Exact één jaar na de invoering ban de GDPR heeft ook België zijn eerste boete uitgeschreven voor het overtreden van de regels inzake gegevensbescherming.

Voor wie het letterwoord GDPR geen belletje meer zou doen rinkelen: de General Data Protection Regulation is een Europese verordening die sinds 25 mei van vorig jaar van kracht is. De regelgeving is bedoeld om het individu, in tijden van steeds toenemend verkeer van persoonsdata via internet, Rfid, enz…, de controle over zijn persoonsgegevens terug te geven.

De GDPR geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken en bepaalt onder meer dat voor het verwerken van gegevens steeds een specifiek doel voor ogen moet staan, dat gegevens enkel voor het beoogde doel mogen gebruikt worden, niet langer dan noodzakelijk mogen worden bijgehouden en de persoon op wie de gegevens betrekking hebben te allen tijd het recht heeft om te weten wat er met zijn gegevens gebeurt, waar en door wie ze worden verwerkt en zijn of haar persoonsgegevens op eenvoudige vraag ook kan laten wissen.

Het verwerken van persoonsgegevens  moet daarbij zeer ruim geïnterpreteerd worden. Inloggegevens van personeelsleden in uw kassa, adres- en familiale gegevens voor het verwerken van uw lonen, camerabeelden, ip-adressen van bezoekers van uw website, de sporen die het betalen via bankkaarten nalaten,…

De Gegevensbeschermingsautoriteit (GBA), die sinds vorig jaar belast is met het opvolgen van de naleving van de GDPR en het bestraffen van inbreuken, kreeg voorlopig al een 200-tal klachten te verwerken. Eind mei schreef ze ook de eerste boete uit.

De zaak ging over een burgemeester die een lijst met e-mailadressen van klagers in een dossier van een verkavelingswijziging had gebruikt om verkiezingspropaganda te versturen. Een duidelijke inbreuk op het finaliteitsbeginsel van de GDPR dat bepaalt dat  gegevens die ingezameld worden voor welbepaalde doeleinden (in dit geval het verkavelingsdossier) niet voor andere, onverenigbare doeleinden (de verkiezingspropaganda) mogen gebruikt worden.

Ondanks de beperkte boete van 2.000 euro, wil de GBA, waar enkele weken geleden een nieuw directiecomité in werking trad, hiermee een duidelijk signaal geven dat iedere gegevensverwerker in orde moet zijn met de GDPR, zeker overheidsmandatarissen.

In de ons omringende landen werden er al meer boetes uitgeschreven. In Nederland, waar sinds juli 2018 in een tiental sectoren, waaronder de horeca, steekproeven zijn gestart, staat de boeteteller momenteel op 4. De opvallendste boete, 40.000 euro, ging naar de Nationale Politie... In Frankrijk werden reeds 8 boetes uitgeschreven. Het Verenigd Koninkrijk voert met 31 boetes de lijst aan. Opvallend is dat in alle drie deze landen Uber op de lijst met beboete organisaties staat.