De GDPR (General Data Protection Regulation), ook wel eens de AVG genoemd (Algemene Verordening Gegevensbescherming), omvat de reglementering met betrekking tot de verwerking van persoonsgegevens door zowel particuliere bedrijven als door overheidsinstanties. Het is de opvolger van de zogenoemde databeschermingsrichtlijn uit 1995 die in deze gedigitaliseerde tijden niet langer relevant was. De GDPR legt niet alleen strikte privacybepalingen op, maar biedt ook ruimte voor sanctionering. Nu heeft de Belgische Gegevensbeschermingsautoriteit voor de eerste keer een GDPR-boete opgelegd. Het slachtoffer? Een anonieme burgemeester.
De feiten voorafgaand aan de GDPR-boete
Een architect had ter bespreking van een verkavelingswijziging contact opgenomen met de burgemeester. In het bericht werd ook het mailadres van zijn cliënten opgenomen. Net voor de gemeenteraadsverkiezingen van 14 oktober 2018 ontvingen de cliënten ineens een ongewenste mail met verkiezingspropaganda in hun digitale bus. De cliënten hebben vervolgens klacht ingediend bij de Gegevensbeschermingsautoriteit.
Eveneens hadden de cliënten de propaganda overgemaakt aan de fractieleider van een andere politieke partij die op zijn beurt een klacht neerlegde bij de Raad voor Verkiezingsbetwistingen. Hier kwam de burgemeester er met een waarschuwing vanaf.
Non bis in idem-beginsel
Nu de burgemeester door de Raad voor Verkiezingsbetwistingen reeds tegen een waarschuwing aanliep, riep de burgemeester het zogenoemde non bis in idem-beginsel in. Dit non bis in idem-beginsel verbiedt een tweede vervolging: men kan niet twee keer voor hetzelfde worden gestraft. En zo wou de burgemeester uiteraard de sanctie van de Gegevensbeschermingsautoriteit ontlopen.
De geschillenkamer oordeelde echter dat het non bis in idem-beginsel hier niet aan de orde is. De Raad voor Verkiezingsbetwistingen gaat immers enkel na of de feiten al dan niet een onregelmatigheid inhouden die de zetelverdeling tussen de lijsten zou kunnen beïnvloeden. De door de Raad voor Verkiezingsbetwistingen opgelegde sanctie heeft dan ook enkel betrekking op de schending van de regels op de aangifte van verkiezingsuitgaven en houdt geen verband met de verwerking van persoonsgegevens. Hierdoor vormt het non bis in idem-beginsel geen belemmering.
Never without my permission!
De vastgestelde inbreuk had alles te maken met artikel 5 van de AVG. In artikel 5 AVG heeft men het onder andere over de doelbinding. Deze doelbinding geeft aan dat persoonsgegevens enkel mogen worden verwerkt in functie van uitdrukkelijk omschreven, welbepaalde en gerechtvaardigde doeleinden. Zij kunnen dus niet voor andere doeleinden worden verwerkt.
Het moge duidelijk zijn dat de burgemeester de gegevens van de cliënt enkel had mogen gebruiken in functie van het verkavelingsdossier, terwijl de burgemeester de gegevens ook gebruikte voor verkiezingspropaganda. Indien de burgemeester de persoonsgegevens voor dit tweede doel wou verwerken, had hij toestemming moeten vragen. Zonder zo’n toestemming was dat niet toegelaten. Omdat de burgemeester nooit om toestemming vroeg, kon de geschillenkamer niet anders dan een inbreuk vaststellen.
Burgemeester heeft voorbeeldfunctie
De geschillenkamer oordeelde dat de burgemeester ter goeder trouw was en dat er geen sprake was van opzet. Anderzijds oordeelde de geschillenkamer dat een sanctie ‘au sérieux’ (en dus geen waarschuwing of berisping zoals de burgemeester vroeg) zich opdrong, gelet op het publiek mandaat en de voorbeeldfunctie van een burgemeester. De burger moet er nu eenmaal op kunnen vertrouwen dat personen met een publiek mandaat hun persoonsgegevens correct verwerken.
De burgemeester trachtte de strafmaat ook nog te milderen door te stellen dat hij onvoldoende kennis had van de GDPR-regelgeving. Echter volgde de geschillenkamer dit niet. Het oordeelde dat er meer dan voldoende media-aandacht aan de AVG werd geschonken.
Op basis van deze redenering oordeelde de geschillenkamer vervolgens dat het om een ernstige inbreuk wegens verregaande nalatigheid ging. Hierop legde de geschillenkamer volgende sanctie op:
- Een administratieve geldboete van €2.000,-
- Een berisping;
- Bekendmaking van de beslissing na anonimisering van de betrokken partijen.
Weet tot slot dat de uitgesproken administratieve geldboete vrij laag is. Dit heeft te maken met de beperkte impact en het beperkt aantal betrokkenen. Misschien toch maar beter de AVG-regels naleven? Dat is inderdaad geen onbelangrijk advies.