Onzorgvuldig gebruik van Twitter-data leidt tot een Belgische privacy-boete van enkele duizenden euro’s. ‘Het feit dat persoonsgegevens openbaar beschikbaar zijn op sociale netwerken betekent niet dat zij de bescherming van de GDPR verliezen.’
De GBA heeft twee boetes opgelegd: eentje aan een ngo (2.700 euro) en eentje aan een van haar onderzoekers (1.200 euro) wegens inbreuken op de GDPR die zijn gepleegd in het kader van een onderzoek naar de politieke oorsprong van tweets in verband met de zogenaamde affaire Benalla.
De zaak gaat terug tot 2018. Toen publiceerde de ngo een analyse om de mogelijke politieke oorsprong vast te stellen van tweets die circuleren over een zaak in Frankrijk: affaire Benalla. Het gaat om onthullingen in de krant Le Monde over de bezitsaanmatiging van de functie van politieambtenaar door een naaste medewerker van de President van de Franse Republiek.
55.000 Twitter accounts
De Gegevensbeschermingsautoriteit (GBA) en haar Franse tegenhanger, de CNIL, ontvingen toen in totaal meer dan tweehonderd klachten over enerzijds het hergebruik van persoonsgegevens van 55.000 Twitter-accounts om een studie uit te voeren. En anderzijds klachten over de online publicatie van bestanden met de ruwe gegevens van die studie.
Voor de GBA maakte deze zogenaamde journalistieke uitzondering het voor de ngo mogelijk om als verwerkingsverantwoordelijke, werkend in de journalistieke sfeer, de studie uit te voeren om die te publiceren en deel te nemen aan het publiek.
Maar hierbij ging het mis. Zo hebben zowel onderzoeker als ngo bestanden met ruwe gegevens online beschikbaar gesteld, en dit zonder minimale beveiligingsmaatregelen te treffen zoals bijvoorbeeld het anonimiseren van de gegevens of het beperken van de toegang tot de bestanden.
Hoewel er ongetwijfeld geen kwade bedoelingen waren, heeft deze publicatie ervoor gezorgd dat de betrokkenen het risico liepen gediscrimineerd of in diskrediet te worden gebracht. De bestanden bevatten bovendien ook informatie over de religieuze overtuiging, de etnische afkomst en de seksuele gerichtheid van de personen van wie de accounts waren geanalyseerd.
Boete
De verwerkingsverantwoordelijken zijn dus verschillende verplichtingen uit hoofde van de GDPR-wetgeving niet nagekomen. Denk hierbij aan zoals de rechtmatigheid van de verwerking, transparantie ten aanzien van de betrokkenen en gegevensbeveiliging.
In totaal legde de GBA een boete op van bijna 4.000 euro: de ngo kreeg een boete van 2.700 euro en de onderzoeker een boete van 1.200 euro, samen met een berisping. De beslissing hield rekening met het feit dat de respectieve verweerders een kleine niet-gouvernementele organisatie zonder winstoogmerk en een natuurlijke persoon zijn.
‘In deze beslissing bevestigen we andermaal dat ook publieke beschikbare gegevens onder de bescherming van de AVG vallen, en dus onder ons toezicht’, oppert David Stevens, voorzitter van de GBA. ‘Het is dus niet omdat je iets publiek hebt gedeeld, dat je zomaar elk later hergebruik moet aanvaarden.’
