De Gegevensbeschermingsautoriteit (GBA) heeft de NMBS een boete van 10.000 euro gegeven voor een nieuwsbrief die de spoorwegmaatschappij naar iedereen stuurde die de gratis Hello Belgium Railpass had aangevraagd.
De inspectiedienst van de privacywaakhond stelde inbreuken op de GDPR-wetgeving vast, zo blijkt uit de beslissing van de Geschillenkamer.
Een Twitter-gebruiker had de GBA in oktober 2020 gemeld dat de nieuwsbrief over de Hello Belgium Railpass, die 3,6 miljoen keer werd aangevraagd, geen mogelijkheid bevatte om zich uit te schrijven. De inspectiedienst oordeelde na onderzoek dat de mail eigenlijk niet nodig was en dat er geen rechtsgrond was voor de verwerking van de persoonsgegevens. De NMBS meende dat de nieuwsbrief wel noodzakelijk was ‘gezien de precaire situatie’ in de tweede golf van de coronapandemie. De spoorwegmaatschappij wilde de initiatieven om drukte te vermijden en de voorwaarden voor het gebruik van het vervoersbewijs onder de aandacht brengen, en kon dat naar eigen zeggen enkel via e-mail doen.
Direct marketing
De privacywaakhond zag echter ‘direct marketing’ in de mail, waardoor de ongevraagde verzending ervan een inbreuk op de GDPR-wetgeving betekent. Zo wordt promotie gemaakt voor bestemmingen en het reiscomfort. Bij reclamemails moet een lezer eenvoudig kunnen vragen om zijn of haar persoonsgegevens niet langer te gebruiken. In de mail van de NMBS was dat niet het geval.
Bij het bepalen van de boete hield de Geschillenkamer rekening met het feit dat de overtreding eenmalig was, maar ook met de zeer ruime verspreiding ervan. Bijna een derde van de Belgische bevolking vroeg de treinkaart aan, wat de omvang van de inbreuk ‘uitzonderlijk groot’ maakt. De NMBS krijgt 30 dagen om eventueel nog in beroep te gaan.
