Op 16 juni 2020 werd door de Gegevensbeschermingsautoriteit (hierna afgekort GBA), een beslissing ten gronde 33/2020 genomen waarbij aan een verantwoordelijke een geldboete van 10.000 euro werd opgelegd voor de overtreding van de GDPR-reglementering. Zelfs in tijden van corona blijft de privacywaakhond werken en laat zij haar tanden zien. Recent wees een studie nog uit dat KMO’s onvoldoende mee zijn met de GDPR-reglementering en vaak niet weten wat van hen wordt verwacht (zie blog “De knelpunten bij KMO’s betreffende hun kennis over GDPR !)
Welke feiten lagen aan de basis van deze GDPR-boete?
In datum van 19 augustus 2019 stuurt de betrokkene (diegene wiens persoonsgegevens -naam, voornaam, mailadres- worden verwerkt) een mailbericht naar de verantwoordelijke (diegene in casu die de persoonsgegevens heeft verwerkt) dat hij of zij een mail heeft ontvangen i.v.m. een workshop voor zelfstandigen en kleine ondernemingen, terwijl de betrokkene geen klant is bij de verantwoordelijke.
Omzeggens 1 week later verzoekt de verantwoordelijke om extra informatie gezien zij de gegevens van de betrokkene in haar databank niet kan terugvinden. Er wordt onder meer gevraagd naar het adres en de geboortedatum van de betrokkene gezien er blijkbaar meerdere personen zijn met dezelfde naam in de databank waarover de verantwoordelijke beschikt. Er wordt eveneens gevraagd om de betrokken mail opnieuw door te sturen omdat dit de opzoekingen bij de verantwoordelijke zou vergemakkelijken.
De betrokkene maakt vervolgens zijn of haar adres en geboortedatum over. Eveneens wordt het ontvangen mailbericht doorgestuurd aan de verantwoordelijke.
Op 12 september 2019 echter ontving de betrokkene opnieuw een nieuw commercieel mailbericht vanwege de verantwoordelijke. Ook dit bericht wordt door de betrokkene de dag nadien aan de verantwoordelijke overgemaakt.
Nadien blijft het opvallend stil langs de zijde van de verantwoordelijke, waardoor uiteindelijk door de betrokkene bij de GBA klacht wordt neergelegd.
Wat liep er fout?
Het persoonsgegeven dat in dit geval werd verwerkt, was het persoonlijke mailadres van de betrokkene.
Opdat een persoonsgegeven kan/mag verwerkt worden, dient er een beroep te worden gedaan op 1 van de 6 verwerkingsgronden. Wanneer er geen rechtsgrond aanwezig is, mag er geen verwerking van een persoonsgegeven plaatsvinden :
- Contractuele relatie (bv. leverancier-klant)
- Wettelijke relatie (bv. werknemer-werkgever)
- Gerechtvaardigd belang (bv. direct marketing naar klanten voor soortgelijke producten)
- Voorafgaandelijke toestemming (bv. direct marketing naar niet-klanten)
- Vitaal belang (levensbedreigend noodgeval)
- Algemeen belang of openbaar gezag (overheid)
Gezien de betrokkene geen klant noch ex-klant was van de verantwoordelijke zou er in casu enkel een beroep kunnen worden gedaan op de verwerkingsgrond van de voorafgaandelijke toestemming.
Het verweer van de verantwoordelijke.
Het verweer hetwelk onder meer in casu werd gevoerd door de verantwoordelijke, was dat de mail in feite bedoeld was voor een naamgenoot (=de beoogde ontvanger). Er zou bijgevolg een foutief mailadres in de fiche van de beoogde ontvanger zijn vermeld. Er lag bijgevolg een menselijke fout aan de basis van dit foutieve mailadres in de databank.
De beslissing van de GBA.
Aangaande het verweer heeft de GBA uitdrukkelijk het volgende beslist : “De geschillenkamer wijst er echter op dat de “manuele vergissing” bij de oorsprong van het probleem op generlei wijze de verantwoordelijkheid van de verwerkingsverantwoordelijke teniet doet.”[1]
De GBA motiveert verder nog dat, hoewel de verantwoordelijke had vastgesteld dat de betrokkene niet voorkwam in haar database, de verwerking toch wordt verdergezet gezien de betrokkene nog een tweede mail ontving. Bijgevolg gebeurde er volgens de GBA geen onmiddellijke rechtzetting.
Er werden door de GBA onder meer volgende inbreuken in hoofde van de verantwoordelijke weerhouden :
- er werden geen afdoende maatregelen genomen om de foutieve persoonsgegevens te rectificeren of te wissen;
- de voorwaarden opdat er kan worden gesproken van een rechtmatige verwerking zijn niet vervuld;
- er werd geen antwoord verstrekt binnen de maand na ontvangst van het verzoek van de betrokkene;
- er werden geen gepaste technische en organisatorische maatregelen genomen om ervoor te zorgen dat de verwerking in overeenstemming is met de AVG.
Het resultaat van dit alles is een geldboete van € 10.000 die wordt opgelegd aan de verantwoordelijke.
Conclusie
Conclusie van dit alles is dat er met zorg persoonsgegevens correct in de databanken dienen te worden ingegeven. Wanneer nadien toch blijkt dat er een menselijke fout aan de grondslag ligt of iemand niet in de systemen is terug te vinden, dan moet er onmiddellijk worden overgegaan tot het wissen van het persoonsgegeven dat foutief werd verwerkt. Als bedrijf of als kmo zorgt men best voor voorafgaandelijke procedures wanneer er een vraag door de betrokkene wordt gesteld, hetgeen in dit geval bij de verantwoordelijke eigenlijk wat achterwege bleef.
Indien u vragen heeft omtrent deze procedures, helpen wij u hiermee graag verder.
[1] Beslissing ten gronde 33/2020-7/17.
