IAB Europe ontvangt GDPR boete van € 250.000
voor het schenden van de beginselen van rechtmatigheid, billijkheid , transparantie en het niet naleven van zijn transparantie- en informatieverplichtingen
De voormalige werkgever van betrokkenen ontving een e-mail betreffende een factuur die betaald moest worden voor het verkrijgen van een aanvullend pensioen.
Aangezien de arbeidsovereenkomst al was geëindigd, vroeg de voormalige werkgever de betrokkenen om contact op te nemen met de aanvullende pensioenverzekeraar om de reden voor het uitreiken van de factuur te begrijpen.
De verzekeringsmaatschappij geeft aan dat zij niet op de hoogte is gebracht van het einde van de arbeidsovereenkomst tussen betrokkenen en zijn voormalige werkgever en dat zij daarom een nieuwe factuur heeft opgesteld.
In dit verband meent betrokkenen dat zijn persoonsgegevens niet hadden mogen worden meegedeeld, aangezien verweerder geen verzekeringsmakelaar of verzekeringnemer is.
De vraag voorhanden is of de persoonsgegevens van betrokkenen door zijn werkgever mochten meegedeeld worden aan de verzekeringsmaatschappij. Deze vraag werd behandeld door de Belgische gegevensbeschermingsautoriteit.
Conform artikel 6.1.f AVG en de jurisprudentie van het HvJEU 1 moet aan drie cumulatieve voorwaarden worden voldaan om persoonsgegevens te mogen verwerken op basis van gerechtvaardigde belangen:
1. Doelcriterium: het nastreven van een gerechtvaardigd belang;
2. Noodzakelijkheidscriterium: het aantonen van de noodzaak van de verwerking om het doel te bereiken;
3. Belangenafweging: de rechten en vrijheden van de betrokkene mogen niet prevaleren boven het legitieme belang dat wordt nagestreefd door de verwerkingsverantwoordelijke.
De geschillenkamer Belgische gegevensbeschermings-autoriteit heeft in haar analyse elk criterium onderzocht:
1. Doelcriterium: de GBA stelt dat de persoonsgegevens van de klager werden doorgegeven aan de verzekeringsmaatschappij in het kader van een opdracht die de voormalige werkgever van de klager aan de beklaagde toevertrouwde. Aan de eerste voorwaarde is dus voldaan.
2. Belangenafweging (overweging 47 AVG): Het is belangrijk om rekening te houden met de verwachtingen van de betrokkenen. Na verzending van genoemde factuur bleek dat de verzekeringsmaatschappij niet op de hoogte was gebracht van de beëindiging van de arbeidsovereenkomst van klager. In dit kader mag redelijkerwijs worden verwacht dat de verweerder aan de verzekeringsmaatschappij de persoonsgegevens zal verstrekken die de herkomst van de factuur onthullen. Deze gegevens waren ook beperkt tot de elementen die nodig zijn om de herkomst van de factuur te begrijpen.
3.Noodzakelijkheidscriterium: Om aan de tweede voorwaarde te voldoen, moet worden aangetoond dat hetzelfde resultaat niet kan worden bereikt met andere, minder ingrijpende middelen van verwerking van persoonsgegevens. De geschillenkamer is van oordeel dat met betrekking tot bovenvermeld doel , die de oorsprong van de op naam van de klager ontvangen factuur vond, kon niet op een andere manier worden bereikt dan door e-mailuitwisselingen. De geschillenkamer Belgische gegevensbeschermingsautoriteit heeft in haar analyse elk criterium onderzocht:
Om deze redenen heeft de geschillenkamer van de Belgische gegevensbeschermingsautoriteit besloten dat door de werkgever werd voldaan aan de cumulatieve voorwaarden voorgeschreven in artikel 6 GDPR en besluit zij om de zaak niet verder op te volgen.
