In het kader van een vergunningsdossier over een verkavelingswijziging verkreeg een burgemeester een e-mail van de architect van de klagers. De architect mailde om een afspraak te maken teneinde de aanvraag tot verkavelingswijziging te bespreken. Later gebruikte de burgemeester de e-mail, door middel van reply all, om verkiezingspropaganda te versturen naar de klagers met het oog op de nakende gemeenteraadsverkiezingen.
Context
Oneigenlijk gebruik van verkregen e-mails in het kader van een publieke functie voor verkiezingspropaganda.
Rechtsgrond
Artikel 5.1.b) GDPR:
“1.Persoonsgegevens moeten: (…)
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);”
Artikel 6.4 GDPR:
“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met: a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10; d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
Feiten
De betrokken burgemeester stelt volledig te goeder trouw te hebben gehandeld, maar erkent ook dat hij zich onvoldoende rekenschap heeft gegeven van de wetgeving inzake gegevensbescherming. Bij arrest van 7 januari 2019 werd deze burgemeester door de Raad voor Verkiezingsbetwistingen al eens bestraft met een waarschuwing. Dit brengt hem ertoe te stellen dat het non bis in idem-beginsel van toepassing is.
Maar de feiten waarover de Raad voor Verkiezingsbetwistingen heeft geoordeeld zijn niet dezelfde als deze die het voorwerp uitmaken van de huidige beslissing. Bijgevolg kan dan ook geen schending van het non bis in idem-beginsel worden vastgesteld.
Gezien het feit dat de e-mailadressen die werden aangewend om een e-mail te richten aan verweerder in zijn hoedanigheid van burgemeester in het kader van een aanvraag tot verkavelingswijziging werden hergebruikt om verkiezingspropaganda te sturen is de Geschillenkamer van oordeel dat een inbreuk op artikel 5.1.b) en 6.4. GDPR is bewezen. Het beginsel van doelbinding laat immers niet toe dat persoonsgegevens voor andere doeleinden worden verwerkt waarvoor geen toestemming gegeven werd.
Bovendien mag van een burgemeester worden verwacht dat hij kennis heeft van de verplichtingen die de GDPR met zich meebrengt. De burger moet er immers op kunnen vertrouwen dat de gegevens die hij of zij aan de houder van een publiek mandaat toevertrouwt in de uitvoering van diens functie niet worden gebruikt voor andere doeleinden, en al zeker niet voor andere persoonlijke doeleinden zoals verkiezingspropaganda.
Uitspraak
De Geschillenkamer besluit de burgemeester een berisping op te leggen. Daarnaast werd een administratieve geldboete opgelegd van € 2.000 omdat er sprake zou zijn van verregaande nalatigheid. Bij de begroting hiervan wordt rekening gehouden met de aard, de ernst en de duur van de inbreuk. Wat dit betreft werd geoordeeld dat “de impact van de inbreuk eerder gering is en, voor zover bekend, het aantal betrokkenen ook beperkt is”.
Onze mening
Deze beslissing sluit nauw aan op de eerste gepubliceerde beslissing van de Geschillenkamer.[1] Het verschil is dat er nu wel een boete van € 2.000 werd opgelegd wegens een ‘verregaande nalatigheid’. Dit begrip wordt in de beslissing niet verder gemotiveerd waardoor het moeilijk in te schatten is waar de grens ligt van wat ‘verregaand nalatig is’. De reden van de boete ligt volgens ons in het feit dat de burgemeester beweerde de GDPR niet te kennen in combinatie met het feit dat hij geen schuldbesef had. Iedereen wordt immers geacht de wet te kennen en zeker een burgemeester met een voorbeeldfunctie.
Definitief?
Ja
Integrale beslissing
[1] Beslissing ten gronde nr. 01/2019 van 2 april 2019