De Gegevensbeschermingsautoriteit legt aan een sociaal netwerk een boete op van 50.000 euro

De GBA heeft zojuist een boete van 50.000 euro opgelegd aan een internationaal sociaal netwerk. Deze sanctie is opgelegd in overleg met 23 gegevensbeschermingsautoriteiten uit verschillende Europese landen. De boete heeft betrekking op het verzamelen en gebruiken zonder geldige rechtsgrond van persoonsgegevens in het kader van een functie "contacten uitnodigen". Voor de GBA is deze beslissing een signaal voor andere sociale netwerksites en applicaties die zouden gebruikmaken van gelijkaardige methodes : organisaties kunnen geen persoonsgegevens verwerken zonder een geldige rechtsgrond.

De feiten: de functie "nodig je contacten uit" op een sociaal netwerk

Het Directiecomité van de GBA heeft de Inspectiedienst gevraagd een functie te onderzoeken die wordt aangeboden door een sociaal netwerk waarmee hun leden contacten kunnen uitnodigen (ongeacht of ze zelf al lid zijn of niet) op het platform. Hiervoor verzamelde en bewaarde het sociaal netwerk enerzijds gegevens betreffende de contacten en anderzijds stuurde zij uitnodigingen naar de personen die door de gebruiker werden toegevoegd.

Verwerking van persoonsgegevens zonder geldige rechtsgrond en niet-naleving van de toestemmingsvoorwaarden

Om rechtmatig te zijn, moet een verwerking van persoonsgegevens gebaseerd zijn op een van de zes rechtsgrondslagen van de AVG en één daarvan is de toestemming.

Voor het opslaan van contactgegevens en het versturen van een uitnodiging was het sociaal netwerk afhankelijk van de toestemming van het lid-gebruiker om deze gegevens te importeren, maar de toestemming moet worden gegeven door de betrokken persoon (behalve  enkele uitzonderingen, zoals in het geval van een minderjarige). Door de gegevens van niet-leden van het netwerk op te slaan en hen uitnodigingen te sturen, verwerkte het netwerk dus gegevens zonder een geldige rechtsgrond.

Bovendien werd het lid-gebruiker aan het begin van het dossier geconfronteerd met vooraf aangevinkte opties tijdens het proces van het toevoegen van contacten, in die zin dat hun contacten vooraf werden geselecteerd. Deze praktijk, hoewel later gewijzigd door de verweerder, was in strijd met de toestemmingsvoorwaarden zoals bepaald in de AVG: deze toestemming moet vrij en ondubbelzinnig zijn en het gevolg  van een positieve actie. De persoon moet dus zelf de gewenste vakjes aanvinken. In de periode waarin de ontvangers voorgeselecteerd waren, was de toestemming van het  lid-gebruiker van het netwerk, dat zijn contacten wenste uit te nodigen, dus ook niet geldig.

Om deze redenen heeft de GBA besloten een administratieve boete van 50.000 euro op te leggen aan het sociale netwerk. Inmiddels is de contactuitnodigingsfunctie door het sociale netwerk opgeheven.

Een beslissing met een internationaal karakter

Gezien het grensoverschrijdende karakter van de verwerking op de website en de applicatie van de verweerder, en overeenkomstig artikel 56 van de AVG, nam de GBA contact op met haar Europese tegenhangers en heeft zij zich vrijwillig aangemeld als de leidende autoriteit in deze zaak. 23 Europese toezichthoudende autoriteiten (uit 16 verschillende landen) hebben verklaard dat zij betrokken zijn.

Deze samenwerkingsprocedure heeft het mogelijk gemaakt om een beslissing te nemen die rekening hield met de opmerkingen van elk betrokken land en die bijdraagt tot een betere naleving van de regels inzake gegevensbescherming, niet alleen in België, maar ook internationaal.