De verklaring door de nieuwe voorzitter van de Belgische Gegevensbeschermingsautoriteit (GBA) dat er in 2019 een tandje zal worden bijgestoken om de naleving van de GDPR te verzekeren is ondertussen kracht bijgezet door het opleggen van de eerste GDPR boete in België.
Op 28 mei 2019 oordeelde de recent opgerichte geschillenkamer van de GBA dat het finaliteitsbeginsel werd geschonden door een burgemeester die persoonsgegevens, verkregen bij de uitoefening van zijn functie, had gebruikt voor zijn verkiezingscampagne.
In het kader van een verkavelingswijziging stuurde een architecte namens haar klanten, de klagers in kwestie, een e-mail aan de burgemeester om een afspraak vast te leggen. De klagers stonden hierbij in cc.
Kort voor de gemeenteraadsverkiezingen van 14 oktober 2018 beantwoordde de burgemeester deze e-mail met verkiezingspropaganda. Vervolgens dienden de klagers een klacht in bij de GBA en stuurden zij het antwoord van de burgemeester ook door aan de fractieleider van een andere politieke partij.
Die politieke partij trok vervolgens naar de Raad voor Verkiezingsbetwistingen, die de burgemeester strafte met een waarschuwing. Volgens de burgemeester kon de GBA hem daarom niet nogmaals straffen voor dezelfde feiten. De GBA daarentegen stelt dat het niet om dezelfde feiten ging, want uit het arrest van de Raad bleek dat de waarschuwing werd opgelegd voor andere feiten.
Vervolgens beoordeelde de GBA of er een schending is van het finaliteitsbeginsel. Dit principe bepaalt dat persoonsgegevens voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel moeten worden verzameld (het aanvankelijke doel) en enkel voor een ander doel mag worden verwerkt indien het doel voor verdere verwerking verenigbaar is met het aanvankelijke doel (artikel 5.1.b) GDPR).
Bij de beoordeling of het doel voor verdere verwerking al dan niet verenigbaar is met het aanvankelijke doel moeten onder meer de volgende elementen in rekening worden gebracht (art. 6.4 GDPR):
Op basis van deze elementen oordeelt de GBA nu dat het verzenden van verkiezingspropaganda niet verenigbaar is met het aanvankelijke doel. De GBA verwijst ook naar de voorbeeldfunctie van de burgemeester en naar de uitgebreide aandacht die aan de GDPR in de publieke media werd besteed. Daarom legt de GBA aan de burgemeester voor deze ernstige inbreuk zowel een berisping als een administratieve geldboete op.
Voor het opleggen van de administratieve geldboete steunt de GBA op artikel 101 van de Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit. Dat artikel verwijst naar de GDPR voor het opleggen van administratieve geldboetes. Een schending van het finaliteitsbeginsel valt onder de zwaarste categorie waarvoor een maximumboete van 20.000.000 euro geldt of, voor bedrijven, 4% van de totale wereldwijde jaaromzet.
De GDPR bepaalt enkel een maximumboete, maar geen minimumboete. De GDPR bepaalt wel dat de geldboete voldoende afschrikwekkend moet zijn. Daarnaast moet de geldboete ook doeltreffend en evenredig zijn. Daarom kunnen een aantal factoren de hoogte van de geldboete beïnvloeden, zoals:
In deze zaak werd met deze factoren rekening gehouden. Zo stelt de GBA op haar website dat ze een duidelijk signaal wou geven, maar dat de opgelegde boete bescheiden is omdat de aard, de ernst en de duur van de inbreuk en ook het aantal betrokken personen beperkt waren.
De opgelegde boete is inderdaad meer bescheiden dan bijvoorbeeld de miljoenenboete die eerder dit jaar nog door de Franse toezichthoudende autoriteit (CNIL) aan Google werd opgelegd, maar boetes opgelegd aan een multinational zoals Google en aan een particulier (de burgemeester in kwestie) kunnen moeilijk met elkaar vergeleken worden.
Meer informatie? Neem contact op met advocatenkantoor Timelex.