Eerste geldboete voor GDPR-inbreuk in België

Op 28 mei 2019 heeft de recent opgerichte Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) haar eerste boete opgelegd, met name aan een burgemeester voor het versturen van verkiezingspropaganda in strijd met de GDPR. Hierbij is de eerste boete in België sinds de inwerkingtreding van de GDPR een feit. Onze Summer School-stagiair, Antonin Lambrecht, heeft de beslissing voor u even onder de loep genomen.

De AVG: privacy back on track?
Dat gegevensbescherming steeds belangrijker wordt binnen ondernemingen, behoeft geen betoog. Sinds de goedkeuring door het Europees Parlement van de algemene verordening gegevensbescherming (AVG of ‘GDPR’) wordt ieders mailbox overladen met e-mails van bedrijven, overheidsinstanties of andere gegevensverwerkers. Dit om in navolging van deze nieuwe verordening in orde te zijn met de nieuwe Europese privacyverplichtingen.

In deze razendsnel evoluerende maatschappij zijn persoonsgegevens al lang niet meer enkel naam, voornaam en adres. Het kan ook bijvoorbeeld gaan over gebruikersnamen, foto’s, nummerplaten, IP-adressen of zelfs locatiegegevens. Dit illustreert dat het begrip ‘persoonsgegevens’ in de zin van de AVG zeer breed is en alle gegevens waardoor een persoon direct of indirect identificeerbaar is eronder vallen.

Het doel van de AVG is tweeërlei. Enerzijds voorziet de verordening in bepalingen om de bescherming van persoonsgegevens binnen de EU te garanderen. Dit wordt op gestandaardiseerde wijze doorgevoerd in de hele Europese Unie en houdt verschillende principes in:

  • Rechtmatigheid, behoorlijkheid en transparantie: Is de verwerking rechtmatig? Ken ik mijn rechten?
  • Doelbinding: De gegevens mogen enkel voor het gewettigd doel gebruikt worden, zoals duidelijk gecommuniceerd aan de betrokkene.
  • Opslagbeperking: De gegevens mogen slechts bewaard worden zolang het vereist is voor het beoogde doel.
  • Minimale gegevensverwerking: De gegevens moeten ter zake dienend zijn en beperkt tot wat noodzakelijk is om het beoogde doel te bereiken.
  • Juistheid: De gegevens moeten correct zijn en zo nodig geactualiseerd worden.
  • Integriteit en vertrouwelijkheid: De gegevens moeten op gepaste wijze beveiligd worden tegen verlies of onrechtmatig gebruik.

 

Anderzijds waarborgt de AVG het vrije verkeer van gegevens binnen de Europese interne markt. Het is immers onmogelijk dit te realiseren indien de betrokkenen geen controle hebben over hun gegevens en de integriteit ervan niet kan worden gewaarborgd.

Om de regels in de AVG te handhaven werden verscheidene sanctiemogelijkheden voorzien. Deze sancties kunnen bij grote inbreuken zeer ingrijpend zijn: boetes tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming. Google bijvoorbeeld, ontving recentelijk een boete van 50 miljoen euro in Frankrijk en er lopen verschillende procedures tegen onder meer British Airways, Facebook en Apple voor nog veel grotere bedragen. Tevens heeft de Geschillenkamer zelfs de mogelijkheid om een (tijdelijke) verwerkingsbeperking op te leggen. Of dit ooit zal gebeuren, is maar de vraag, gezien de vergaande consequenties hiervan.

Tot voor kort werden inbreuken op de AVG in België niet financieel beboet. De Geschillenkamer van de GBA was immers nog niet benoemd. Hier kwam recentelijk verandering in.

Administratieve geldboete
Bijna exact een jaar na de inwerkingtreding van de AVG heeft de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit (GBA) op 28 mei 2019 haar eerste financiële sanctie opgelegd wegens een inbreuk op de AVG.

Dit gebeurde ingevolge een opmerkelijke gebeurtenis tijdens de gemeenteraadsverkiezingen van 14 oktober 2018. Het was namelijk zo dat de verweerder, in zijn hoedanigheid van burgemeester, verkiezingspropaganda had verzonden naar twee inwoners (de klagers) zonder dat ze daar hun toestemming voor gegeven hadden.

De mailadressen van de klagers waren via hun architect bij de burgemeester terechtgekomen naar aanleiding van een aanvraag tot verkavelingswijziging. Hierop heeft deze de emailadressen de dag voor de verkiezingen gebruikt om door middel van een electoraal bericht propaganda te maken voor zijn verkiezingscampagne.

Dat de e-mail in kwestie ook het voorwerp uitmaakt van een procedure voor de Raad voor Verkiezingsbetwistingen doet niet ter zake en derhalve is het non bis in idem-beginsel niet geschonden. De feiten van beide gevallen waren immers verschillend. Dit verweer van de burgemeester werd dus afgewezen.

De AVG stipuleert dat persoonsgegevens enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen verzameld mogen worden (het zgn. ‘finaliteitsbeginsel’). De verdere verwerking mag niet geschieden op onverenigbare wijze hiermee. De klagers hadden hun mailadressen in vertrouwen meegedeeld met oog op het verkrijgen van een verkavelingswijziging. Het gebruik door de burgemeester voor verkiezingsdoeleinden is hiermee volstrekt onverenigbaar. Ook kan van een burgemeester verwacht worden dat hij kennis heeft van de verplichtingen die door een belangrijke Europese verordening worden opgelegd en besliste de GBA dus in zijn nadeel.

Privacy prioritair
Hierbij moet benadrukt worden dat het naleven van de AVG belangrijke verplichtingen inhoudt voor verwerkingsverantwoordelijken. De verordening is er immers gekomen ter waarborging van de bescherming van persoonsgegevens. De beslissing geeft een duidelijk signaal en benadrukt het belang hiervan. Zeker met betrekking tot overheidsmandatarissen zoals een burgemeester. Dergelijke politici hebben een voorbeeldfunctie en derhalve resulteert bovenstaand gegevensmisbruik in een ernstige inbreuk op de AVG. De verkregen gegevens binnen het kader van hun ambt mogen nooit opnieuw gebruikt worden voor persoonlijke doeleinden zoals verkiezingspropaganda.

Gezien de verregaande nalatigheid legde de Geschillenkamer bovenop een berisping en de anonieme bekendmaking van de beslissing nu dus voor het eerst ook een administratieve geldboete van 2000 euro op. Het bedrag is gering vanwege de aard, de ernst en de duur van de inbreuk, maar het signaal is duidelijk: privacy is een grondrecht en dient door iedereen gerespecteerd te worden.