Beslissingen GBA en privacyboetes: overzicht sinds 2020
Publicaties
15 maart 2021
In 2020 is de GBA merkbaar enkele versnellingen hoger geschakeld, en in 2021 blijven de beslissen elkaar voorlopig opvallend snel opvolgen. Aangezien de GBA over de bevoegdheid beschikt om, geval per geval, al dan niet over te gaan tot publicatie van een beslissing, zijn hieronder enkel gepubliceerde beslissingen opgenomen.
Loopt er een onderzoek van de GBA naar u? Lees hier wat u kan verwachten
Van elk van de sinds 2020 gepubliceerde beslissingen is hieronder een beknopte samenvatting terug te vinden. Die samenvatting bestaat steeds uit een korte beschrijving van de relevante feiten en meer bepaald de concrete verwerkingen die ter discussie stonden, de belangrijkste (potentiële) inbreuken die aan de orde waren en het concrete gevolg van de procedure voor de GBA.
Lees hieronder de beslissingen met korte uitleg of download het overzicht
Download tabel overzicht GDPR boetes
Alle beslissingen staan in chronologische volgorde, de meest recente bovenaan.
Klik op de titel om de beknopte uitleg te lezen.
Beslissingen GBA 2021
- 15/3/2021: heroverweging beslissing na enquête ‘welbevinden’ bij minderjarige leerlingen via Smartschool
Beslissing van 16 juni 2020
Op 16 juni 2020 besliste de GBA dat een school een aantal inbreuken pleegde tegen de GDPR. Via het online platform Smartschool had de school een enquête rond ‘welbevinden’ naar haar minderjarige leerlingen gestuurd. Hierbij was er geen toestemming van een ouder of wettelijke vertegenwoordiger. Bovendien besloot de GBA dat niet voldaan werd aan het beginsel van de minimale gegevensverwerking, omdat de verwerkte informatie niet in verhouding was met het doel van ‘leerlingenbegeleiding’. Daarnaast werd niet voldaan aan de transparantieplicht tegenover kinderen. De GBA legde de school een administratieve geldboete van € 2.000 op en gaf het bevel om de verwerking in overeenstemming met de GDPR te brengen.
Marktenhof vernietigt uitspraak GBA deels
Na de beslissing in 2020 werd er beroep aangetekend bij het Marktenhof. Die bevestigt nu dat er inderdaad sprake is van onrechtmatige gegevensverwerking, wegens gebrek aan toestemming van één ouder of wettelijke vertegenwoordiger. Ze bevestigt ook dat er geen sprake is van minimale gegevensverwerking.
Maar het Marktenhof vernietigt daarentegen wel de administratieve geldboete en het bevel om te voldoen aan de transparantieplicht. Naar aanleiding van deze gedeeltelijke vernietiging moest de GBA haar beslissing tot het opleggen van een administratieve geldboete opnieuw overwegen en onderbouwen.
Herziening boete
Ondanks het arrest van het Marktenhof bepaalt de GBA dat de school niet kan vrijgesteld worden van een geldboete. Volgens de GDPR kunnen immers ‘overheidsinstanties en overheidsorganen’ vrijgesteld worden van administratieve boetes. Daar vallen vrije onderwijsinstellingen echter niet onder.
Bovendien oordeelt de GBA dat de school enerzijds een ernstige inbreuk pleegt op beginselen die fundamenteel zijn voor de gegevensbescherming. Anderzijds schendt de school artikel 8 van de GDPR, gericht op de bijzondere gegevensbescherming van jongeren. Om die redenen handhaaft de GBA de administratieve geldboete.
Na het arrest van het Marktenhof baseert de GBA de boete enkel nog op de inbreuken van de rechtmatigheid en minimale gegevensverwerking. Dit brengt de GBA ertoe de administratieve geldboete te heroverwegen en te herleiden naar € 1000.
Gevolg: administratieve geldboete van € 1.000
- 12/2/2021: onderzoek naar telecomoperator Telenet BV na klacht klant
AanleidingEen klant van Telenet ondervond moeilijkheden om op de website van Telenet informatie te vinden over een opt-out tegen direct marketing. De GBA opende hierna een onderzoek om na te gaan of Telenet het recht van bezwaar wel naleeft en op welke manier toestemming voor de verwerking van persoonsgegevens wordt gevraagd.
Bevindingen GBA
Onvoldoende mogelijkheid tot recht van bezwaar
Volgens de GBA maakt Telenet het recht van bezwaar onvoldoende mogelijk. Personen moeten tegen iedere vorm van direct marketing afzonderlijk bezwaar aangeven, bv. via e-mail, telefoon, etc. Er is geen mogelijkheid is om ineens tegen alle vormen tegelijkertijd bezwaar te maken. Telenet biedt bovendien geen mogelijkheid om bezwaar online door te geven. Aangezien Telenet de persoonsgegevens online heeft opgevraagd en de direct marketing communicatie ook online gebeurt, moet bezwaar ook via dat kanaal kunnen. Personen naar een winkel verwijzen of naar het nummer van de klantendienst volstaat niet.
De GBA besluit om enkel een berisping geven voor de inbreuk op het recht op bezwaar en de uitoefening. Daarbij raadt ze aan een webformulier te voorzien met een vrij tekstveld om bezwaar uit te oefenen.
Geen geldige toestemming voor cookies
Daarnaast stelt de GBA dat Telenet geen geldige toestemming vroeg van de websitebezoekers voor het gebruik van cookies. De GBA oordeelt dat dit een inbreuk is op de toestemmingsplicht uit de GDPR.
De GBA beslist echter om geen sanctie uit te spreken omdat Telenet binnen een redelijke termijn haar cookiebanner zelf naar de GDPR heeft aangepast.
Structuur website Telenet
De GBA stelt ook vast dat de structuur van de website en van ‘Mijn Telenet’ aan verbetering toe is. Zo staat de informatie over het recht van bezwaar niet bij de privacy-instellingen. De GBA oordeelt dat dit tot verwarring kan leiden bij betrokkenen en dus niet geldt als een ‘best practice’.
De GBA besloot dat deze inbreuk geen sanctie vereist en houdt ook rekening met de inspanningen die Telenet levert om privacy informatie op de website aan te bieden. Bovendien werkte Telenet zeer goed mee tijdens de procedure.
Algemeen gevolg: berisping voor de inbreuk op het transparantiebeginsel
- 9/2/2021: werknemer dient klacht in tegen werkgever na weigering inzage in o.a. personeelsdossier
Een werknemer van een onderneming die actief is in de IT-adviessector diende een klacht in tegen zijn werkgever nadat die weigerde inzage en kopie van de e-mails te geven, waarvan de werkgever ofwel ontvanger ofwel afzender is. Daarnaast weigerde de werkgever ook inzage in de foto’s waarop hij geïdentificeerd kan worden, zijn evaluaties, de hem betreffende IT-logs en de aantekeningen die deel uitmaken van zijn personeelsdossier. Daarnaast claimt betrokkene een schending van het recht op afbeelding omdat de onderneming foto’s nam van haar werknemers tijdens bedrijfsevenementen, om deze nadien zonder toestemming van de werknemers op het intranet van de onderneming te publiceren.
Beslissing over IT-logs en evaluaties
De GBA volgt de redenering van de werkgever dat inzage in de IT-logs van betrokkene een onevenredige verplichting zou betekenen ten aanzien van het belang van betrokkene. Er is geen inbreuk op het recht op inzage van de IT-logs. Ook wat betreft de inzage van de evaluaties, oordeelt de GBA dat er geen schending is. De werknemer was vanaf 2015 regelmatig afwezig waardoor er sinds 2013 geen evaluatie is geweest. Om die reden had de onderneming geen persoonsgegevens om aan de betrokkene mee te delen. De GBA aanvaardt eveneens het zakengeheim van de onderneming als rechtvaardigingsgrond voor haar weigering van inzage van het mailverkeer.
Beslissing over de foto’s
Verder stelt de GBA dat enkel voor het maken en verspreiden van gerichte foto’s een rechtsgrond nodig is, en niet voor niet-gerichte foto’s. Omdat de betrokkene geen bewijs heeft geleverd van het bestaan en/of de verspreiding van gerichte foto’s van hem, oordeelt de GBA dat er geen schending is van het recht op afbeelding. Bovendien stelt de GBA vast dat de onderneming zijn werknemers verzoekt om, wanneer zij wensen dat foto’s waarop zij afgebeeld staan niet verspreid worden, de DPO te contacteren teneinde de relevante foto’s te verwijderen.
Beslissing over inzage personeelsdossier
De GBA verwerpt echter het argument van de werkgever dat inzage in de aantekeningen en opmerkingen in zijn personeelsdossier, een inbreuk zou vormen op de bescherming van de persoonsgegevens van de leidinggevenden en personeelsverantwoordelijken die auteur zijn van die aantekeningen. Het is voor de onderneming mogelijk om de rechten van derden niet te schenden door persoonsgegevens in verband met derden onleesbaar te maken. Bovendien stelt de GBA dat er in het Belgisch recht geen wetgevende bepaling staat die een beperking inhoudt van het recht van een werknemer op inzage van hem betreffende persoonsgegevens die door zijn (ex-) werkgever worden verwerkt. De GBA besluit dat de onderneming het inzagerecht van betrokkene schendt.
De werkgever beweert dat de aantekeningen in het personeelsdossier na het verzoek om inzage zijn verwijderd. Daardoor heeft een bevel om inzage te verlenen geen nut. De GBA verplicht daarom de onderneming om binnen de 30 dagen een verklaring op eer toe te sturen van het feit dat de aantekeningen in het personeelsdossier over de betrokkene verwijderd zijn. De GBA legt verder geen geldboete, noch berisping op.
Gevolg voor werkgever:
verplichting tot verzenden verklaring op eer dat de aantekeningen in het personeelsdossier van betrokkene verwijderd zijn.
- 29/1/2021: Verstrekking van persoonlijke informatie aan derden zonder toestemming van de betrokkene
Een burger diende klacht in tegen diens boekhouder die haar persoonsgegevens verstrekte aan een voormalige zakenpartner van de betrokkene. Specifiek betreft het de verstrekking via e-mail van informatie over de vennootschap waarvan de betrokkene 100% aandeelhouder is. De verstrekte informatie zou de voormalige zakenpartner dan ook inzage verlenen in de persoonlijke activiteiten, financiën en andere persoonsgegevens van de betrokkene. Daarnaast stelt de burger in vraag waarom het boekhoudkantoor nog over haar boekhoudkundige gegevens zou moeten beschikken.
De onderneming haalt aan dat het versturen van de e-mail een eenmalige menselijke vergissing betrof. Aan de basis van deze vergissing zou het feit liggen dat gedurende vele jaren e-mails aan zowel de klager als diens zakenpartner werden verstuurd in het kader van de notarisassociatie tussen beiden. De e-mail in kwestie bevatte echter ook informatie met betrekking tot de persoonlijke vennootschap van de betrokkene. De GBA oordeelt dat de betrokkene de boekhouder ingeschakeld heeft om de boekhouding van diens vennootschap te verrichten. Zij kon dan ook geenszins verwachten dat dit boekhoudkantoor de gegevens die betrekking hebben op haar persoonlijke vennootschap zou verstrekken aan een (voormalige) zakenpartner.
De GBA besluit dan ook tot een onrechtmatige verwerking in hoofde van het boekhoudkantoor. Aangezien het een vergissing betrof, kon de voormalige zakenpartner van de klagende burger echter niet voorzien dat dergelijke doorzending zou gebeuren. De GBA legt geen sanctie op aan het boekhoudkantoor, omdat meteen het nodige gedaan zou zijn om bij de zakenpartner de verwijdering van de e-mail te verkrijgen en omdat de inbreuk slechts voor een eerste keer werd begaan.
Gevolg voor boekhoudkantoor:
BerispingGevolg voor zakenpartner:
Verbod om de e-mail nog verder te verwerken en hiervan kennis te geven aan zijn raadsman die ook een kopie ontving - 28/1/2020: Verstrekking van persoonlijke informatie aan derden zonder toestemming van de betrokkene
Een burger diende bij de GBA klacht in naar aanleiding van de controle door zijn werkgever op zijn persoonlijke levenssfeer. De burger is ambtenaar en oefent daarnaast een nevenactiviteit uit als brandweerman. Hij klaagde aan dat zijn werkgever informatie opvroeg over deze nevenactiviteit om diens arbeidsprestaties te controleren. Ook had de werkgever Facebook en andere sociale media geraadpleegd in het kader van een tuchtprocedure wegens het niet-naleven van de beginselen van neutraliteit door onder meer negatieve uitlatingen via deze kanalen tegenover vreemdelingen, vluchtelingen en moslims. Dit zou geleid hebben tot het niet promoveren van de betrokkene.De GBA bevestigt dat de werkgever binnen welbepaalde grenzen informatie kan opvragen bij de werknemer omtrent diens nevenactiviteiten, voor zover die een mogelijke impact hebben op de professionele activiteiten die de werknemer uitoefent voor deze werkgever. Voor wat betreft het raadplegen van de sociale media door de werkgever, stelt de GBA dat het recht op privacy gekaderd moet worden in de redelijke privacy-verwachtingen van de werknemer. Hoe meer publiciteit een werknemer zelf geeft aan zijn uitlatingen op internet en sociale media, hoe meer hij er zich aan kan verwachten dat anderen hiervan kennis kunnen nemen en hoe minder hij zich zal kunnen beroepen op het recht op privacy.
De GBA verduidelijkt dat dit natuurlijk niet betekent dat deze publiek beschikbare informatie ook door de raadplegende partij voor om het even welk doeleinde hergebruikt kan worden. In deze zaak is de GBA echter van oordeel dat de aanwending in een tuchtonderzoek of evaluatie met daaraan gekoppeld het ontzeggen van een promotie een juridische basis had in de GDPR, meer bepaald de uitvoering van de (arbeids)overeenkomst tussen partijen. De GBA besluit echter dat dit kadert in een ruimere problematiek, waarbij zij niet bevoegd is om zich uit te spreken over de rechtmatigheid van een reeds genomen tuchtbeslissing, noch over de beoordeling door de werkgever in de vorm van een evaluatie in de context van een eventuele promotie.
De GBA acht het op basis van de informatie waarover zij beschikt, niet mogelijk om verder gevolg te geven aan de klacht en gaat over tot een technisch sepot omdat er onvoldoende uitzicht bestaat op een veroordeling.
Gevolg:
Seponering - 27/1/2021: Klacht na doorgifte persoonsgegevens door een organisatie aan partijen die aanbiedingen doen aan (aanstaande) moeders
Een klant van het bedrijf Family Service diende bij de GBA klacht in tegen het bedrijf omdat zij – ondanks haar bezwaar hiertegen – opgebeld bleef worden door zakenpartners van het bedrijf voor reclamedoeleinden. Family Service is een marketingbedrijf dat “roze dozen” verdeelt onder aanstaande moeders met stalen, speciale aanbiedingen en informatiefiches.De GBA stelt naar aanleiding van de klacht vast dat het bedrijf zonder geldige toestemming de persoonsgegevens van meer dan 1 miljoen klanten en hun kinderen heeft gedeeld met haar zakenpartners. Het bedrijf verhuurde en/of verkocht de gegevens dan ook voor commerciële doeleinden, zonder dit in de communicatie met de klanten op een duidelijke en begrijpelijke manier aan te geven. Bovendien wekte de wijze van verdeling van de roze dozen, onder meer via gynaecologen en ziekenhuizen, potentieel de indruk dat dit een overheidsinitiatief uitmaakte, en niet uitging van een particulier bedrijf waarvan de kernactiviteit de handel in gegevens is.
De GBA besluit tot inbreuken op onder meer het transparantiebeginsel, de vereisten verbonden aan de verwerkingsgrond van de toestemming, de verplichtingen tot het treffen van passende technische en organisatorische maatregelen, en de verplichting tot het sluiten van een verwerkersovereenkomst.
Gevolg:
€50.000 boete
Bevel om de verwerking in overeenstemming te brengen binnen zes maanden - 22/1/2021: Klacht voor toekennen persoonlijk telefoonnummer aan een derde
De klant van een telecomprovider diende bij de GBA klacht in tegen deze provider omdat deze zijn telefoonnummer verkeerdelijk had toegekend aan een derde persoon.Om onbekende redenen beschikte de derde over het mobiele telefoon- en simkaartnummer van de klant en liet hij het tariefplan van de klant wijzigen van een prepaid- naar een abonnementsformule. Hierbij gaf de derde zijn eigen identiteitsgegevens op. Aangezien de provider echter geen identiteitscontrole uitvoerde om na te gaan of deze persoon wel de werkelijke gebruiker was van dit nummer, slaagde de derde erin om het tariefplan zonder meer te wijzigen en tevens een nieuwe simkaart op te vragen voor dit nummer. De simkaart van de eigenlijke klant werd vervolgens gedeactiveerd en de klant kon gedurende vier dagen niet meer over zijn nummer beschikken. Hierdoor kon de derde potentieel kennisnemen van persoonsgegevens van de klant in de vorm van diens persoonlijk GSM-verkeer, oproepen en de inhoud van aan diens telefoonnummer gekoppelde accounts (bv. WhatsApp). De GBA beschouwt het niet uitvoeren van een afdoende identiteitscontrole bij de vraag tot tariefwijziging als een disproportionele nalatigheid van de telecomprovider.
De telecomprovider pleegt hiermee inbreuk op de beginselen van integriteit en vertrouwelijkheid, de verantwoordingsplicht, de verplichting tot het treffen van passende technische en organisatorische maatregelen, en de verplichtingen in verband met gegevenslekken.
Gevolg:
€25.000 boete
Bevel om de verwerking in overeenstemming te brengen, in het bijzonder wat betreft het beleid ten aanzien van de identificatie en verificatie van prepaid klanten - 13/1/2021: School verzendt een globale e-mail waarbij alle bestemmelingen zichtbaar zijn
Een ouder diende bij de GBA klacht in tegen de school waar zijn kind leerling is. Dit deed hij na een nieuwsbrief van de school te ontvangen die gericht was aan de ouders van de leerlingen van de hele school. Voor elke ontvanger van de e-mail waren de e-mailadressen van alle andere ontvangers zichtbaar.
De school legt in haar verweer uit dat bij het verzenden van het bericht, de adressen van de ouders verkeerdelijk in het veld “carbon copy” (CC) geplaatst werden in plaats van het veld “blind carbon copy” (BCC). De ouder kon echter aantonen dat een dergelijke mail nogmaals verstuurd werd na opstart van de procedure ten gronde voor de GBA, wanneer de school reeds kennis had van de problematische praktijk.
De GBA stelt vast dat de school door het delen van de e-mailadressen van de klager met de ouders van andere leerlingen, een onrechtmatige verwerking begaat en onder meer de beginselen van de doelbinding en de minimale gegevensverwerking schendt. De school voert dus een verwerking uit die onverenigbaar is met het doel waarvoor het e-mailadres aanvankelijk was verzameld en dat bestaat uit het mogelijk maken van rechtstreeks contact tussen de school en de ouders van leerlingen.
Gevolg:
Berisping
Bevel om de verwerking in overeenstemming te brengen tegen 31 maart 2021 - 12/1/2021: Beheren van fanpagina op Facebook zonder toestemming van de betrokkene waar de pagina over gaat
Een artieste diende bij de GBA een klacht in tegen de onderneming waarmee zij voorheen samengewerkt had in de context van artistieke projecten waarin zij optrad als artieste/zangeres. Ondertussen was de samenwerking tussen beide partijen formeel beëindigd. Toch zette de onderneming onrechtmatig het beheer voort van een fanpagina op Facebook met als titel de naam en voornaam van de artieste.
De onderneming had echter geen rechtsgrond om de verwerking van persoonsgegevens van de artieste via de fanpagina nog langer te rechtvaardigen op basis van een gesloten overeenkomst. Bovendien focuste de fanpagina op de persoon van de artieste, en niet op de artistieke projecten waarop de onderneming intellectuele rechten kon laten gelden. Dit leidde samen met andere elementen tot de conclusie dat de onderneming zich evenmin kon beroepen op haar gerechtvaardigd belang om de fanpagina verder te blijven beheren na de beëindiging van de samenwerking.
Bijzonder interessant aan de beslissing is dat de GBA oordeelt dat de artieste de onderneming op grond van de GDPR zelfs kan verzoeken om de beheersrechten op de fanpagina aan haar over te laten dragen, op basis van het recht op overdraagbaarheid van haar persoonsgegevens.
Gevolg:
€10.000 boete
Waarschuwing - 8/1/2021: Taal van de procedure - klacht tegen IAB Europe
De GBA heeft van 9 burgers uit diverse lidstaten een klacht ontvangen tegen Interactive Advertising Bureau Europe. IAB Europe stelt een veelgebruikte ‘consent management tool’ ter beschikking van websitebeheerders en appuitgevers, die hen toelaat om van hun bezoekers en gebruikers toestemming te verkrijgen voor de verwerking van hun persoonsgegevens. De tool registreert deze toestemmingen ook en laat aan de bezoeker of gebruiker de mogelijkheid om diens voorkeuren op een later ogenblik te wijzigen. De klagers menen echter dat IAB Europe een inbreuk pleegt op verschillende bepalingen van de GDPR, met name (onder andere) de beginselen van rechtmatigheid, transparantie, eerlijkheid, gegevensminimalisatie en veiligheid voor de grootschalige verwerking van persoonsgegevens.
Aangezien het hoofdkantoor van IAB Europe zich in België bevindt, zal de GBA de zaak behandelen. Gelet op de omvang en het internationale karakter van de zaak, heeft de GBA vooralsnog enkel een tussenbeslissing geveld omtrent het taalgebruik in de procedure. De GBA verduidelijkt dat partijen vrij zijn in de taal waarin zij zich richten tot de GBA en dat partijen dit in deze zaak in het Nederlands, Frans en Engels kunnen doen. Met betrekking tot de taal waarin de GBA de partijen aanspreekt, stelt zij dat zij volgens de oprichtingswet van de GBA de taal hanteert “naar gelang van de behoeften die eigen zijn aan de zaak”. Dit zou steeds leiden tot de toepassing van één van de landstalen.
De raadslieden van 6 klagers halen aan dat deze regel strijdig is met de Grondwet, maar de GBA stelt zich hier niet over uit te kunnen spreken. De GBA stelt ook dat de wetten inzake het taalgebruik in gerechtszaken en inzake het gebruik van de talen in bestuurszaken niet van toepassing zijn op de procedure. De GBA besluit in deze zaak af te wijken van haar praktijk om als procestaal de taal van de woonplaats van de klagers aan te houden, aangezien IAB Europe het Nederlands niet machtig is en uitdrukkelijk verzocht om het gebruik van het Frans in haar contacten met de Inspectiedienst. Als tweede taal zou het Engels passend zijn, omdat de samenwerking tussen toezichthoudende autoriteiten in die taal plaatsvindt.
Gelet op de omvang van de zaak en het feit dat deze kwestie voor het eerst voor de GBA wordt gebracht, heeft de GBA een tussenbeslissing geveld en zal volledige behandeling plaatsvinden na uitwisseling van de tegensprekelijke standpunten van partijen.
Beslissingen GBA 2020: overzicht
- 23/12/2020: Noodzakelijk maken van een Microsoft account voor het downloaden van een document bij de FOD Financiën
Een burger diende bij de GBA klacht in tegen de FOD Financiën. Deze klacht betrof de praktijk van de overheidsdienst die eruit bestond dat burgers enkel toegang konden krijgen tot bepaalde functionaliteiten van het portaal Fisconetplus door zich aan te melden met een Microsoft-gebruikersaccount. Interessant detail is dat de klagende burger de gewezen voorzitter is van de CPBL of in de volksmond de ‘Privacycommissie’, de rechtsvoorganger van de GBA. Op basis hiervan trok de FOD Financiën de onafhankelijkheid van de GBA in dit dossier in twijfel.
De GBA heeft in 2019 reeds een aanbeveling uitgevaardigd waarin zij zich uitspreekt tegen het opleggen van de verplichte aanmaak van een gebruikersaccount bij Microsoft voor het raadplegen van toepassingen van overheidsdiensten. Bovendien hield de FOD Financiën onterecht voor dat de Microsoft Sharepoint-accounts die toegang verleenden tot het Fisconetplus-portaal “anoniem” waren. Dit leidt tot de conclusie dat geen sprake was van een transparante en behoorlijke verwerking.
De GBA stelde ook andere gerelateerde inbreuken vast in verband met de website van de FOD Financiën. De GBA besluit dan ook tot inbreuken op onder meer het transparantiebeginsel, de verplichting tot het treffen van passende technische en organisatorische maatregelen, de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling en de toestemmings- en informatieplichten die gelden voor het gebruik van cookies.
Gevolg:
Berisping - 23/12/2020: Beslissing na verschillende schendingen AVG - beginselen bij twee opeenvolgend optredende verwerkingsverantwoordelijken
Een burger diende tegelijk klacht in tegen een bedrijf gespecialiseerd in straatparkeren en het gerechtsdeurwaarderskantoor waar dit bedrijf mee samenwerkte. De gegevens van de burger werden dan ook verwerkt in de context van de invordering van een parkeerboete die de burger had ontvangen van het bedrijf, in uitvoering van het gemeentelijk parkeerreglement.
De GBA kwalificeerde het bedrijf en het gerechtsdeurwaarderskantoor in deze context als afzonderlijke verwerkingsverantwoordelijken. Naar de betrokkenen toe was dit evenwel niet duidelijk: zo gaf het straatparkeerbedrijf opdracht aan het gerechtsdeurwaarderkantoor om te antwoorden op een verzoek tot inzage dat aan deze eerste gericht was, zonder dat deze aanpak het voorwerp uitmaakte van een voor de burger duidelijke en begrijpelijke procedure.
De GBA stelde in hoofde van beide partijen diverse inbreuken op de GDPR vast, meer bepaald op het transparantiebeginsel, het beginsel van gegevensminimalisatie, en de verplichting tot het treffen van passende technische en organisatorische maatregelen. Zowel het straatparkeerbedrijf als het gerechtsdeurwaarderskantoor krijgen hiervoor een aanzienlijke boete opgelegd
Gevolg voor straatparkeerbedrijf:
€50.000 boete
Berisping
Nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en toegang van de betrokken personen en het verschaffen van documentatie hieromtrentGevolg voor gerechtsdeurwaarderskantoor:
€15.000 boete
Berisping
Nalevingsbevel met betrekking tot de uitvoering van het recht op informatie en het verschaffen van documentatie hieromtrent - 17/12/2020: Camerabewaking in een carwash
Een burger diende klacht in bij de GBA tegen de uitbater van een carwash, die gebruik zou maken van bewakingscamera’s zonder dit aan te duiden met pictogrammen of dit te vermelden in haar privacyverklaring. Bovendien zou de uitbater beelden online hebben geplaatst met daarop nummerplaten van auto’s van klanten en personeelsleden, in de context van een Facebook-discussie.
De Inspectiedienst stelt daarop verschillende (potentiële) inbreuken vast op de GDPR, Camerawet en CAO nr. 68. Uiteindelijk seponeert de GBA de klacht echter omdat de burger er niet in slaagt om blijk te geven van een voldoende belang, bij gebreke aan enig concreet element dat de burger in verband brengt met de gegevensverwerking door de carwashuitbater. De aangehaalde publicatie van de camerabeelden op Facebook had ook betrekking op een andere persoon dan de burger die klacht indiende.
In casu stelt de GBA meer bepaald vast dat de burger niet over enig persoonlijk belang beschikt, maar louter gewag maakt van een publiek belang bestaande uit de bescherming van de privacyrechten van elke burger die met zijn wagen gebruik maakt van de diensten van de carwash. De klacht wordt dus geseponeerd bij gebreke aan het vereiste belang en de vereiste hoedanigheid in hoofde van de klagende burger. In de beslissing gaat de GBA tevens dieper in op de voorwaarden waaronder de anonieme behandeling van klachten mogelijk is.
Gevolg:
Seponering - 24/11/2020: Klacht voor onrechtmatig filmen van openbare weg en privédomein van derden met bewakingscamera’s
De GBA heeft een koppel een boete van €1.500 opgelegd voor de onrechtmatige verwerking van camerabeelden via een videobewakingssysteem dat geïnstalleerd was aan hun woning. De GBA gaat in deze beslissing dus over tot de sanctionering van twee particulieren, waarmee zij eraan herinnert dat de GDPR niet alleen relevant is voor ondernemingen.
De camera’s namen naast de eigendom van het koppel ook onnodig de eigendom van de buren en de openbare weg op. Dit is strijdig met onder meer het beginsel van de minimale gegevensverwerking. Het koppel gebruikte de beelden bovendien tegen haar buren in het licht van een omgevingsrechtelijk geschil omtrent een regularisatieaanvraag voor het Departement Omgeving.
De GBA wijst erop dat de personen die beslissen tot de installatie en het gebruik van bewakingscamera’s, verantwoordelijk zijn voor de correcte plaatsing hiervan in lijn met de GDPR en de Camerawet, ook al wordt hiervoor een beroep gedaan op een gespecialiseerde firma. Daarnaast voorziet de Camerawet niet in de mogelijkheid om de beelden in deze context over te dragen naar een mobiliteitsdeskundige. Er was dus sprake van een onrechtmatige verwerking voor zowel de initiële opname als de overdracht van de beelden naar een deskundige in het licht van een omgevingsrechtelijk geschil.
Gevolg:
€1.500 boete
Berisping - 13/11/2020: Klachten tegen sociale huisvestingsmaatschappij voor inbreuk tegen van meerdere beginselen van gegevensverwerking
Een burger heeft in totaal zes klachten ingediend tegen een huisvestingsmaatschappij. Deze hadden betrekking op vermeende inbreuken van de organisatie in verband met de uitoefening van het recht van inzage door de burger, de verwerking van medische gegevens van de burger, de websites van de organisatie, het gebruik van digitale meters voor het verbruik van verwarming en warm water, en het gebruik van bewakingscamera’s in en rond verschillende woongebouwen van de huisvestingsmaatschappij.
Hierop werden bij de huisvestingsmaatschappij een aanzienlijke reeks tekortkomingen vastgesteld, waaronder op de fundamentele beginselen van gegevensbescherming. Concreet gaat het om tekortkomingen aan de privacy- en cookieverklaringen, het verwerkingsregister, de DPO-verplichtingen en de verplichtingen inzake het gebruik van bewakingscamera’s. Bovendien beschikte de huisvestingsmaatschappij niet over een rechtsgrond om de digitale meterstanden in haar woningen vanop afstand uit te lezen.
De GBA houdt voor haar sanctie echter rekening met matigende factoren zoals de getoonde bereidheid om de bestaande processen aan te passen, het aanstellen van een deskundige DPO en een nieuwe website die volgens de huisvestingsmaatschappij GDPR-conform zal zijn. Ook houdt de GBA rekening met het feit dat het gaat om een vzw die het financieel niet goed stelt.
Gevolg:
Bevel om de verwerking in overeenstemming te brengen en de GBA hierover binnen drie maanden te informeren
€1.500 boete - 09/11/2020: Klacht tegen een ziekenhuis voor verwerking van gegevens over vakbondslidmaatschap)
Een werknemer van een Waals ziekenhuis stelde zich vragen over de verwerking van gegevens betreffende het vakbondslidmaatschap door zijn werkgever. De betrokken werknemer was binnen het ziekenhuis vakbondsafgevaardigde van een vakbond.
Het ziekenhuis zou de vakbondsbijdrage rechtstreeks afhouden op het salaris van een deel van de leden van een tweede vakbond binnen het ziekenhuis. De vakbond waartoe de klager behoorde, had zelf namelijk geweigerd om gebruik te maken van deze regeling. Deze inhouding gebeurde op basis van schriftelijke machtigingen verleend door de werknemers-vakbondsleden die van deze faciliteit gebruik wensten te maken.
De toestemming die de betrokken werknemers op deze manier gaven, werd wel ‘vrij’ gegeven maar kon niet kwalificeren als een ‘geïnformeerde’ toestemming. Zo werd onder meer niet gewezen op het recht om de toestemming op elk moment terug in te trekken. Dit betekent dus een tekortkoming aan de vereiste van de rechtmatige verwerking. Bovendien beschouwt de GBA het als nalatig dat over de gevoelige verwerking werd beslist op basis van een eenvoudig mondeling akkoord tussen de directie van het ziekenhuis en de vakbond. Bovendien is in principe elke inhouding op het loon door de werkgever verboden door de sociale wetgeving ter zake.
Het ziekenhuis had de praktijk evenwel reeds tijdens de procedure definitief stopgezet naar aanleiding van een negatief advies hieromtrent van de DPO, wat voor de GBA aantoonde dat het ziekenhuis haar GDPR-verplichtingen ernstig had genomen.
Gevolg:
Geen sanctie - 30/10/2020: Online publicatie van beeldmateriaal met betrekking tot onroerend goed met bijhorend adres en naam van bewoner
Een burger diende klacht in omdat een buurtbewoner een filmpje van zijn woning op YouTube en een andere website had geplaatst. In het filmpje was met name zijn naam en adres en de schouw van zijn woning te zien, met rookuitstoot veroorzaakt door zijn houtkachel. Ook zou de buurtbewoner laster verspreid hebben over de burger via een nep-account op Facebook.
De buurtbewoner hield voor dat hij het filmpje publiceerde onder de juridische basis van de noodzakelijkheid voor de bescherming van de vitale belangen van de betrokkene of derden. Meer bepaald meende hij de gezondheid van de omwonenden te willen beschermen door de ernst van de hinder van de rookuitstoot aan te tonen met het filmpje. Bijkomend riep hij ook de juridische basis van het algemeen belang in.De GBA oordeelt dat enkel de toestemming van de betrokken burger een juridische basis had kunnen vormen voor de publicatie van het filmpje waarin zijn woning en persoonsgegevens in beeld worden gebracht. De buurtbewoner beging dus een onrechtmatige verwerking door het filmpje te publiceren.
In de loop van de procedure voor de GBA werd door de verweerder om procedurele redenen bovendien beroep ingesteld bij het Marktenhof. De beslissing bevat daarom interessante overwegingen over de vereiste van onpartijdigheid van de GBA, evenals over de samenloop tussen een procedure voor de GBA en een strafonderzoek.
Gevolg:
Berisping voor onrechtmatige verwerking door publicatie filmpje
Seponering voor beweerde laster via een nep-account op Facebook - 29/9/2020: Klacht wegens het niet sluiten van e-mailadres na beëindiging van functie
De voormalig gedelegeerd bestuurder van een KMO in de medische sector werd geconfronteerd met het aanhoudende gebruik van diens voormalig professioneel e-mailadres, tot jaren nadat hij uit zijn functie was getreden. Deze praktijk van de onderneming strekte zich uit tot de echtgenote, vader en broer van de man, die vroeger ook werkzaam waren in de onderneming.
De GBA stelt duidelijk dat de mailboxen van personen die de onderneming verlaten, afgesloten moeten worden uiterlijk op de datum van hun effectieve vertrek. Voorlopig mag gedurende een redelijke termijn (in beginsel 1 maand) wel nog een automatische antwoordmail actief zijn waarin melding wordt gemaakt van het vertrek van de betrokken persoon, samen met de contactgegevens van de persoon aan wie de berichten voortaan wel gericht moeten worden.
Na deze termijn moet het account in principe afgesloten en de mailbox volledig verwijderd worden. E-mails die noodzakelijk zijn om de continuïteit van de onderneming te waarborgen, moeten dus gerecupereerd worden voor het vertrek van de betrokken persoon en in diens aanwezigheid.
De GBA oordeelt dat het blijven doorgebruiken van de e-mailadressen door de onderneming in strijd is met fundamentele principes van de GDPR zoals de beginselen van de rechtmatige verwerking, minimale gegevensverwerking, doelbinding en opslagbeperking.
Gevolg:
€15.000 boete
Berisping
Bevel om in een beleid te voorzien omtrent het afsluiten van de mailboxen van voormalige bestuurders, werknemers en enige andere medewerkers. - 22/9/2020: Klacht van individu tegen Google (verwijdering van links/recht op vergetelheid)
Een burger verzocht Google om verschillende zoekresultaten te verwijderen die verschenen bij een zoekopdracht op basis van zijn naam. Het ging meer bepaald om een verwijzing naar een vermeende veroordeling van de burger in het buitenland voor het witwassen en misbruiken van bedrijfsgelden, terwijl er geen sprake zou zijn van dergelijke veroordeling. Google weigerde in te gaan op het verzoek na bijkomende informatie op te vragen bij de burger, die klacht indiende bij de GBA.
Tijdens de procedure troffen de partijen echter in onderling overleg een regeling en werden de zoekresultaten alsnog van Google verwijderd. De burger deed dan ook afstand van zijn klacht, maar de GBA besliste om het onderzoek alsnog voort te zetten.
Echter beschikte de GBA niet over enige stukken van partijen die haar in staat stelden om de feiten die ten grondslag lagen aan de klacht te onderzoeken. Daarom kon de GBA niet nagaan of de initiële weigering door Google terecht was. De GBA seponeert de klacht dan ook wegens gebrek aan feitelijke elementen.
Gevolg:
Seponering - 8/9/2020: Klacht voor de onrechtmatige verwerking van persoonsgegevens na raadpleging in het Rijksregister door een instelling van openbaar nut
Een burger diende klacht in tegen een handhavende overheidsinstelling die zijn persoonsgegevens had geraadpleegd in het Rijksregister en hierbij ook kennis had genomen van persoonsgegevens van zijn naasten. Dit gebeurde naar aanleiding van een vastgestelde inbreuk op de regelgeving inzake sluikstorten door deze burger, die de verwijderingskosten van het afval en een administratieve boete diende te betalen. Met het oog op de volledige en juiste identificatie van de betrokken burger en het versturen van de uitnodiging hiertoe aan het juiste adres, raadpleegde de overheidsinstelling het Rijksregister.
De GBA oordeelt dat de raadpleging van het Rijksregister door de overheidsinstelling noodzakelijk was voor wat betreft de gegevens van de persoon die de inbreuk beging. De instelling moest deze gegevens immers precies, actueel en volledig kennen en dit kadert binnen de proportionele uitoefening van de bevoegdheden die aan deze instelling toegekend zijn.
In het Rijksregister staat ook informatie vermeld over de gezinssituatie van de persoon wiens gegevens geraadpleegd worden. Door deze gegevens onnodig op te nemen in haar beslissing over de feiten (meer bepaald de vermelding van veronderstelde familiebanden tussen deze personen), beging de overheidsinstelling een onrechtmatige verwerking. Bovendien is deze verwerking in strijd met het juistheidsbeginsel en het beginsel van de minimale gegevensverwerking.
Gevolg:
Berisping
Waarschuwing dat raadpleging en verder gebruik van persoonsgegevens uit het Rijksregister steeds rechtmatig, behoorlijk en noodzakelijk dient te zijn en dient te voldoen aan de GDPR en de Wet Rijksregister - 1/9/2020: Klacht over versturen van e-mail met verkiezingspropaganda
Een burger diende klacht in naar aanleiding van het ontvangen van een verkiezingsbericht op zijn e-mailadres. De persoon in kwestie had namelijk nooit ingestemd met dit gebruik van zijn e-mailadres door de verkiezingskandidaat wiens kandidatuur op deze manier gepromoot werd. Bovendien waren de e-mailadressen van alle ontvangers zichtbaar in de e-mail.
Het e-mailadres van de burger werd door de kandidaat verzameld naar aanleiding van een verzoek om informatie dat deze laatste in 2014 via zijn secretariaat had ontvangen toen hij nog burgemeester was van de betreffende stad. De e-mailadressen waren door de betrokken kandidaat dus in het verleden verzameld in diens hoedanigheid van burgemeester, voor het specifieke doeleinde van het beantwoorden van vragen van burgers.Door deze e-mailadressen later te gaan gebruiken voor verkiezingsdoeleinden, pleegt de politicus een inbreuk op het finaliteitsbeginsel. Bovendien bestaat een kieslijst die specifiek gewijd is aan dit doeleinde. Naast deze onrechtmatige verwerking, liggen ook inbreuken voor op de beveiligingsplicht en de meldingsplicht voor gegevenslekken.
Gevolg:
€5.000 boete - 27/8/2020: Klacht wegens de vrijgave van een medisch verslag in het kader van een rechtsgeding
In het kader van een strafprocedure werd een medisch onderzoek bevolen naar het slachtoffer ter vaststelling van de letsels die zij naar aanleiding van de feiten had opgelopen. Hiervoor werd een medisch deskundige aangesteld, die bijkomend een psychiatrisch verslag liet opmaken door een psychiater. Na opmaak maakte de deskundige het volledige medische verslag integraal over aan alle partijen in de procedure, met inbegrip van de dader van de feiten. Het slachtoffer diende vervolgens klacht in bij de GBA omdat hierdoor gevoelige gezondheidsgegevens vrijgegeven werden van haarzelf en haar echtgenoot, die niet rechtstreeks in verband zouden staan met de feiten waarvoor het deskundigenonderzoek werd bevolen.
De GBA bevestigt eerst en vooral dat de medisch deskundige de verwerkingsverantwoordelijke is voor de verwerking die bestaat uit het medisch verslag ter beschikking stellen van de rechtbank en partijen. De GBA stelt dat de gerechtsdeskundige gehouden was tot het overmaken van het medisch verslag ingevolge een wettelijke verplichting, die beoogt het tegensprekelijk karakter van het deskundigenonderzoek te verzekeren. Dit principe van tegenspreekbaarheid uit het procedurerecht komt in aanmerking als “zwaarwegend algemeen belang” om het verwerken van gezondheidsgegevens door het overmaken van het medisch verslag te rechtvaardigen.
Ondanks dat de GBA in casu oordeelt dat er sprake is van een rechtmatige verwerking, benadrukt zij wel dat gerechtsdeskundigen erover moeten waken dat de door hen opgestelde verslagen voldoen aan de beginselen van evenredigheid en minimale gegevensverwerking, zodat zij uitsluitend persoonsgegevens bevatten die noodzakelijk zijn voor de doeleinden van de verwerking. De GBA heeft geen uitspraak gedaan over de vraag of dit in voorliggende zaak het geval was, maar heeft wel contact opgenomen met de Orde van Artsen met het oog op de opmaak van richtlijnen hieromtrent.
Gevolg:
Seponering - 30/7/2020: Klacht wegens publicatie persoonsgegevens in telefoongidsen en telefooninlichtingendiensten, nadat verwijderingsverzoek betrokkene
Een burger diende bij de GBA klacht in tegen Proximus omdat zijn telefoonnummer tegen zijn wil in gepubliceerd was op diverse elektronische telefoongidsen van het bedrijf, meer bepaald 1207.be en 1307.be. Het opnemen van abonneegegevens in telefoongidsen en -inlichtingendiensten wordt niet enkel geregeld door de GDPR, maar ook door de Wet Elektronische Communicatie, die uitvoering geeft aan de ePrivacy-richtlijn.
Proximus had de gegevens van deze persoon ontvangen van diens operator (Telenet) en had deze zelf doorgegeven aan beheerders van andere telefoongidsen en -inlichtingendiensten. De betrokkene had via een e-mail gericht aan Proximus echter zijn toestemming voor de publicatie van diens telefoonnummer ingetrokken. Proximus gaf hier initieel gevolg aan, maar bij een routineverstrekking van abonneegegevens door Telenet werden de gegevens opnieuw als ‘niet geheim’ aangemerkt omdat Telenet niet op de hoogte was van de intrekking van de toestemming die aan Proximus gericht werd.
De GBA stelt hierbij dat het tot de verantwoordelijkheid van Proximus behoorde om het verzoek tot intrekking van de toestemming eveneens kenbaar te maken aan de operator van de betrokkene en andere telefoongidsen en -inlichtingendiensten aan wie Proximus de persoonsgegevens van de betrokkene overgemaakt zou hebben. Het volstaat volgens de GBA namelijk dat de betrokkene zich richt tot één van de verwerkingsverantwoordelijken om diens toestemming in te trekken, wanneer de verschillende verwerkingen op dezelfde toestemming (verleend aan de operator) zijn gebaseerd.
De GBA stelt bovendien vast dat Proximus over geen rechtsgrond beschikte om zelf de gegevens over te maken aan aanbieders van soortgelijke diensten. De beheerders van deze diensten kunnen deze informatie enkel opvragen bij de operator van de betrokkene, die deze moet verstrekken indien de betrokkene hierin heeft toegestemd. Tot slot voldeed de informatie die Proximus verstrekte aan de betrokkene niet aan de transparantievereisten.
Gevolg:
€20.000 boete
Bevel tot het gevolg geven aan de verzoeken van de betrokkene tot intrekking van de toestemming en tot gegevenswissing
Verbod om door te gaan met de verwerking waar zij op onrechtmatige wijze persoonsgegevens doorgeeft aan derde aanbieders van telefoongidsen en -inlichtingendiensten, met een gedoogtermijn van één jaar om Proximus en de sector de kans te geven om een nieuw wetsconform systeem voor doorgifte te ontwikkelen
Berispingen omwille van het gebrek aan transparante informatie, het onvoldoende faciliteren van de uitoefening van de rechten van de klager, en het verzaken aan haar verplichtingen en verantwoordelijkheden als verwerkingsverantwoordelijke tot het treffen van passende technische en organisatorische maatregelen. - 29/7/2020: Klacht van x tegen y (recht van inzage bij de voormalige werkgever)
Een persoon werd wegens een ernstige fout ontslaan uit zijn functie als hoofdgeneesheer en radioloog op de afdeling medische beeldvorming van een ziekenhuis. Dit gebeurde enige tijd na de vaststelling van disfuncties binnen deze afdeling, waaromtrent een rapport werd opgesteld in opdracht van het ziekenhuis. In dit verband werden de medewerkers van deze afdeling, inclusief de betrokken dokter zelf, gehoord door een externe deskundige die eveneens dokter was.
De dokter stelde een gerechtelijke procedure in tegen het ziekenhuis waarin hij de geldigheid van zijn ontslag aanvocht. Kort voor de inleiding hiervan neemt de klager contact op met het ziekenhuis en verzoekt om inzage in en kopie van het gedeelte van het onderzoeksverslag in kwestie. Het ziekenhuis weigerde dit verzoek onder de verantwoording dat de betrokkene noch het bestaan van een verwerking van persoonsgegevens, noch van een activiteit die binnen het materiële toepassingsgebied van de GDPR valt, zou aantonen.
De GBA oordeelt dat middels het onderzoeksrapport duidelijk ook persoonsgegevens van de betrokken dokter worden verwerkt. Het begrip persoonsgegevens omvat immers niet enkel gegevens die voortvloeien uit objectieve elementen, maar strekt zich uit tot subjectieve gegevens die een beoordeling van of een oordeel over de betrokkene omvatten. De dokter kan aldus zijn recht van inzage uitoefenen ten aanzien van zijn persoonsgegevens die zijn opgenomen in het verslag, evenwel zonder dat hierbij een kopie van het originele verslag kan worden verstrekt, ter bescherming van de rechten van derden. Evenwel werd het verslag in de tussentijd reeds volledig overgemaakt aan de betrokkene in de context van de gerechtelijke procedure die lopende was tussen de dokter en het ziekenhuis.
Gevolg:
Berisping
Bevelen tot voldoen aan uitoefening recht van inzage en tot het voldoen aan de transparantieverplichting in de verhouding met zelfstandige zorgverleners - 28/7/2020: Klacht wegens verwerking van de persoonsgegevens kiezers tijdens de gemeenteraadsverkiezingen
Een burger diende een klacht in tegen een lokale politieke partij naar aanleiding van verkiezingspropaganda die zij in 2018 had ontvangen in de aanloop naar de gemeenteraadsverkiezingen. Deze werd verstuurd onder de verantwoordelijkheid van de lijsttrekker van deze partij, die op dat moment ook burgemeester was van de betreffende gemeente.
De burger werd aangeschreven als “mogelijks nieuwe inwoner” en kreeg daarom de indruk dat de brief speciaal aan haar was gericht. De lokale partij kon op basis van de kiezerslijsten waarover zij rechtmatig beschikte, immers onmogelijk weten dat het ging om een nieuwe inwoner van de gemeente.
In eerste instantie hield de betrokken verkiezingskandidaat voor dat de identiteit van nieuwe inwoners aan de lokale partij afdoende en nagenoeg volledig bekend was omdat het ging om een kleine landelijke gemeente. De nieuwe inwoners zouden door de partij voornamelijk op basis van ‘parate kennis’ uit de kiezerslijst gehaald geweest zijn. De gemeente telt echter meer dan 10.000 inwoners en de kandidaat gaf in hetzelfde schrijven toe een vergelijking te hebben uitgevoerd met de kiezerslijst van 2012, “om grote fouten of zekere onduidelijkheden te vermijden”.
De GBA wijst erop dat het gebruik van kieslijsten met het oog op het verzenden van kiespropaganda wettelijk geregeld is. Kieslijsten die ter beschikking worden gesteld in het kader van een bepaalde verkiezing, mogen enkel gebruikt worden tot de datum van die verkiezing. De kandidaat ging over tot een onrechtmatige verwerking en schond het beginsel van doelbinding door een kiezerslijst uit 2012 te gebruiken in het kader van de gemeenteraadsverkiezingen van 2018.
De GBA benadrukt ook dat kennis die werd verzameld in de context van andere professionele activiteiten van de kandidaat (de verweerder was ook arts) voor het bewerken van de kiezerslijst, eveneens strijdig is met de GDPR. Bovendien lag een inbreuk op de transparantieverplichting voor door het niet naar behoren informeren van de betrokkene over de verwerkingen in hoofde van de lokale partij.
Gevolg:
€3.000 boete
Berisping omwille van onrechtmatige verwerking door creëren ‘nieuwe inwonerslijst’ op basis van kiezerslijsten uit 2012 en 2018
Berisping omwille van gebrekkige informatie aan de betrokkene - 14/7/2020: Klacht van individu tegen Google (verwijdering van links/recht op vergetelheid)
Een burger oefende zijn recht om vergeten te worden uit ten aanzien van Google Belgium en verzocht Google om verouderde artikelen uit de zoekresultaten te verwijderen omdat deze zijn reputatie zouden schaden. Google wees het verzoek af.
Relevant is dat de burger door zijn functie een rol speelt in het openbare leven in België. Inhoudelijk betroffen de artikelen die Google opnam in de zoekresultaten mogelijke banden van de persoon met een politieke partij, die hij weerlegt, en daarnaast een pesterijklacht tegen hem die vele jaren geleden ongegrond werd verklaard. Google besloot echter om geen van de betreffende pagina’s uit de zoekresultaten te halen wanneer iemand een zoekopdracht op de naam van deze persoon uitvoerde.
Gelet op de rol die deze burger vervult in het openbare leven, oordeelde de GBA dat het in het algemeen belang noodzakelijk was dat de pagina’s over mogelijke banden met een politieke partij in de zoekresultaten bleven verschijnen. Deze redenering ging echter niet op voor de klacht gericht tegen deze persoon betreffende vermeende pesterijen. De GBA verweet Google in dit aspect bijzonder nalatig te zijn geweest aangezien het bedrijf over bewijzen beschikte dat de feiten irrelevant en verouderd waren. De GBA stelde dat de weigering van Google om de verwijzingen naar deze artikelen te verwijderen uit de zoekresultaten, waarschijnlijk ernstige gevolgen had voor de betrokkene.
Daarnaast schoot Google tekort aan de transparantieplicht, onder meer door de weigering onvoldoende te staven aan de betrokkene en door onduidelijkheid omtrent de identiteit van de verwerkingsverantwoordelijke in het aanvraagformulier voor verwijdering.
Gevolg:
€500.000 boete voor niet-naleving van het recht om vergeten te worden en het beginsel van de rechtmatige verwerking
€100.000 boete voor de schending van de transparantieplicht en de verplichting om tijdig gevolg te geven aan een verzoek van een betrokkene
Bevel tot aanpassing van de elektronische aanvraagformulieren voor verwijdering
Bevel om de artikelen over de onbewezen pesterijen niet langer op te nemen in de zoekresultaten voor wie Google raadpleegt vanuit de Europees Economische Ruimte. - 9/7/2020: Klacht omtrent camerabewaking in en om appartementsgebouw in mede-eigendom en aanduiding van de verwerkingsverantwoordelijke
In een residentie bestaande uit 12 appartementen, had slechts één mede-eigenaar toegang tot de beelden van de meerdere bewakingscamera’s die in het appartementsblok geïnstalleerd waren. Deze mede-eigenaar trad voorheen op als bouwheer van het appartementsgebouw en syndicus van de vereniging van mede-eigenaars (VME) en meende dat toestemming van de mede-eigenaars voorlag voor de camerabewaking. De verweerder kon dit echter niet aantonen en de GBA benadrukt dat een toestemming als onderdeel van de notariële verkoopaktes in deze situatie niet vrij gegeven geweest zou zijn. Een aankoop zou immers onmogelijk zijn geweest zonder meteen toe te stemmen in de camerabewaking. Evenmin kon de verweerder zich in dit concreet geval op zijn gerechtvaardigd belang beroepen.De GBA stelde dat de verweerder als bouwheer en -promotor er contractueel toe gehouden kan zijn om de materiële infrastructuur voor wat betreft de plaatsing van bewakingscamera’s te voorzien. Van zodra de eigendomsoverdrachten hebben plaatsgevonden en de VME is opgericht, komt het echter uitsluitend aan de VME toe om te beslissen over de plaatsing, het gebruik en de verwijdering van bewakingscamera’s in het appartementsgebouw. Uitsluitend de VME is dan ook aan te merken als verwerkingsverantwoordelijke. De verweerder diende de verwerking van de beelden in zijn hoofde onmiddellijk te staken en het nodige te doen om de VME in staat te stellen om de camerabewaking in het gebouw verder te beheren.
Gevolg:
€5.000 administratieve boete
Bevel om de verwerking in overeenstemming te brengen door de vereiste documenten, waaronder de plannen inzake plaatsing van de bewakingscamera’s en de logincode, te verstrekken aan de vereniging van mede-eigenaars van het appartementsgebouw
Definitief verbod voor verweerder om de beelden zelfstandig te verwerken en tijdelijk verbod tot verwerking met de bewakingscamera’s die ook op een andere residentie zijn gericht tot een gezamenlijke beslissing van beide VME’s hieromtrent - 30/6/2020: Hergebruik van profielfoto beschikbaar op Facebook
De Sportrechtbank had aan klager het verbod opgelegd om gedurende 1 jaar aanwezig te zijn op trainingen, kampioenschappen, of enige andere wedstrijd van om het even welke aard, georganiseerd onder de sportieve autoriteit van de verweerder. Het vonnis stipuleerde bovendien dat de griffier van het secretariaat van de verweerder werd verzocht om het verbod ter kennis te brengen van alle organisatoren van dergelijke wedstrijden op Belgisch grondgebied. Verweerder stuurde hierop via e-mail aan de sportcommissarissen en organisatoren van een nakend evenement een kennisgeving van het aanwezigheidsverbod van klager, met als bijlage de profielfoto van klager. Deze foto was verkregen van het publieke profiel van de klager op Facebook.
De GBA oordeelde dat de verweerder zich rechtsgeldig kan beroepen op haar gerechtvaardigde belangen voor deze verwerking. Het uitvoering geven aan het vonnis van de Sportrechtbank, werd beschouwd als een gerechtvaardigd belang. Bovendien was het noodzakelijk om de foto bij de e-mail te voegen met het oog op de controle van de naleving van het aanwezigheidsverbod in hoofde van de klager. De organisatoren van wedstrijden moeten immers over enig middel beschikken om de klager te kunnen identificeren bij niet-naleving van het aanwezigheidsverbod. Het behoort tevens tot de redelijke verwachting van de klager dat zijn foto, die door hemzelf gepubliceerd is op zodanige wijze dat deze vrij toegankelijk is voor iedereen, gebruikt zal worden voor deze doeleinden. Bovendien leeft verweerder het beginsel van de minimale gegevensverwerking na door de profielfoto te bewerken en hiermee andere personen die op de profielfoto stonden, niet langer zichtbaar te maken.
Gevolg:
Seponering - 23/6/2020: Verwerking van de persoonsgegevens opgenomen in de Kruispuntbank van de voertuigen
Verzekeringsondernemingen kregen via het informatieplatform van Informex toegang tot de persoonsgegevens opgenomen in de Kruispuntbank van de voertuigen (KBV). Deze gegevens werden gebruikt met het oog op het uitvoeren van een gepersonaliseerde prijsberekening voor personen die mogelijk een autoverzekering wilden afsluiten. Het gebruik van de persoonsgegevens opgenomen in de KBV is wettelijk echter strikt geregeld. Het gebruik van de gegevens door Informex en de doorgifte aan verzekeraars, en het gebruik van de verzekeraars van de ontvangen gegevens voor het opmaken van prijsopgaves, valt volgens de GBA buiten de in de wet voorziene doeleinden voor de gegevens opgenomen in het KBV.
Meer nog, de GBA bevestigt dat de praktijk van de verzekeraars kwalificeert als “direct marketing”, welk gebruik uitdrukkelijk verboden is voor de gegevens in het KBV. De beslissing heeft tot gevolg dat verzekeraars geen beroep meer zullen kunnen doen op de gegevens in het KBV met het oog op het opstellen van individuele prijsopgaves, aangezien voor deze doeleinden – voorlopig – geen rechtsgrond voorhanden is.
De KBV wordt beheerd door de FOD Mobiliteit en Vervoer, dat Informex toegang verleende tot de gegevens voor hogervermelde doeleinden op basis van een advies van de CBPL of Privacycommissie (de voorganger van de GBA) uit 2017. Daarom treedt deze partij op als verweerder in de procedure. De GBA stelt echter dat de FOD Mobiliteit en Vervoer in casu te goeder trouw en conform het advies van de gewezen CPBL handelde en dat hiervoor geen sanctie kan worden opgelegd aan de federale overheidsdienst. Er werd in hoofde van de overheidsdienst wel een inbreuk op de transparantieverplichting vastgesteld.
Gevolg:
Bevel tot het in overeenstemming brengen van de verwerking met de GPDR binnen 6 maanden en het informeren van de GBA hierover.
Berisping wegens schending van de transparantieverplichting en bevel tot het in overeenstemming brengen van de privacyverklaring met de GDPR binnen de 3 maanden en het informeren van de GBA hierover. - 19/6/2020: Klacht voor onrechtmatige en onjuiste verwerking persoonsgegevens en inbreuken tegen rechten van betrokkene
Klager kreeg marketingberichten toegestuurd van een niet nader genoemde onderneming ter promotie van een door haar georganiseerde workshop. Deze persoon was echter geen klant van de onderneming in kwestie en vroeg zich dan ook af hoe zijn gegevens in de database van de onderneming terechtgekomen waren, wat de rechtsgrond was voor het versturen van de e-mails en over welke gegevens de onderneming nog van hem beschikte. Hij richtte via e-mail dan ook een verzoek naar de onderneming tot uitoefening van zijn rechten onder de GDPR. Hier kwam echter geen tijdig antwoord op dat volledig gevolg gaf aan dit verzoek.
De e-mail bleek uiteindelijk bedoeld te zijn voor een andere persoon met dezelfde naam. Een menselijke fout had namelijk geleid tot de input van een verkeerd e-mailadres in de database van de onderneming. De GBA wees erop dat een manuele vergissing bij de oorsprong van het probleem op generlei wijze de verantwoordelijkheid van de verwerkingsverantwoordelijke teniet doet.
Gevolg:
€10.000 administratieve boete
Berisping wegens het onvoldoende faciliteren van en laattijdig antwoorden op de uitoefening van het recht van inzage
Bevel om binnen een maand gevolg te geven aan het verzoek tot inzage van de klager, en om de verwerking van persoonsgegevens van de klager in overeenstemming te brengen met de GDPR - 16/6/2020: Klacht van inidividu tegen de vzw Y
Een vzw stuurde verschillende e-mailberichten naar klaagster ter promotie van haar activiteiten, ondanks herhaalde verzoeken van klaagster om hiermee te stoppen en haar e-mailadres uit de database van de organisatie te verwijderen. De vzw in kwestie vertoonde bovendien een gebrek aan samenwerking met de GBA door geen gevolg te geven aan eerdere bevelen om zich in regel te stellen met de GDPR. Bovendien heeft de verantwoordelijke binnen de vzw op geen enkel moment in de procedure argumenten aangevoerd ter verdediging van de gepleegde inbreuken.
Gevolg:
€1.000 administratieve boete
Bevel om binnen de maand over te gaan tot inwilliging van het bezwaar en het verzoek om gegevenswissing van klaagster. - 8/6/2020: Klacht wegens enquête via Smartschool bij minderjarige leerlingen zonder toestemming van de ouders
Een school voerde een enquête ‘welbevinden’ uit onder haar minderjarige leerlingen, in het kader van haar wettelijke verplichting om maatregelen te nemen in het kader van leerlingenbegeleiding. De GBA oordeelde echter dat de manier waarop de school deze verplichting invult, namelijk door het afnemen van een enquête die rechtstreeks de identificatie van de betrokken leerlingen toelaat, niet zonder meer gerechtvaardigd wordt door deze wettelijke basis. De GBA oordeelt dat de verwerking in dit concreet geval enkel gebaseerd kan zijn op de rechtsgrond van de toestemming.
Specifiek stelde de GBA dat artikel 8 van de GDPR van toepassing is. Dit artikel bepaalt dat de toestemming in het kader van bepaalde digitale diensten die rechtstreeks aan een kind gericht zijn, verkregen moet worden van één van de ouders (of een andere wettelijke vertegenwoordiger). In casu was het kind van klager 12 jaar oud en had de toestemming van de ouder verkregen moet worden voor het afnemen van de enquête. Bovendien was niet voldaan aan het beginsel van de minimale gegevensverwerking omdat de verwerkte informatie (o.m. over andere leerlingen, pesten, de thuissituatie van de betrokken leerlingen) niet in verhouding stond tot het doeleinde ‘leerlingenbegeleiding’. Bovendien was niet voldaan aan de transparantieplicht tegenover de betrokken kinderen, omdat de manier waarop zij geïnformeerd werden niet conform de vereiste vermeldingen in artikel 13 van de GDPR was.
Gevolg:
€2.000 administratieve boete
Bevel om de verwerking in overeenstemming te brengen met de GDPR. - 8/6/2020: Gemeente X vs. Y (gemeentebestand)
De medewerkers van een gemeente kregen per post verkiezingspropaganda toegestuurd van de lijsttrekker van een politieke partij in het kader van de gemeenteraadsverkiezingen van 2018. De adressen van deze personen werden echter verkregen via een interne personeelslijst en niet via de kiezerslijsten die net bedoeld zijn om te gebruiken voor deze doeleinden. De praktijk kwam dan ook aan het licht omdat het promotiemateriaal verstuurd werd naar de adressen die op voornoemde interne personeelslijst voorkwamen, en die in sommige gevallen verschilden van het adres dat voor deze personen opgenomen was op de kiezerslijst.
De GBA veroordeelt de lijsttrekker omdat de verwerking niet verenigbaar was met het doel waarvoor de betrokken gegevens initieel verzameld waren. Bovendien kon de persoon die gebruik maakte van de lijst geen geldige rechtsgrond voor de verwerking voorleggen. De GBA benadrukt dat verkiezingskandidaten specifiek toegang hebben tot kiezerslijsten die net bedoeld zijn om te gebruiken voor campagnedoeleinden.
Gevolg:
€5.000 administratieve boete - 8/6/2020: Klacht voor gebruik van een professioneel e-mailadres voor de correspondentie betreffende kosten voor alimentatie in het kader van een familiegeschil
Een man heeft bij de GBA een klacht ingediend tegen zijn ex-echtgenote, omdat zij gebruik maakte van een oud professioneel e-mailadres van de man om haar trimestriële kostenstaat met betrekking tot hun dochter door te geven. In het kader van een geschil voor de familierechtbank had de vrouw namelijk het hoederecht over hun dochter gekregen en werd ook een regeling getroffen voor de bijdrage van de man in de kosten.
De man werkte inmiddels al jaren niet meer bij het bedrijf dat het e-mailadres beheert, waardoor zijn voormalige werkgever via dit e-mailadres vertrouwelijke informatie doorkreeg over de uitvoering van de gerechtelijke beslissing van de familierechtbank en de dochter van partijen. De GBA achtte de GDPR van toepassing op deze verwerking, wat opmerkelijk is aangezien het om een natuurlijke persoon gaat die optreedt voor privédoeleinden. De vrouw beschikte niet over een rechtsgrond voor het gebruik van het professionele e-mailadres en voldeed niet aan de vereisten van onder meer het treffen van gepaste (beveiligings)maatregelen ter bescherming van de verwerkte persoonsgegevens (waaronder ook gezondheidsgegevens over het kind), door te riskeren dat deze aan derden onthuld zouden worden.
Gevolg:
Waarschuwing - 29/5/2020:Klacht wegens het toesturen van publiciteit door VZW
Een vzw gaf geen gevolg aan het verzoek van een voormalige donateur (wiens donatie dateerde van 2012) om te stoppen met het versturen van promotiemateriaal aan hem per post en om diens gegevens te wissen. Bijkomend kan de vraag gesteld worden of deze persoon, 7 jaar na de verzameling van zijn gegevens, redelijkerwijze kon verwachten dat de vzw deze nog steeds zou gebruiken voor marketingdoeleinden, met het oog op fondsenwerving.
Gevolg:
€1.000 administratieve boete
Bevel om gunstig gevolg te geven aan het verzoek tot gegevenswissing van klager - 14/5/2020: Gebrek aan rechtsgrond voor verwerkingen van persoonsgegevens door social media platform
Het datingplatform Twoo liet gebruikers toe om hun contactenlijsten met onder meer e-mailadressen en telefoonnummers te importeren. De functie bood aan deze gebruikers vervolgens de mogelijkheid om uitnodigingsmails te versturen aan deze personen om zich ook te registreren voor het platform. Het platform beschikte echter niet over een rechtsgrond in het kader van de GDPR om gegevens te verwerken van personen die nog geen lid waren van het platform, bij gebreke aan – onder meer – de redelijke verwachting bij deze personen dat het platform zou overgaan tot de verwerking van hun gegevens.
Het via de functie versturen van uitnodigingsmails naar personen die wel reeds lid zijn van het platform, om elkaar eenvoudig terug te vinden op het platform, was vanuit privacy-standpunt wél te verantwoorden. Het platform heeft op eigen initiatief besloten om de functie, die toeliet om via-email niet-gebruikers uit te nodigen om zich aan te sluiten bij het platform, niet meer aan te bieden.
Gevolg:
€50.000 administratieve boete - 14/5/2020: Gebrek aan transparantie in de privacyverklaring van een verzekeringsmaatschappij.
Verzekeraar DKV maakte in haar privacyverklaring geen duidelijk onderscheid tussen enerzijds de verwerking van “gewone” persoonsgegevens van haar klanten (zoals contactgegevens), en anderzijds hun gezondheidsgegevens. Gezondheidsgegevens vallen nochtans in een bijzondere categorie van persoonsgegevens uit en zijn daarom onderworpen aan strengere vereisten onder de GDPR. Voor deze gegevens moet dan ook afzonderlijk duidelijk gemaakt worden op basis van welke rechtsgrond zij verwerkt worden, voor welke doeleinden dit gebeurt en wanneer en waarvoor zij concreet doorgegeven worden aan derde partijen.
Daarnaast beroept DKV zich op haar gerechtvaardigde belangen om de gegevens van haar klanten te verwerken voor bijkomende doeleinden die losstaan van de uitvoering van de verzekeringsovereenkomst met de betrokkene, zoals het opleiden van personeel, het opstellen van statistieken en het bewaken van de kwaliteit van de dienstverlening.
DKV was hier echter onvoldoende transparant over en was niet in staat om zich hiervoor te kunnen verantwoorden, gelet op de strenge vereisten om te kunnen beroepen deze rechtsgrond (zoals een grondige belangenafweging, uitdrukkelijk identificeren, per individueel doeleinde, van het concrete gerechtvaardigd belang dat aan de orde is).Gevolg:
€50.000 administratieve boete
Bevel om de verwerking in overeenstemming te brengen met de GDPR. - 8/5/2020: Inbreuk in verband met persoonsgegevens en verplichting tot het (tijdig) sluiten van een verwerkersovereenkomst
De GBA startte een onderzoek nadat bij onderneemster X een gegevenslek had plaatsgevonden tijdens de omschakeling van haar webshop naar een nieuw ‘content management’-systeem. Dit gegevenslek werd gemeld aan de GBA. Voor de IT-aspecten van de webshop deed de onderneemster een beroep op een Indische vennootschap. Zij kon echter uitgebreid haar procedure inzake gegevenslekken verantwoorden en toonde ook aan dat zij adequate technische en organisatorische maatregelen had genomen ter bescherming van de verwerkte persoonsgegevens.
Er was verder nog een potentiële inbreuk wegens de verplichting van een verwerkersovereenkomst tussen de uitbater van de webshop en de Indische vennootschap. De GBA stelde echter vast dat tussen partijen wilsovereenstemming bestond betreffende de verwerkersovereenkomst en dat deze voor de datum van inwerkingtreding van de GDPR werd opgesteld door de onderneemster en werd ondertekend door de Indische verwerker.
Gevolg:
Buitenvervolgingstelling - 29/4/2020: Klacht tegen een gemeente over de raadpleging van een burgerfoto in het Rijksregister door een gemeentemedewerker
Klager stelde vast dat een medewerker van een niet nader gespecifieerde stad zijn foto had geraadpleegd in het Rijksregister. Het is immers mogelijk om online op https://mijndossier.rrn.fgov.be na te gaan wie de afgelopen 6 maanden uw gegevens in het Rijksregister heeft geraadpleegd. De GBA stelde vast dat het aan de stad toebehoorde om de nodige maatregelen te nemen om te garanderen dat de toegang tot het Rijksregister beperkt blijft tot de doeleinden waarvoor dergelijke toegang geautoriseerd is.
Er was geen controlemechanisme dat toeliet om het motief voor raadplegingen van het Rijksregister door de stadsmedewerkers te registreren. Dit valt nochtans wel onder de verplichting om passende technische en organisatorische maatregelen in te stellen die waarborgen dat de verwerking in overeenstemming met de GDPR gebeurt, en de verantwoordingsplicht.De inbreuken hadden zowel betrekking op de GDPR, als op de specifieke wet ter organisatie van het Rijksregister.
Gevolg:
Berisping - 28/4/2020: Inspectieverslag over verantwoordelijkheid bij gegevenslekken en positie functionaris gegevensbescherming
Proximus werd veroordeeld tot betaling van een flinke geldboete wegens een belangenconflict van haar DPO. De persoon die de functie van DPO op zich nam, was als directeur namelijk tegelijkertijd verantwoordelijk voor de drie departementen Audit, Risk & Compliance. Dit heeft volgens de GBA tot gevolg dat de DPO de middelen en de doeleinden van de verwerking van persoonsgegevens binnen deze 3 departementen vaststelt en niet onafhankelijk zijn functie als DPO kan vervullen.
De GBA bevestigt hiermee dat de rol van verantwoordelijke van een departement niet te rijmen valt met de functie van DPO. De DPO heeft namelijk binnen de onderneming een informerende en adviserende rol over alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
Bovendien werd de DPO in deze onderneming onvoldoende betrokken bij discussies over gegevenslekken. Een concreet gegevenslek bij Proximus, waardoor e-mails onbedoeld verstuurd werden naar administratieve of technische contactpersonen van de klant, vormde dan ook de aanleiding voor de Inspectiedienst van de GBA om een onderzoek op te starten.
Gevolg:
€50.000 administratieve geldboete
Bevel tot het in overeenstemming brengen van de verwerking met de GPDR binnen 3 maanden en het informeren van de GBA hierover tegen 31 juli 2020. - 28/4/2020: Klacht van twee klanten tegen hun bank naar aanleiding van hun verzoek om kennisgeving van alle persoonsgegevens die de bank over hen bezit.
Twee klanten van een bank dienden een klacht in bij de GBA, omdat de bank in kwestie geen tijdig gevolg gaf aan het verzoek van deze klanten om hen mee te delen over welke persoonsgegevens de bank van hen beschikte. De klanten dienden dit verzoek in via hun advocaat, naar aanleiding van een geschil over het afsluiten van de rekeningen van deze personen door de bank. De bank vroeg meer bepaald om te verduidelijken welke rechten de klanten precies wensten uit te oefenen en welke redenen hiervoor voorlagen. Daarnaast verzocht de bank om een kopie van de identiteitskaart van betrokkenen. Er komt pas een antwoord op het verzoek van de klanten na verloop van 4 maanden.Gevolg:
Berisping - 20/4/2020 : Klacht tegen een winkel over het gebruik van bewakingscamera's
Klager loopt op het voetpad en merkt dat hij zichzelf op een TV-scherm ziet aan de achterkant van een winkel. Klager klaagt onder andere over het feit dat hij op geen enkel moment werd ingelicht over de aanwezigheid van camera’s. De GBA stelt hier een inbreuk vast op de verplichting tot het aanleggen van een register van de verwerkingsactiviteiten. Deze verplichting wordt niet alleen algemeen door de GDPR opgelegd, maar ook door de specifieke wet van 21 maart 2007 die de plaatsing en het gebruik van bewakingscamera’s regelt.
Gevolg:
Berisping
Bevel tot het opstellen van een register van alle verwerkingsactiviteiten (met inbegrip van haar activiteiten op het gebied van de verwerking van camerabeelden), en het informeren van de GBA hierover. - 15/4/2020: Klacht tegen gemeente voor de verwerking van de persoonsgegevens van huurders via de belastingaangifte
Een gemeentelijke administratie verzoekt de eigenaar en verhuurder van een pand via de belastingaangifte voor tweede verblijven om een aantal persoonsgegevens van de huurders over te maken. Die gegevens zouden relevant zijn voor het verwerven van een belastingvermindering voor de eigenaar. Het gaat onder meer om naam en voornaam van de huurder, attesten die moeten bewijzen dat de huurder student is, en een noodnummer gelinkt aan de huurder. De GBA stelt verschillende GDPR-inbreuken vast. Daaronder valt het nalaten om de huurders en andere betrokkenen transparant te informeren over de verwerking van hun gegevens. En er niet in slagen om aan te tonen dat de aangestelde DPO voldoet aan de vereisten inzake onder meer kwaliteit en onafhankelijkheid.
Gevolg:
Bevel tot het in regel brengen met de GDPR van de verwerking en het informeren van de GBA hierover, en een waarschuwing wat betreft de naleving van de vereisten die van toepassing zijn op de DPO. - 21/2/2020: Klacht van individu tegen twee voormalige werkgevers
Klager is verwikkeld in gerechtelijke procedures met 2 van zijn voormalige werkgevers (onderneming A en onderneming B), die elk de betrokken persoon ontslaan hebben. Klager treedt naar aanleiding van diens ontslag via zijn vakbond in contact met onderneming A. Hierbij merkt klager dat onderneming A via telefonisch contact door onderneming B op de hoogte is gesteld dat ook deze partij als werkgever een geschil lopende heeft met klager. Onderneming A heeft deze informatie namelijk opgenomen in haar antwoord dat zij aan de vakbond heeft gericht.
De GBA veroordeelt onderneming B niet, omdat de louter mondelinge mededeling via telefoon buiten het toepassingsgebied van de GDPR valt. Er is namelijk geen sprake van een geautomatiseerde verwerking van persoonsgegevens, en evenmin van een niet-geautomatiseerde verwerking waarbij de informatie bestemd is om deel uit te maken van een bestand.
Onderneming A wordt wel veroordeeld. Zij is immers wel onderworpen aan de GDPR voor het verzamelen van persoonsgegevens van klager bij onderneming B en het via brief meedelen hiervan aan de vakbond van klager. Als rechtsgrond kan onderneming A zich niet op haar gerechtvaardigde belangen beroepen om de gegevens in kwestie te verzamelen bij onderneming B en deze verder te verwerken in het kader van haar eigen geschil met de betrokken persoon. De verwerking gaat bovendien voorbij aan de vereisten van noodzakelijkheid en proportionaliteit, onder meer omdat het ging om irrelevante informatie die niet ter zake diende voor de ontslagredenen waarop onderneming A zich beroept ten aanzien van klager en het juridisch geschil dat hieruit is voortgekomen.
Gevolg:
- Berisping
Loopt er een procedure van de GBA tegen u?
Brief gekregen van de Inspectiedienst of al verwikkeld in een procedure met de Geschillenkamer?
Schakel de bijstand in van een advocaat met expertise ter zake! Onze advocaten Privacy & IT hebben ervaring in deze procedures en staan u bij graag bij.
Ingrid De Poorter
Ingrid De Poorter is Managing Partner en heeft de leiding over de afdelingen Data, Tech & Entertainment en Ondernemingsrecht.
Meer info