Volg ons

You can run but you cannot hide: de eerste Belgische GDPR-sanctie is er…

deel deze publicatie

In vergelijking met vele andere EU-landen bleef België een hele tijd achterop hinken in het afdwingen van de verplichtingen die uit de GDPR voortvloeien. Reden hiervoor was de zeer laattijdige benoeming van de leden van de Gegevensbeschermingsautoriteit (GBA), wat ertoe heeft geleid dat de GDPR in veel ondernemingen niet serieus werd genomen. Deze tijd is voorbij… De GBA is sinds kort volledig bemand en de eerste sanctie wegens een inbreuk op de GDPR werd op 28 mei laatstleden opgelegd. En een beetje zoals gevreesd : veel sancties zullen voortvloeien uit klachten bij de GBA, om de meest uiteenlopende redenen. Als onderneming wordt het dan ook dringend tijd om uw beleid inzake verwerking van persoonsgegevens onder loep te nemen, indien u dit nog niet heeft gedaan…

 

 

1. Beslissing No. 04/2019 van 28/05/2019

 

Eind december 2018 werd tegen de burgemeester van Oosterzele een klacht ingediend door twee inwoners van de stad die via hun persoonlijk emailadres verkiezingspropaganda vanwege de burgemeester hadden ontvangen terwijl hun emailadressen initieel bij de burgemeester bekend waren geraakt in het kader van een verkavelingswijziging. Met andere woorden, de emailadressen werden door de burgemeester, zonder toestemming van de eigenaars, gebruikt voor een ander doel dan het doel waarvoor ze in beginsel werden verzameld en dit is in strijd met artikel 5.1 b) van de GDPR.

 

Gegevens van natuurlijke personen kunnen enkel voor specifieke doeleinden worden verwerkt en de betrokken personen dienen te worden geïnformeerd over deze doeleinden. Enkel met hun toestemming mogen deze gegevens voor andere doeleinden worden gebruikt. Dit is slechts één van de beginselen van de GDPR. Naast het beginsel van doelbinding moeten persoonsgegevens correct en op een voor de betrokkene eerlijke en transparante wijze verwerkt worden, in overeenstemming met de wet. De opslag van persoonsgegevens moet beperkt zijn in tijd en ruimte en er moet een passende beveiliging voor deze gegevens worden voorzien.

 

Uit deze wetgeving vloeien een aantal rechten voort voor de personen van wie gegevens verwerkt worden. Uitgangspunt is dat elke persoon recht heeft op informatie. Men dient correct te worden ingelicht over de persoonlijke gegevens die verwerkt worden, voor welk doel en hoe lang deze bewaard worden.

 

Indien deze gegevens onjuist blijken te zijn of op onrechtmatige wijze verwerkt werden, kan men in bepaalde welomschreven gevallen de verbetering of verwijdering van deze gegevens eisen. Echter, door de inwerkingtreding van de GDPR kunnen inbreuken op de beginselen van de GDPR nu ook worden gesanctioneerd, wat in dit geval ook is gebeurd. De burgemeester kreeg een berisping en een geldboete van 2.000 € opgelegd. Het weze duidelijk dat elkeen die persoonsgegevens gebruikt of verwerkt op een manier die niet strookt met de GDPR het risico loopt op een klacht, gevolgd door een controle vanwege de GBA.

 

 

2. De procedure om een verzoek/klacht in te dienen bij de GBA

 

De procedure om een inbreuk op de vereisten van de GDPR bij de GBA kenbaar te maken, is zeer laagdrempelig en kosteloos. Er kan een ‘verzoek’ (de GBA treedt hierbij op als bemiddelaar) of een ‘klacht’ (de GBA treedt hierbij op als rechtscollege) worden ingediend aan de hand van formulieren die op de website van de GBA ter beschikking zijn gesteld.

 

De GBA zal een verzoek of een klacht in beginsel steeds als een verzoek tot bemiddeling behandelen. Dit wil zeggen dat een verzoek of een klacht onmiddellijk en zonder veel formaliteiten door de eerstelijnsdienst wordt behandeld. Deze dienst zal tussen de betrokken partijen proberen te bemiddelen.

 

Indien geen minnelijke schikking voor het dispuut wordt gevonden, zal het oorspronkelijke verzoek tot bemiddeling omgezet worden in een klacht die door de eerstelijnsdienst zal worden overgemaakt aan de geschillenkamer voor behandeling ten gronde. De geschillenkamer is een rechtsprekend orgaan, met als gevolg dat bij de behandeling formele procedureregels gerespecteerd moeten worden, zoals het indienen van “verweermiddelen” in de loop van de procedure, …. Let wel, de geschillenkamer kan een zaak ook meteen zonder gevolg klasseren en de klacht niet verder behandelen.

 

 

3. Besluit

 

Betrokkenen worden zich steeds meer bewust van de rechten die hen via de GDPR werden toegekend en zullen hun rechten almaar meer afdwingen, zeker nu de GBA ook in staat is om sancties op te leggen. Elkeen die onderworpen is aan de beginselen en de vereisten van de GDPR (overheidsorganen, ondernemingen,…) moet beseffen dat het vijf over twaalf is om zijn beleid inzake gegevensverwerking onder de loep te nemen en aan te passen waar nodig. Want een klacht is met een vingerknip ingediend…

 

Indien je hierover meer informatie wenst, contacteer ons dan op het nummer 051 26 82 68  of via e-mail naar info@titeca.be.

Gerelateerde publicaties