Recent legde de Gegevensbeschermingsautoriteit (GBA) lokale besturen administratieve boetes op wegens het niet naleven van de Algemene Verordening Gegevensbescherming (afgekort “AVG” en wellicht beter bekend als de “GDPR ”).[[1] Hoewel lokale besturen uiteraard met talrijke – en vaak soms complexe – wetgeving moeten rekening houden, mag niet worden vergeten dat zij evengoed de GDPR dienen na te leven, namelijk wanneer zij persoonsgegevens verwerken. Een recente uitspraak van de Geschillenkamer van de GBA (28 juli 2020) toont dit aan.[[2]]

De feiten zijn als volgt. Een dame die was verhuisd naar een andere gemeente ontving in de aanloop van de lokale verkiezingen van 14 oktober 2018 verkiezingspropaganda. Deze was afkomstig van de lokale politieke partij die in de toenmalige legislatuur de burgemeester had geleverd, thans ook de lijsttrekker van de betrokken partij voor de verkiezingen. Het ontvangen van verkiezingspropaganda is op zich natuurlijk niet buitengewoon, maar wat haar verwonderde, was dat deze verkiezingspropaganda persoonlijk aan haar gericht was. Op basis van de kiezerslijsten kon immers niet worden afgeleid dat zij een “nieuwe inwoner” was en de dame in kwestie dus in de betrokken gemeente niet gestemd had bij de lokale verkiezingen van 2012. Via facebook-berichten van een persoon die tevens een plaats op de lijst van de betrokken partij bekleedde, kon worden afgeleid dat aan de kieslijsten was geprutst.

Wat bleek? Op basis van de kieslijst van 2018 had de lokale partij, op basis van vermeende parate kennis, een eigen, aparte lijst gemaakt van “nieuwe bewoners” omdat men deze persoonlijk en gericht zou kunnen aanschrijven in het kader van de lokale verkiezingen van 2018. Daarbij gaf de lijsttrekker/burgemeester toe dat hij de kieslijst van 2018 “even” naast de kieslijst van 2012 had om te controleren dat ze zeker enkel de nieuwe bewoners zouden aanschrijven.

De GBA legde in haar uitspraak van 28 juli 2020 de lijsttrekker/burgemeester een administratieve boete op van € 3.000. De GBA oordeelde immers dat het opmaken van een lijst van “nieuwe inwoners” op basis van de kieslijst van 2018, door deze onder meer te vergelijken met de kieslijst van 2012, een onwettige verwerking van persoonsgegevens was. Dus niet enkel het vergelijken van de kieslijst van 2018 met die van 2012 was onwettig – die van 2012 mocht sowieso niet gebruikt worden aangezien deze enkel gebruikt mocht worden ten behoeve van de lokale verkiezingen van 2012-, ook het opmaken van een lijst van “nieuwe inwoners” maakte een onrechtmatige verwerking van persoonsgegevens uit. De GBA erkende weliswaar dat verweerder een belang had bij zijn handelen, maar dat de verwerking van persoonsgegevens in kwestie niet noodzakelijk was voor de verwezenlijking van zijn belangen (verkrijgen van de kiezersgunst) en niet in verhouding stond tot de belangen en rechten en vrijheden van de klagende partij.

Verder tikte de GBA de lijsttrekker/burgemeester ook op de vingers wegens het niet correct vermelden van informatie overeenkomstig de GDPR. De identificatie van verwerkingsverantwoordelijke, zijnde de lijsttrekker/burgemeester, was niet aangegeven op de verkiezingspropaganda. Er werd enkel verwezen naar de gegevens van de lokale partij. Verder wees de GBA erop dat de brief op generlei wijze vermeldt dat de betrokkenen het recht hebben een verzoek om inzage en rectificatie van persoonsgegevens tot de verwerkingsverantwoordelijke te richten, alsook het recht hebben tegen de verwerking bezwaar te maken en een klacht kunnen indienen bij de GBA.

De uitspraak van de Geschillenkamer van de GBA kan u hier nalezen.

Een korte uiteenzetting over de uitspraak door mr. Simon Verhoeven (mini-webinar) kan u hier bekijken.

Antwerpen, 17 augustus 2020

Mr. Simon Verhoeven – Lead Lawyer Equator Advocaten

simon.verhoeven@eqtr.be – 03 336 46 69

Mr. Alexander Verschave – advocaat Equator Advocaten

Navorser Universiteit Hasselt

alexander.verschave@eqtr.be – 03 336 46 69

 

[1] General Data Protection Regulation; Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

[2] Geschillenkamer Gegevensbeschermingsautoriteit 28 juli 2020, nr. 39/2020.