Wees gewaarschuwd: eerste Belgische GDPR boete opgelegd!
Situering
Op 25 mei 2018 werd de General Data Protection Regulation (hierna GDPR), ofwel de Algemene Verordening Gegevensbescherming (AVG), van toepassing in elke Europese lidstaat. Door de intrede van deze regelgeving worden aan werkgevers verstrengde verplichtingen opgelegd bij het omgaan en het verzamelen van persoonsgegevens.
Intussen zijn we reeds een jaar na datum van inwerkingtreding. Ook de samenstelling van de Gegevensbeschermingsautoriteit (hierna: GBA) neemt stilaan zijn definitieve vorm aan.
Wat waren de feiten?
Op dinsdag 28 mei 2019 legde de GBA haar eerste financiële sanctie op sinds de inwerkingtreding van de AVG. Deze administratieve boete bedraagt 2.000 EUR en betreft het misbruik van persoonsgegevens voor verkiezingsdoeleinden. Hoewel de boete bescheiden is, is de boodschap dat niet: de bescherming van gegevens is een zaak van ons allen maar de verwerkingsverantwoordelijken moeten hun verantwoordelijkheid nemen, vooral als zij een overheidsmandaat hebben.
De GBA kreeg een klacht over een burgemeester die voor verkiezingsdoeleinden gebruik maakte van gegevens die hij had verkregen in de uitoefening van zijn functie. De klagers hadden via hun architecte contact met de burgemeester in verband met een verkavelingswijziging. De architecte nam bij die gelegenheid contact op met de burgemeester via e-mail met in kopie de e-mailadressen van de klagers. De dag voor de gemeenteraadsverkiezingen van 14 oktober 2018, stuurde de burgemeester via een "Reply" een electoraal bericht naar de klagers.
De AVG preciseert dat de gegevens die de verwerkingsverantwoordelijke verzamelt (in dit geval: de e-mailadressen verkregen door de burgemeester) moeten worden ingezameld voor welbepaalde doeleinden en niet verder mogen worden verwerkt op een wijze die onverenigbaar is met deze doeleinden. Het hergebruiken van gegevens die worden verkregen in het kader van een stedenbouwkundig project voor electorale doeleinden gaat dus in tegen het finaliteitsbeginsel en is een inbreuk op de AVG.
De Geschillenkamer van de GBA is van oordeel dat de naleving van het finaliteitsbeginsel een van de cruciale regels is van de AVG en dat de houders van een overheidsmandaat (zoals burgemeesters) aan wie de burgers hun persoonsgegevens hebben toevertrouwd, bijzonder waakzaam moeten zijn. Zij moeten er zich van bewust zijn dat de gegevens die worden verkregen in het kader van een openbaar ambt nooit opnieuw mogen worden gebruikt voor persoonlijke doeleinden.
Omdat het aantal betrokken personen beperkt is alsook de aard, de ernst en de duur van de inbreuk, legt de Geschillenkamer een berisping op én een bescheiden geldboete van 2.000 EUR.
Is uw onderneming intussen GDPR compliant?
Gezien geen enkele Belgische onderneming de volgende boete op zijn naam wenst te zien verschijnen, is het hoog tijd om uw huidige GDPR beleid onder de loep te nemen en desgevallend te evalueren. Heeft u nog steeds wat beleidsaanpassingen en administratie te doorworstelen? Dan brengen wij u graag in herinnering dat EASYPAY GROUP u hier desgevallend nog steeds kan bij helpen.
Onze GDPR TOOLKIT bijvoorbeeld bestaat uit een combinatie van maar liefst 16 handige modellen en infofiches, die u na enkele bedrijfsspecifieke invullingen onmiddellijk op bedrijfsniveau kan integreren. Bovendien krijgt u bij de inhoudstafel nog een kort woordje uitleg waarvoor alle modellen dienen gebruikt te worden. Voor meer info en bestellen kan u hier terecht: https://www.easypay-group.com/nl_BE/kennis/modeldocumenten/register/GDPR/?e=errLoginRequired&doc=45467
Bron:
- Persbericht GBA, https://www.gegevensbeschermingsautoriteit.be/nieuws/de-gegevensbeschermingsautoriteit-legt-een-sanctie-op-het-kader-van-een-verkiezingscampagne.
Dit bericht delen: