|||
FR NL EN
-
Reglementering
29 juni 2022

GDPR: Vermijd het versturen van collectieve emails, waarbij de adressen zichtbaar zijn!

In een recente beslissing sanctioneert de Gegevensbeschermingsautoriteit (GBA) een vakbondsafgevaardigde omwille van een collectieve email aan het personeel, waarbij hun mailadressen zichtbaar zijn, ook voor de externe secretarissen die in kopie stonden. Volgens de GBA is deze praktijk in strijd met twee beginselen van de AVG: de beginselen van rechtmatigheid en beveiliging.

De feiten

Een vakbondsafgevaardigde in een onderneming stuurt een collectieve e-mail naar alle personeelsleden. In kopie (“CC”) stonden drie e-mailadressen van vakbonden, extern aan de onderneming.

Bijgevolg verkregen de externe ontvangers (de vakbonden) toegang tot de identiteit en de e-mailadressen van alle personeelsleden van de onderneming.

Een werknemer dient een klacht in bij de Gegevensbeschermingsautoriteit (“GBA”).

De beslissing

Ten eerste wijst de Geschillenkamer van de GBA erop dat niet de onderneming, maar de vakbondsafgevaardigde de verwerkingsverantwoordelijke was. Volgens de GBA heeft enkel de vakbondsafgevaardigde de middelen en doeleinden van de verwerking bepaald toen hij de e-mails in kwestie uitstuurde.

Aan het einde van haar analyse concludeert de Geschillenkamer dat er een inbreuk is op twee beginselen van de AVG:

  • Het rechtmatigheidsbeginsel: de vakbondsafgevaardigde kan zich op geen enkele rechtsgrond beroepen waaruit de rechtmatigheid van de verwerking blijkt. De werknemers hebben immers geen toestemming gegeven voor de overdracht van hun gegevens aan de vakbond. De vakbondsafgevaardigde kon zich evenmin beroepen op een gerechtvaardigd belang, aangezien (i) het beginsel van de minimale gegevensverwerking niet in acht werd genomen en (ii) de betrokkenen redelijkerwijs mochten verwachten dat hun e-mailadres niet aan externe ontvangers zou worden meegedeeld.
  • Het beveiligingsbeginsel: de vastgestelde inbreuk kon leiden tot een (zij het beperkt) risico voor de rechten en vrijheden van de betrokkenen. Door deze inbreuk niet aan de GBA te melden, heeft de vakbondsafgevaardigde het beveiligingsbeginsel geschonden.

De GBA geeft evenwel alleen een waarschuwing aan de vakbondsafgevaardigde, gezien i) het onopzettelijke en eenmalige karakter van de fout, ii) het lage risico voor de rechten en vrijheden van de betrokkenen en iii) het feit dat hij een natuurlijke persoon is.

Te onthouden?

Wanneer de verwerkingsverantwoordelijke een e-mail verzendt aan externe ontvangers buiten de onderneming, dient hij ervoor te zorgen dat alleen de contactgegevens die strikt noodzakelijk zijn voor de verwerking, worden vermeld. De andere contactgegevens moet hij in “BCC” (blind copy) zetten om onrechtmatige gegevensverwerking te voorkomen.

Bron: Gegevensbeschermingsautoriteit, Beslissing 86/2022 van 1 juni 2022, beschikbaar op www.gegevensbeschermingsautoriteit.be.

We use cookies to track usage and preferences Legal terms I Understand