25 november 2021 Privacy : informeer je medewerkers hoe om te gaan met persoonsgegevens !
Voor wie zich schuldbewust opstelt en beterschap belooft, is de GBA eerder een vermanende vader dan een bestraffende boeman.
In een recente beslissing stelt de geschillenkamer bij de GBA een inbreuk vast op de bepalingen van GDPR bij een fitnessclub (de fitnessclub maakte persoonsgegevens van een lid over aan een derde zonder rechtsgrond). De Geschillenkamer toont zij zich mild in haar sancties aangezien de betrokken gegevensverantwoordelijke het probleem erkent en ook meteen de nodige maatregelen trof.
De feiten die aan de grondslag lagen van deze beslissing waren redelijk eenvoudig.
De klager was lid van een fitnessclub (de verwerkingsverantwoordelijke). Door omstandigheden bleek het lidgeld van de klager betaald te zijn door een derde partij die om rechtzetting vroeg.
De fitnessclub had dit probleem eigenlijk zelf kunnen oplossen, maar een (gemakzuchtige?) werknemer bezorgde de persoonsgegevens van de klager aan de derde partij zodat zij het probleem onder elkaar konden oplossen.
De klager oordeelde – terecht – dat de fitnessclub zonder enige rechtsgrond haar persoonsgegevens aan een derde partij had overgemaakt en legde daarvoor klacht neer bij de geschillenkamer van de GBA.
De fitnessclub betreurde wat er gebeurd was en wees erop dat volgens interne richtlijnen haar medewerkers zeker geen persoonsgegevens (van klanten) aan derden mogen verstrekken.
Enerzijds wees de fitnessclub er op dat gebruik werd gemaakt van het principe van selfservice (zodat leden zelf steeds bepaalde gegevens kunnen controleren en wijzigen, zonder tussenkomst van de clubmedewerkers). Anderzijds reageerde de fitnessclub door haar teamleiders over het probleem te informeren en dit te bespreken met alle medewerkers. Er werden nieuwe flyers uitgedeeld aan de medewerkers met daarin de verplichtingen uit de GDPR waaraan ze zich dienen te houden. De club verbond zich ertoe om deze flyers te updaten en opnieuw te verspreiden teneinde het bewustzijn voor privacy bij de medewerkers op niveau te houden. De betrokken medewerker die de gegevens aan derden overmaakte, zou hierop nog worden aangesproken (na zijn terugkeer op de werkvloer). Bovendien werd de interne procedure aangepast om het foutief toerekenen van lidgelden te vermijden.
De Geschillenkamer stelde dan ook enerzijds een inbreuk vast op de bepalingen van de GDPR (overmaken van persoonsgegevens aan derden zonder enige rechtsgrond) maar beperkte de sanctie tot het geven van een berisping.
Wat onthouden wij uit deze beslissing:
- Inbreuken op GDPR zitten in een klein hoekje;
- Persoonsgegevens mogen nooit zonder enige rechtsgrond worden overgemaakt aan derde partijen;
- Medewerkers moeten bewust gemaakt worden van de bepalingen van de GDPR en dit dient op een voortdurende wijze te gebeuren;
- Medewerking met de geschillenkamer en onmiddellijke actie bij het vaststellen van een inbreuk heeft een verzachtende impact op de sanctionering door de geschillenkamer.
