Eerste GDPR boete in België: € 2000 voor een burgemeester

Geschreven door Bernd Fiten, Timelex, www.timelex.eu
Foto: Marco Verch

De verklaring door de nieuwe voorzitter van de Belgische Gegevensbeschermingsautoriteit (GBA) dat er in 2019 een tandje zal worden bijgestoken om de naleving van de GDPR te verzekeren is ondertussen kracht bijgezet door het opleggen van de eerste GDPR boete in België.

Op 28 mei 2019 oordeelde de recent opgerichte geschillenkamer van de GBA dat het finaliteitsbeginsel werd geschonden door een burgemeester die persoonsgegevens, verkregen bij de uitoefening van zijn functie, had gebruikt voor zijn verkiezingscampagne.

Volg op 20 juni 2019 van 15 uur tot 17 uur het online seminar Wijzigingen m.b.t. strafrechtelijke vervolging in fiscale zaken met Francis DESTERBECK

Wat was er gebeurd?

In het kader van een verkavelingswijziging stuurde een architecte namens haar klanten, de klagers in kwestie, een e-mail aan de burgemeester om een afspraak vast te leggen. De klagers stonden hierbij in cc.

Kort voor de gemeenteraadsverkiezingen van 14 oktober 2018 beantwoordde de burgemeester deze e-mail met verkiezingspropaganda. Vervolgens dienden de klagers een klacht in bij de GBA en stuurden zij het antwoord van de burgemeester ook door aan de fractieleider van een andere politieke partij.

Die politieke partij trok vervolgens naar de Raad voor Verkiezingsbetwistingen, die de burgemeester strafte met een waarschuwing. Volgens de burgemeester kon de GBA hem daarom niet nogmaals straffen voor dezelfde feiten. De GBA daarentegen stelt dat het niet om dezelfde feiten ging, want uit het arrest van de Raad bleek dat de waarschuwing werd opgelegd voor andere feiten.

Schending van het finaliteitsbeginsel

Vervolgens beoordeelde de GBA of er een schending is van het finaliteitsbeginsel. Dit principe bepaalt dat persoonsgegevens voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel moeten worden verzameld (het aanvankelijke doel) en enkel voor een ander doel mag worden verwerkt indien het doel voor verdere verwerking verenigbaar is met het aanvankelijke doel (artikel 5.1.b) GDPR).

Bij de beoordeling of het doel voor verdere verwerking al dan niet verenigbaar is met het aanvankelijke doel moeten onder meer de volgende elementen in rekening worden gebracht (art. 6.4 GDPR):

  • Het verband tussen het aanvankelijke doel (afspraak maken over een verkavelingsdossier met de burgemeester) en het doel voor verdere verwerking (verzenden van verkiezingspropaganda voor persoonlijke doelen van de burgemeester);
  • Het kader waarin de persoonsgegevens zijn verzameld, met name de verhouding tussen de betrokkenen (de klagers als burgers) en de verwerkingsverantwoordelijke (de burgemeester die als houder van een publiek mandaat een voorbeeldfunctie heeft);
  • Verder dient ook rekening te worden gehouden met de aard van de persoonsgegevens, de mogelijke gevolgen van de voorgenomen verdere verwerking en het al dan niet bestaan van passende waarborgen (deze elementen waren niet van toepassing in dit geval).

Op basis van deze elementen oordeelt de GBA nu dat het verzenden van verkiezingspropaganda niet verenigbaar is met het aanvankelijke doel. De GBA verwijst ook naar de voorbeeldfunctie van de burgemeester en naar de uitgebreide aandacht die aan de GDPR in de publieke media werd besteed. Daarom legt de GBA aan de burgemeester voor deze ernstige inbreuk zowel een berisping als een administratieve geldboete op.

Ander interessant artikel: Geannoteerd wetboek Privacy 2019

Eerste boete met duidelijk signaal

Voor het opleggen van de administratieve geldboete steunt de GBA op artikel 101 van de Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit. Dat artikel verwijst naar de GDPR voor het opleggen van administratieve geldboetes. Een schending van het finaliteitsbeginsel valt onder de zwaarste categorie waarvoor een maximumboete van 20.000.000 euro geldt of, voor bedrijven, 4% van de totale wereldwijde jaaromzet.

De GDPR bepaalt enkel een maximumboete, maar geen minimumboete. De GDPR bepaalt wel dat de geldboete voldoende afschrikwekkend moet zijn. Daarnaast moet de geldboete ook doeltreffend en evenredig zijn. Daarom kunnen een aantal factoren de hoogte van de geldboete beïnvloeden, zoals:

  • De aard, de ernst en de duur van de inbreuk,
  • De opzettelijke aard van de inbreuk,
  • De categorieën van persoonsgegevens,
  • De genomen technische en organisatorische maatregelen,
  • De genomen maatregelen om de schade te beperken,
  • Eerdere inbreuken door de verwerkingsverantwoordelijke of de verwerker,
  • De wijze waarop de GBA kennis heeft gekregen van de inbreuk,
  • Enz.

In deze zaak werd met deze factoren rekening gehouden. Zo stelt de GBA op haar website dat ze een duidelijk signaal wou geven, maar dat de opgelegde boete bescheiden is omdat de aard, de ernst en de duur van de inbreuk en ook het aantal betrokken personen beperkt waren.

De opgelegde boete is inderdaad meer bescheiden dan bijvoorbeeld de miljoenenboete die eerder dit jaar nog door de Franse toezichthoudende autoriteit (CNIL) aan Google werd opgelegd, maar boetes opgelegd aan een multinational zoals Google en aan een particulier (de burgemeester in kwestie) kunnen moeilijk met elkaar vergeleken worden.