van in het begin heeft verzocht tot inzage van zijn persoonsgegevens. De onderneming was dan ook conform artikel 12.3 GDPR gehouden om de betrokkene binnen de maand informatie te verstrekken over het gevolg dat aan het verzoek is gegeven. Pas een week na de verstreken termijn krijgt de heer X in een e-mail te horen dat hij niet in de databank van de onderneming verschijnt.

Bovendien geeft de onderneming geen overzicht van de gegevens die zij over de heer X heeft, noch uitsluitsel over het al dan niet verwerken van (andere) persoonsgegevens van hem. Nochtans is de onderneming als verwerkingsverantwoordelijke gehouden een kopie te verstrekken van de persoonsgegevens aan de betrokkene. Op basis hiervan besluit de Geschillenkamer dat er geen afdoende gevolg is gegeven aan het verzoek tot inzage van de heer X overeenkomstig artikel 15 GDPR. Kortom werden er onvoldoende technische en organisatorische maatregelen genomen waardoor ook artikel 24 GDPR werd geschonden.

Uitspraak   

Ten eerste wordt de onderneming bevolen om onmiddellijk gevolg geven te geven aan het verzoek tot inzage van de persoonsgegevens van de heer X. Ten tweede dient de onderneming de verwerking van persoonsgegevens in overeenstemming te brengen met de bepalingen van de GDPR. Omdat de onderneming nalatig is geweest, wordt er naast een berisping, ook een administratieve geldboete van maar liefst € 10.000,00 opgelegd.

Onze mening        

Een loutere manuele vergissing vormt geen excuus. De verwerkingsverantwoordelijke blijft verantwoordelijk en moet ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om dergelijke vergissingen te voorkomen.

Daarnaast is het tijdig én volledig antwoorden zeer belangrijk in het kader van het uitoefenen van de rechten door de betrokkene. U dient als verwerkingsverantwoordelijk binnen de maand na het verzoek tot inzage te reageren. Doet u dit niet, dan begaat u automatisch een schending van de GDPR met mogelijks een (hoge) boete tot gevolg. Wees dus steeds alert!

Definitief?  

Ja

Beslissing

Beslissing 33/2020

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Rechtspraak GBA: Beslissing ten gronde nr. 02/2019 van 2 april 2019

Een gestandaardiseerde mail met meerdere cliënten zichtbaar in CC kan niet door de beugel.


Context

Mailing naar klanten i.v.m. BTW-attest aan tarief van 6% zichtbaar voor alle bestemmelingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Artikel 24.1 en 2 GDPR:
“1.  Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Artikel 25.1 en 2 GDPR:

“1.  Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”


Feiten

De klacht situeert zich in het kader van een globale e-mail die door de aannemer werd gestuurd aan al zijn klanten, waarbij alle klanten aan wie de mail werd gericht, zichtbaar waren voor alle bestemmingen van de betreffende mail.

De GDPR verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te treffen zodat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

De Geschillenkamer concludeert dat de aannemer onvoorzichtig is geweest door het e-mailadres van de klager en de e-mailadressen van de andere klanten in één lijst samen te voegen. Enkel door de gegevens van klanten gescheiden te houden, kan men de privacy van de klanten waarborgen. Het per ongeluk of opzettelijk delen is irrelevant voor de beoordeling van het onrechtmatig karakter van de verwerking.

De inbreuk op art. 5.1.b), art. 6.4., art. 24.1 en 2. en art. 25.1. en 2. GDPR is bijgevolg bewezen. Persoonsgegevens moeten immers voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.


Uitspraak     

De Geschillenkamer besluit de aannemer een berisping op te leggen waarbij het lijkt dat er rekening wordt gehouden met het feit dat de aannemer de feiten niet betwist en lijkt in te zien dat hij een fout beging.


Onze mening       

Wanneer men persoonsgegevens verwerkt, dient men steeds extra voorzichtig te zijn. Persoonsgegevens vertegenwoordigen de dag van vandaag een belangrijke (economische) waarde en kunnen op allerhande manieren misbruikt worden. Het is dus zeer belangrijk dat persoonsgegevens niet in verkeerde handen terechtkomen.

Een oplossing in deze specifieke casus zou kunnen zijn om een systeem te organiseren waarbij personen gescheiden blijven waardoor er op geen enkele manier vermenging kan plaatsvinden. Het simpele gebruik van BCC bij de verzending van dergelijke mail had deze inbreuk al voorkomen. Zoals eerder besproken is het bovendien irrelevant of de verwerking onopzettelijk is gebeurd. Het zou wel een verzachtende omstandigheid kunnen zijn, maar dit doet niets af aan het feit dat er weldegelijk een inbreuk werd gepleegd op de GDPR.


Definitief?

Ja


Integrale beslissing:

Beslissing 02/2019

Rechtspraak GBA: Beslissing ten gronde nr. 01/2019 van 2 april 2019

 

 

Een kandidaat-burgemeester verwerkte persoonsgegevens voor een ander (onverenigbaar) doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Gegevens die werden verzameld in het kader van de oprichting van een buurtpreventienetwerk werden immers aangewend voor persoonlijk verkiezingsgewin.


Context

Gemeenteraadsverkiezingen


Rechtsgrond

Artikel 5.1.b) GDPR:

“1.  Persoonsgegevens moeten:

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”

Artikel 6.4 GDPR:

“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)  ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)  het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)  de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”


Feiten

In deze zaak werden de identiteitsgegevens, telefoonnummer en e-mailadres van de inwoner verwerkt door de burgemeester in het kader van verkiezingsdoeleinden. De burgemeester verkreeg deze gegevens door het feit dat de inwoner was toegetreden tot het buurtpreventienetwerk van de gemeente. De klacht situeert zich in het feit dat de burgemeester de persoonsgegevens van inwoner voor een ander doeleinde heeft verwerkt, namelijk voor persoonlijk gewin bij de opkomende gemeenteraadsverkiezingen.

Uit artikel 5.1.b) in combinatie met artikel 6.4 GDPR volgt immers dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. Zij mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.

De doelstelling van het buurtpreventienetwerk kan worden teruggebracht naar het terugdringen van criminaliteit en sensibilisering van de bevolking. Steun vragen met als doel persoonlijk verkiezingsgewin behoort niet bij de oorspronkelijke doelstelling van het buurtpreventienetwerk.

Maar gelet op het feit dat de burgemeester beseft dat hij een inbreuk heeft gepleegd en zelf aanhaalt dat het een eenmalig feit betreft dat in de toekomst niet zal worden herhaald, besluit de Geschillenkamer de burgemeester slechts te berispen.


Uitspraak  

De Geschillenkamer besluit de burgemeester een berisping op te leggen.


Onze mening        

Het principe van doelbinding is één van de grondbeginselen van de GDPR. De Geschillenkamer kijkt hier steeds streng op toe en het is dus iets waar men steeds rekening mee moet houden. Dit principe wordt echter nog versterkt doordat de overtreder een burgemeester betreft die een openbaar ambt uitoefent. Zoals we in latere beslissingen zullen leren, mag van zo iemand verwacht worden dat hij de wet kent en deze correct naleeft.

Het betreft een van de eerste beslissingen van de Geschillenkamer waardoor de burgemeester er nog enkel met een berisping van afkomt. In latere beslissingen in dezelfde materie ging de Geschillenkamer wel over tot strengere sancties, zoals het opleggen van administratieve boetes.


Definitieve beslissing?    

Ja


Integrale beslissing:

Beslissing nr. 01/2019

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!