Concrete gevallen van schending van de GDPR-regelgeving: een overzicht van rechtspraak van de gegevensbeschermingsautoriteit (Argus Advocaten)

Privacy & Gegevensbescherming | 1 mei 2021

Auteur: Gert Damiaans (Argus Advocaten)
Publicatiedatum: 29/04/2021

1. Enkele jaren geleden mocht de GDPR-regelgeving inzake de bescherming van persoonsgegevens heel wat stof doen opwaaien.

Er heerste voornamelijk de bezorgdheid dat deze persoonlijke gegevens vrij werden gebruikt voor allerhande ongevraagde doeleinden. De privacy van ieder persoon dient dan ook te worden gerespecteerd.

De focus van deze bescherming zou zich voornamelijk moeten toespitsen op de internationale sociale media-reuzen, maar omwille van de algemene terminologie voorzien in de regelgeving werd deze eveneens van toepassing op o.a. elke KMO en zelfs kleine sportverenigingen.

2. Hieronder vindt u een overzicht van een aantal beslissingen genomen door de Gegevensbeschermingsautoriteit (‘GBA’). De GBA betreft de Belgische rechtsmacht ingesteld met de bevoegdheid te oordelen over de klachten inzake de bescherming van privacy en verwerking van persoonsgegevens.

Ieder persoon die meent dat zijn/haar gegevens onrechtmatig worden gebruikt of verwerkt, kan een procedure bij de GBA aanhangig maken op basis van een klacht.

Uit de onderstaande bloemlezing zal alvast duidelijk worden dat een inbreuk op de GDPR-regelgeving nogal snel wordt aanvaard, met vaak aanzienlijke – en misschien wel buitenproportionele – boetes tot gevolg.

3. Zo werd o.a. geoordeeld dat het oprichten en beheren van een fanpage van een bekende Vlaming op Facebook, zonder dat deze BV hiervoor diens toestemming mocht verlenen, een schending van de GDPR-regelgeving betreft. De beheerder van de Facebookpagina werd dan ook veroordeeld tot betaling van een administratieve geldboete van maar liefst 10.000,00 EUR. De grootheid van deze boete was mogelijks ingegeven door het feit dat voorheen tussen de klager en verweerder ook een commerciële overeenkomsten bestonden, maar dat na beëindiging van de samenwerking verweerder weinig tot geen medewerking voorzag tot de overdracht van deze pagina.

Ook mocht de GBA oordelen dat het uitvoeren van een enquête bij minderjarige leerlingen omtrent het welbevinden binnen de school via de gekende tool SMARTSCHOOL eveneens een inbreuk betrof. Hetgeen werd bestraft met een geldboete van 1.000,00 EUR. De voornaamste redenen bestonden uit (1) de enquête kon niet anoniem worden ingevuld, (2) ouderlijke toestemming was noodzakelijk én (3) er werden meer gegevens dan noodzakelijk verwerkt of opgeslagen.

Verder werd een onderneming die aan (aanstaande) moeders promotiepakketten toestuurt veroordeeld tot betaling van een geldboete van 50.000,00 EUR. De klagende partij had zich initieel ingeschreven voor het ontvangen van deze promotieartikelen, maar had zich enige tijd later opnieuw uitgeschreven. Desalniettemin bleef ze (telefonische) berichten ontvangen voor acties van zakenpartners die verbonden waren aan deze promotiepakketten. De boete kent een aanzienlijke omvang, omwille van het feit dat deze onderneming maar liefst 21% van de persoonsgegevens van de Belgische populatie in haar bezit had. Tevens was ze niet in staat om het correcte aantal betrokkenen aan te duiden van wie zij persoonsgegevens verwerkte.

Eveneens het veelvuldig toezenden van ngevraagd promotiemateriaal per post werd bestraft met een geldboete van 1.000,00 EUR. De klagende partij had immers meermaals verzocht om dergelijk promotiemateriaal niet meer te ontvangen en om zijn persoonsgegevens uit de bestanden te wissen. Waaraan echter geen positief gevolg werd gegeven en hij aldus overging tot het overmaken van een klacht aan de GBA.

Eigenaars van een woning die bewakingscamera’s mochten plaatsen, werden dan weer veroordeeld tot het betalen van een geldboete van maar liefst 1.500,00 EUR. Deze bewakingscamera’s filmden immers continu zowel een beperkt gedeelte van het eigendom van de buren, als tevens de openbare weg. Ook werden deze beelden ter beschikking gesteld van een verkeersdeskundige zonder enige voorafgaandelijke toestemming te bekomen van de buren.

In hetzelfde kader werd een bouwheer-promotor veroordeeld tot een geldboete van 5.000,00 EUR, omdat hij weigerde de inloggegevens van de camerabewaking van het appartementencomplex over te dragen aan de syndicus van de VME.

Een onderneming die had nagelaten de e-mailadressen van ex-bestuurders te verwijderen binnen een redelijke termijn werd evenzeer veroordeeld tot de betaling van een geldboete t.b.v. 15.000,00 EUR. De voormalige bestuurders maakten initieel deel uit van de familieonderneming, maar werden later ontslagen. Toen bleek dat hun persoonlijke e-mailadressen na aandringen nog steeds niet werden gedeactiveerd, gingen zij over tot het indienen van een klacht.

Het gebruiken van persoonlijke e-mailadressen voor het versturen van ongewenste verkiezingspropaganda werd herhaaldelijk al aan de kaak gesteld door de GBA. Een burgemeester werd zo veroordeeld tot betaling van een geldboete van 5.000,00 EUR voor het gebruik van een e-mailadressenbestand dat echter initieel werd samengesteld in het kader van een openbaar onderzoek. Desbetreffende verkiezingsmails werden daarenboven verstuurd in dergelijke mogelijkheid dat alle geadresseerden de contactgegevens konden raadplegen.

Als laatste voorbeeld is er ten slotte de verwerking van gezondheidsgegevens door een verzekeringsmaatschappij in het kader van een hospitalisatieverzekering. Deze mogen niet gebruikt worden voor andere doeleinden zonder de uitdrukkelijke én voorafgaandelijke toestemming van de verzekerde. De betrokken verzekeringsmaatschappij werd hiervoor veroordeeld tot betaling van een geldboete van 50.000,00 EUR.

4. Hoewel men ervan uitging dat deze bescherming zich voornamelijk zou focussen op de internationale sociale media-reuzen, blijkt uit de bovenvermelde (limitatieve) opsomming dat deze regelgeving steeds meer wordt aangewend voor “kleinere” gevallen uit ons dagelijks leven. Hetgeen er toe mag leiden dat bij de verwerking van persoonlijke gegevens óók u dient rekening te houden met de GDPR-regelgeving.