De gegevensbeschermingsautoriteit heeft sinds 24 april 2019 een officieel aangesteld directiecomité. Dat wil zeggen dat ze vanaf dan volledig paraat zijn om de naleving van de GDPR wetgeving na te gaan. Al na een maand is de eerste officiële sanctie opgelegd. In de rest van 2019 werden nog vier andere boetes uitgevaardigd. We zetten de situaties op een rijtje en geven een korte toelichting. Op die manier kunnen we lessen trekken uit deze situaties. De inbreuken situeren zich op een aantal principes en vereisten uit de algemene verordening gegevensbescherming.
- niet naleven van het finaliteitsbeginsel
- niet naleven van het beginsel omtrent minimale gegevensbescherming
- niet naleven van het beginsel van doelbinding
- niet voldoen aan de verplichting van transparante informatie conform art. 12 uit de AVG
- niet voldoen aan de te verstrekken informatie conform art. 13 uit de AVG
- Niet naleven van de verplichtingen inzake toestemming
Boete 1: 2000 euro voor misbruik van persoonsgegevens voor verkiezingsdoeleinden
Situatieschets: Een burgemeester verstuurde in aanloop naar de verkiezingen van 14 oktober 2018 een electoraal bericht door middel van het beantwoorden van een e-mailgesprek met een architect. Daarin stonden ook de klanten van de architect die de oorspronkelijke vraag stelden omtrent een verkavelingswijziging.
Inbreuk: Hier gaat het om het niet naleven van het finaliteitsbeginsel. Dat wil zeggen dat de verkregen persoonsgegevens die een verwerkingsverantwoordelijke krijgt in het kader van bepaalde doeleinden deze niet verder mag verwerken voor onverenigbare andere doeleinden. In dit geval verkreeg de burgemeester die e-mailadressen in het kader van zijn functie, zijnde een openbaar ambt. Deze persoonsgegevens mogen nooit verder gebruikt worden voor persoonlijke doeleinden zoals bijvoorbeeld zijn/haar verkiezingscampagne.
Boete 2: 10 000 euro voor het gebruik van elektronische identiteitskaart als enige middel om een klantenkaart aan te maken
Situatieschets: Voor het verkrijgen van een klantenkaart wordt bij de handelaar in kwestie de elektronische identiteitskaart ingelezen. De aanmaak van een klantenkaart is een commerciële dienst. De klant ging niet akkoord met het inlezen van zijn eID en bood aan om de nodige gegevens om van een klantenkaart te kunnen genieten schriftelijk te bezorgen. Dit werd echter niet aanvaard door de handelaar.
Inbreuk: In dit geval zijn er twee overtredingen. Eerst en vooral wordt het principe van gegevensminimalisatie niet toegepast. Bij het inlezen van de elektronische identiteitskaart krijgt de handelaar toegang tot meer persoonsgegevens dan noodzakelijk voor het aanmaken van een klantenkaart. Niet enkel naam, voornaam, adres enzovoort, maar ook de foto en barcode met de link naar het Rijksregisternummer. Daarbij komt dat het Rijksregisternummer een persoonsgegeven is dat onderwerpen is aan strikte regels inzake raadpleging en gebruik ervan. De gegevensbeschermingsautoriteit oordeelt dat alle gegevens op de elektronische identiteitskaart inlezen een disproportionele verwerking is in verhouding tot het doel om een klantenkaart aan te maken in een commerciële context.
Vervolgens zijn er ook problemen met de gebruikte rechtsgrond ‘uitdrukkelijke toestemming’. Er zijn zes rechtsgronden waarvan toestemming er één van is. Om te kunnen spreken van een geldige toestemming moet deze vrij, specifiek en op informatie berustend zijn. In dit geval is er geen sprake van een vrije toestemming aangezien de klant geen andere mogelijkheid heeft. Als de klant geen toestemming geeft voor het gebruik van de eID wordt hij in principe benadeeld aangezien hij niet kan genieten van de voordelen gekoppeld aan een klantenkaart.
Boete 3: 5 000 euro voor van lijst persoonsgegevens voor verkiezingsdoeleinden
Situatieschets: In deze situatie gaat het over een vertrekkende burgemeester die contactgegevens van betrokkenen die op hem/haar beroep hebben gedaan, gebruikt heeft ten behoeve zijn/haar verkiezingscampagne van oktober 2018. Het gaat om een lijst van 476 betrokkenen die in de periode van 2012 tot 2018 contact hebben gehad met de burgemeester in kwestie.
Inbreuk: Hier is er sprake van een inbreuk op het principe van doelbinding. De verzamelde gegevens zijn gekoppeld aan een specifiek doel in verband met de vraag of de reden van het contact van de betrokkene met de burgemeester. Het hergebruik van gegevens die in het kader van een openbaar mandaat zijn verkregen voor verkiezingsreclame is onverenigbaar.
Boete 4: 5000 euro voor misbruik van lijst van persoonsgegevens van klanten
Situatieschets: Hier gaat het om een vertrekkende schepen die een lijst van klanten heeft verkregen in het kader van een beroep dat hij/zij naast zijn openbaar mandaat uitoefende. Die lijst bevatte contactgegevens van 654 personen. Deze mensen kregen een verkiezingsbrief voor de verkiezingen van oktober 2018.
Inbreuk: In deze situatie is er opnieuw een inbreuk vastgesteld op het principe van doelbinding. De persoonsgegevens werden verkregen in het kader van een klantenrelatie met de zaak. Deze persoonsgegevens hergebruiken voor verkiezingsreclame is niet toegestaan.
Boete 5: 15 000 euro voor fouten in privacybeleid en cookiebeheer op website
Situatieschets: De website van een online content platform met juridische informatie werd onder de loep genomen door de gegevensbeschermingsautoriteit. Daarbij werden meerdere inbreuken vastgesteld in het privacybeleid en het cookiebeheer. Een korte opsomming van de inbreuken die vastgesteld werden door de geschillenkamer van de gegevensbeschermingsautoriteit:
- Het privacybeleid werd enkel in het Engels kenbaar gemaakt terwijl de website zich richt tot Nederlandstalige en Franstalige gebruikers.
- Verwijzing in het privacybeleid naar ‘US privacy law’ en ‘California Privacy Protection Act’.
- Er werd geclaimd dat ‘uw IP adres’ geen persoonsgegeven is maar dat is in strijd met de definitie van persoonsgegevens volgens de AVG.
- Het privacybeleid en het cookiebeheer is niet eenvoudig toegankelijk op de website.
- Er was geen vermelding van de identiteit en contactgegevens van de verwerkingsverantwoordelijke.
- Het ontbreken van de vermelding van de rechten die betrokkenen kunnen inroepen.
- Het ontbreken van de rechtsgrond en verwerkingsdoeleinden voor de verwerkingen.
- Het ontbreken van het recht van de betrokkene om klacht in te dienen bij de gegevensbeschermingsautoriteit.
- Het ontbreken van de bewaartermijn voor de door cookies vergaarde persoonsgegevens.
- De onterechte verklaring van ‘gerechtvaardigd belang’ als rechtsgrond voor het gebruik van cookies.
- Het gebrek aan toestemming voor het gebruik van cookies, zowel van de verwerkingsverantwoordelijke als van Google.
- Het gebruik van vooraf aangekruiste vensters om toestemming te geven.
- De onvolledigheid in de lijst van cookies die geplaatst zijn op de website.
- Incorrect gebruik van de term ‘anoniem’.
- Onvoldoende duidelijkheid omtrent het intrekken van de toestemming voor het gebruik van cookies.
Inbreuk: Er zijn in dit geval meerdere inbreuken vastgesteld. Deze kunnen gekaderd worden binnen drie onderdelen van de AVG. Het gaat over inbreuken omwille van het gebrek aan de noodzakelijke transparante informatie, het ontbreken van de verplicht te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld en fouten bij de verplichtingen inzake toestemming.
Er zijn enkele parameters die een rol gespeeld hebben bij het bepalen van de sanctie. Eerst en vooral werd de duurtijd van de inbreuken in acht genomen. Er werden meerdere inbreuken vastgesteld die pas na een tweede verwittiging van de inspectiedienst werden opgelost. Het aantal getroffen betrokkenen is vastgesteld op en maandelijks bereik van 35 000 lezers zoals de verwerkingsverantwoordelijke zelf aangeeft. De geschillenkamer stelt dat er sprake is van herhaalde onzorgvuldigheid omtrent de transparantieverplichtingen alsook bepaalde bewuste keuzes voor het gebruik van niet conforme methodes. De verwerkingsverantwoordelijke heeft ondertussen maatregelen genomen en het privacybeleid verbeterd. Toch doen die verbeteringen volgens de geschillenkamer geen afbreuk aan de oorspronkelijke vaststellingen van de inbreuken. Ze zeggen letterlijk ‘Dat de verweerder steeds rekening heeft gehouden met de opmerkingen van de inspectiedienst neemt niet weg dat de website van meet af aan correcte informatie diende te verspreiden’.