Rechtspraak GBA: Beslissing ten gronde nr. 08/2019 van 17 september 2019

Deze zaak nam een aanvang door een klacht wegens het niet wissen, noch passend en tijdig antwoord geven n.a.v. een verzoek tot wissing van persoonsgegevens die werden verkregen in het kader een sollicitatie. De Inspectiedienst breidde het onderzoek echter uit en dit leidde tot het vaststellen van inbreuken op de GDPR, die geen voorwerp uitmaakten van de initiële klacht. De sanctie blijft echter beperkt aangezien de verweerder positief gevolg gaf aan de vastgestelde pijnpunten tijdens het onderzoek.

Context

Human resources

Rechtsgrond

Artikel 12.3 GDPR: “De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.”

Artikel 12.4 GDPR: “Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.”

Artikel 13.2 GDPR: “Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: b) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid.”

Artikel 30.1.d) en g) GDPR: “Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens: d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.”

Feiten

Naar aanleiding van een klacht wegens het niet verwijderen van  persoonsgegevens verkregen in het kader van een sollicitatie, besloot de Geschillenkamer een berisping te formuleren ingevolge de inbreuk op 12.3, 12.4, 13.2. b), 30.1. d) en 30.1. g) GDPR.

De sollicitant zou naar aanleiding van een eerder sollicitatiegesprek een verzoek tot verwijdering van zijn persoonsgegevens hebben ingediend bij de potentiële werkgever (hierna: werkgever). De klacht heeft dus in eerste instantie betrekking op de overtreding van art. 17 GDPR die door de werkgever  zou  zijn  begaan  door  geen  gevolg  te  geven  aan  het  verzoek  tot  verwijdering  van  de persoonsgegevens  die  door  de  sollicitant  werden  verstrekt  in  het  kader  van  zijn  sollicitatie. Maar gelet op het feit dat niet kan worden aangetoond dat de persoonsgegevens van de sollicitant in het gegevensbestand van werkgever werden opgenomen, kunnen die persoonsgegevens ook niet worden gewist. Bijgevolg ligt er geen inbreuk voor van artikel 17 GDPR.

Er werd echter nog verder onderzocht in welke mate de werkgever de sollicitant heeft geïnformeerd conform de bepalingen van de GDPR.

Hieromtrent erkende de werkgever zelf dat het antwoord op het verzoek tot gegevenswissing duidelijker kon. De werkgever verduidelijkte in het kader van de procedure dat bedoeld werd dat de bewuste e-mail die aanleiding gaf tot de klacht enkel ontvangen werd door de sollicitant als reactie op zijn sollicitatie en dat de gegevens voor het overige niet werden verwerkt en dus ook niet in een gegevensbestand werden opgenomen.

De geschillenkamer beslist hieromtrent dat enkel ondubbelzinnige informatie omtrent het gevolg dat aan het verzoek tot gegevenswissing wordt gegeven in aanmerking kan worden genomen. Bovendien dient deze informatie aan de sollicitant bezorgd te worden binnen de daarvoor voorziene termijnen in artikel 12.3 GDPR.

Op dit punt oordeelt de Geschillenkamer dat een inbreuk op artikel 12.3 en 12.4 GDPR werd begaan door niet tijdig de sollicitant te informeren van het gevolg en door dat niet werd meegedeeld waarom er géén gevolg kon gegeven worden aan het verzoek tot gegevenswissing.

De inspectiedienst heeft haar onderzoek uitgebreid tot buiten het voorwerp van de klacht en onderzocht nog volgende punten:

  • Rechtmatigheid van verwerking (artikel 6 GDPR) en verantwoordingsplicht (art. 5.2. GDPR)
  • Beginsel van opslagbeperking (art. 5.1.e) GDPR)
  • Transparante informatie, communicatie en nadere regels voor uitoefening van de rechten van de betrokkene (art. 12.1. en 2. GDPR)
  • Te verstrekken informatie wanneer de persoonsgegevens bij de betrokkene worden verzameld (art. 13.1. b) en art. 13.2. b) GDPR)
  • De verantwoordelijkheid van de verwerkingsverantwoordelijke en de relatie met de verwerker (art. 24.1. en art. 28.1. GDPR)
  • Het register van verwerkingsactiviteiten (art. 30.1. d) en g) GDPR)
  • Aanwijzing van de functionaris voor de gegevensbescherming (art. 37.5 en 37.7. GDPR)

Ook tegen artikel 13.2.b) GDPR werd gezondigd door de werkgever nu in de privacyverklaring geen melding werd gemaakt van het recht op beperking van de gegevensverwerking. Dit werd intussen wel rechtgezet door werkgever.

Tot slot voldeed het verwerkingsregister niet aan alle vereisten – de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, ontbrak – zodat er aldus een inbreuk op art. 30.1. d) GDPR en art. 30.1. g) GDPR voorlag, deze inbreuk werd in de loop van de procedure ook rechtgezet door de werkgever.

De geschillenkamer houdt bij het besluiten tot de op te leggen sanctie rekening met het feit dat de werkgever aan elk van de vaststellingen door de inspectiedienst een passend gevolg heeft gegeven om de problemen een hoofd te bieden zodat voortaan de verwerking in overeenstemming met de GDPR gebeurt.

Uitspraak   

De Geschillenkamer besloot de verweerder een berisping op te leggen.

Onze mening        

Het betreft een van de eerste gepubliceerde zaken waarbij een diepgaander onderzoek wordt gevoerd door de Inspectiedienst. De inspectiedienst breidde in deze zaak immers haar onderzoek uit tot buiten het voorwerp van de aangevoerde klacht en er werden nog bijkomende inbreuken vastgesteld.

Het blijkt dat de Geschillenkamer veel belang hecht aan de houding van de verweerder en dat in casu de positieve houding van de werkgever, waarbij deze de pijnpunten zoals vastgesteld door de Inspectiedienst passend verhelpt, ertoe heeft geleid tot het beperken van de sanctie tot een berisping.

Definitief?  

Ja

Integrale beslissing

Beslissing nr. 08/2019