Beslissing GBA: Een database met Twitterberichten mag niet zomaar gedeeld worden

(Beslissing 13/2022 van 27 januari 2022)

In een tweede grensoverschrijdende zaak heeft de Geschillenkamer van de GBA een boete opgelegd aan EU DisinfoLab, een ngo die strijd voert tegen desinformatie (2.700 EUR), en aan één van haar onderzoekers (1.200 EUR) wegens inbreuken op de GDPR die gepleegd zijn in het kader van een onderzoek naar de politieke oorsprong van tweets afkomstig van 55.000 Twitter-accounts in verband met de Franse "Benalla-affaire". De sancties hebben enerzijds betrekking op de politieke profilering van de auteurs van de geanalyseerde tweets en anderzijds op de publicatie van verschillende bestanden die de ruwe en soms gevoelige gegevens van het onderzoek bevatten. ​ De procedure kwam op gang naar aanleiding van meer dan 200 klachten die werden ingediend bij de GBA en de Franse CNIL naar aanleiding van een analyse gepubliceerd door de ngo met het oog op de vaststelling van de politieke oorsprong van tweets die circuleren over de “Benalla-affaire”. Alexandre Benalla is de voormalige lijfwacht van Franse president Emmanuel Macron, en kwam in opspraak nadat hij zich onder meer op onrechtmatige wijze had uitgegeven als politieagent tijdens de 1 mei-betoging van de arbeidersbewegingen in Parijs in 2018. ​ Aangezien de ngo die het omstreden onderzoek heeft gevoerd in België is gevestigd, treedt de GBA op als leidende toezichthoudende autoriteit en de CNIL als “betrokken” toezichthoudende autoriteit. De omstreden verwerkingen betreffen concreet het hergebruik van persoonsgegevens van 55.000 Twitter-gebruikers om de studie uit te voeren (waarbij meer dan 3.300 accounts politiek waren geclassificeerd), en anderzijds de online publicatie door de ngo en haar onderzoeker van bestanden met de ruwe (niet-geanonimiseerde) gegevens van de studie. ​ De Geschillenkamer wijst erop dat het feit dat persoonsgegevens publiek beschikbaar zijn op sociale netwerken, niet betekent dat zij de bescherming onder de GDPR verliezen. De Geschillenkamer erkent evenwel dat de journalistieke uitzondering het voor de ngo mogelijk maakte om als verwerkingsverantwoordelijke werkzaam in de journalistieke sfeer, de studie uit te voeren om die te publiceren en deel te nemen aan het publiek debat over de Benalla-affaire, zonder vooraf individueel alle in artikel 14 van de GDPR bedoelde informatie te verstrekken aan de betrokkenen. De Geschillenkamer is namelijk van mening dat de ngo vrijgesteld was van haar verplichting om de accounteigenaars individueel en voorafgaand in te lichten over de voor de studie verwerkte persoonsgegevens, omdat dit de studie en de publicatie ervan achteraf in gevaar had kunnen brengen. ​

Echter heeft de Geschillenkamer wel problemen met de manier waarop bijhorende documenten ter staving van het onderzoek online gepubliceerd werden. Toen de integriteit van het onderzoek ter discussie werd gesteld, stelden de ngo en haar onderzoeker namelijk bestanden met ruwe gegevens online ter beschikking ter staving dat het onderzoek correct gevoerd was, zonder hierbij minimale beveiligingsmaatregelen te treffen zoals bijvoorbeeld het pseudonimiseren van de hierin opgenomen persoonsgegevens of het beperken van de toegang tot de bestanden. Concreet bevatten deze bestanden niet-geanonimiseerde informatie over de politieke voorkeur, religieuze overtuiging, ethnische afkomst en seksuele gerichtheid van de personen wiens Twitter-accounts geanalyseerd werden in het kader van het onderzoek. De Geschillenkamer stelt vast dat ondanks er geen sprake was van kwade bedoelingen, dergelijke publicatie het risico met zich meebrengt dat betrokkenen gediscrimineerd of in diskrediet zouden worden gebracht. De publicatie van niet-geanonimiseerde of niet-gepseudonimiseerde gevoelige gegevens in deze context kan volgens de Geschillenkamer enkel plaatsvinden met de toestemming van de auteurs van de geanalyseerde tweets. Zonder toestemming dan wel doeltreffende anonimisatie of pseudonimisatie is dan ook sprake van een onevenredige schending van de rechten van de auteurs van de betrokken tweets waarvoor geen rechtsgrond kan voorliggen. De Geschillenkamer geeft nog mee dat een individuele afweging per betrokkene tussen het recht op journalistieke vrijheid van meningsuiting en het recht op gegevensbescherming niet mogelijk was gelet op het grote aantal betrokken Twitter-accounts (55.000). ​ De Geschillenkamer stelt dan ook inbreuken vast op verschillende GDPR-verplichtingen, zoals de rechtmatigheid van de verwerking, het transparantiebeginsel en de beveiligingsverplichting. Dit leidt tot een boete voor de ngo van 2.700 EUR en voor de betrokken onderzoeker persoonlijk van 1.200 EUR. Daarnaast wordt een berisping uitgesproken. Bij het bepalen van de sancties heeft de Geschillenkamer rekening gehouden met het feit dat de verweerders respectievelijk een kleine niet-gouvernementele organisatie zonder winstoogmerk en een natuurlijke persoon zijn.