E-mail met geadresseerden in cc ipv bcc - Inbreuk GDPR?

Geschreven door Lexalert
Foto: Kelly Schott  

Op 25 oktober 2018 werd bij de Gegevensbeschermingsautoriteit een klacht ingediend betreffende de verzending van een globale e-mail aan al de klanten van een aannemer, de verweerder in de procedure. De e-mail betrof een verklaring inzake een BTW-attest van 6% die ondertekend dient te worden door al zijn klanten. Deze waren dus zichtbaar voor alle geadresseerden.

De verweerder stelde echter dat hij zich administratief in orde wilde stellen door de mail te sturen, maar dat hij zich vergist had door “in kopie” te sturen in plaats van “in blinde kopie”. Daaraan voegt hij echter toe dat hij geen schade berokkend heeft aan de klager.

Volg op 13 januari 2020 van 12 uur tot 14 uur het online seminar GDPR - Anonimiseren van persoonsgegevens: opportuniteiten en valkuilen belicht vanuit een technologisch perspectief met Vincent NAESSENS

De klager stelt dan weer dat het delen van dit soort informatie niet in overeenstemming met de wetgeving werd behandeld en dat de werkwijze van de verweerder (namelijk het samenvoegen van alle e-mailadressen in één lijst) niet getuigt van de nodige voorzichtige werkwijze die nodig is om de privacy van zijn klanten te waarborgen.

De klager baseert zich op de algemene verordening gegevensbescherming waarin onder andere de volgende beginselen staan:

  • De persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld;
  • Deze mogen niet verwerkt worden voor een ander doel, of als er geen toestemming is;
  • Er wordt rekening gehouden met de aard, de omvang, de context en het doel van de verwerking en met de waarschijnlijkheid en ernst van de risico’s die eraan vasthangen;
  • Daarbij wordt er rekening gehouden met de stand van de techniek en de uitvoeringskosten van de verwerking

►Lees ook: Verwerkersovereenkomsten: tips & tricks

Aangezien de verweerder toegeeft een fout te hebben begaan en zo inbreuk te hebben gepleegd op de verwerking van de persoonsgegevens van de klager, heeft de Geschillenkamer beslist een berisping te formuleren ten aanzien van de verweerder.