De Gegevensbeschermingsautoriteit had het recent nog aangekondigd: de eerste sancties op basis van de AVG-regels komen eraan. Deze week was het dan zo ver. De Geschillenkamer van de Gegevensbeschermingsautoriteit (“GBA”) heeft een administratieve boete opgelegd van 2.000 euro voor het gebruik van persoonsgegevens voor verkiezingsdoeleinden. Concreet werd het finaliteitsbeginsel overtreden.
Verkiezingspropaganda
Het dossier werd ingeleid op basis van een klacht over een burgemeester die gebruik had gemaakt van emailadressen, verkregen in de uitoefening van zijn functie. De emailadressen waren van bouwheren die via hun architect contact hadden opgenomen met de burgemeester in het kader van een verkavelingswijziging.
In de aanloop naar de gemeenteraadsverkiezingen van 14 oktober 2018 verstuurde de burgemeester verkiezingspropaganda per email naar de beide emailadressen van de bouwheren.
Doelbinding bij verwerking van persoonsgegevens
Een belangrijk principe van de privacywetgeving is de doelbinding. Volgens artikel 5.1.b van de Algemene Verordening Gegevensbescherming (“AVG”) mogen persoonsgegevens uitsluitend worden verwerkt voor een welbepaald omschreven doel. Deze persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden. In dit geval werden de emailadressen meegedeeld in het kader van correspondentie gevoerd rond een verkavelingskwestie. Het gebruik van die emailadressen voor verkiezingspropaganda gaat het initieel beoogde doel voorbij.
De Geschillenkamer van de GBA tilt zwaar aan de inbreuk. Enerzijds beschouwt ze het finaliteitsbeginsel als een fundamenteel principe. Anderzijds wordt van een burgemeester als overheidsmandataris verwacht zeer zorgvuldig om te springen met de persoonsgegevens die deze in de uitoefening van diens taken verkrijgt van de burger.
De Geschillenkamer is naar eigen zeggen mild en beperkt de sanctie tot een berisping en “een bescheiden geldboete van 2000 euro”, hoofdzakelijk “omdat het aantal betrokken personen beperkt is alsook de aard, de ernst en de duur van de inbreuk”.
De betrokken partijen werden allen gehoord in de Geschillenkamer. De uitspraak volgde meteen op de zitting.
Het is niet zeker of deze beslissing het begin is van een uitgebreide reeks aan procedures. Al liet de GBA wél verstaan dat de AVG-regels op iedereen van toepassing zijn en er niet zal getreuzeld worden om tot onderzoek over te gaan.
Vragen over privacywetgeving en meer specifiek GDPR?
Contacteer ons gerust per email op info@siriuslegal.be en telefonisch op 02/721 13 00.
Dit artikel werd geschreven door Andries Hofkens die inmiddels Sirius Legal heeft verlaten.
Bart
Van den Brande
Ik ben de oprichter en Managing Partner van Sirius Legal. In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...