Terug

De Algemene Verordening Gegevensbescherming – ook wel beter gekend als de “GDPR” – heeft reeds heel wat inkt doen vloeien en velen waren sceptisch over de hetze die in 2018 werd gemaakt rond deze nieuwe privacywetgeving.

Hoewel elke ondernemer op de hielen werd gezeten door de datum van 25 mei 2018, is gebleken dat de Belgische Gegevensbeschermingsautoriteit (GBA) – de vroegere Privacycommissie - zelf de deadline niet gehaald heeft. De benoeming van het directiecomité bleef achterwege en daarmee ook de effectieve geschillenbeslechting. Dit in tegenstelling tot onze buurlanden waar reeds in 2018 torenhoge boetes werden opgelegd.

De Voorzitter van de GBA, de heer David Stevens, gaf evenwel onmiddellijk te kennen dat de verloren tijd zou worden ingehaald. Sedert de benoeming van het directiecomité in maart 2019 is de GBA dan ook uit de startblokken geschoten en heeft zij al heel wat klachten behandeld. We geven u hierbij een korte bloemlezing.

Gebruik persoonsgegevens voor verkiezingspropaganda: 2.000,00 EUR - 5.000,00 EUR

Reeds in mei 2019 werd een eerste administratieve geldboete opgelegd van 2.000,00 EUR aan een Vlaamse burgemeester die e-mailadressen, verkregen in het kader van een verkavelingswijziging, aangewend zou hebben voor de verzending van verkiezingspropaganda.

Aangezien de e-mailadressen ten onrechte voor persoonlijke doelen door de burgemeester werden gebruikt, oordeelde de GBA dat er sprake was van afwending van doelbinding. Het beginsel van doelbinding vereist dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en niet verder mogen worden verwerkt op een wijze die onverenigbaar is met deze doeleinden. Verdere verwerking voor andere doeleinden is alleen toegestaan indien deze verdere verwerking verenigbaar is met de doeleinden waarvoor de gegevens oorspronkelijk werden verzameld. De GBA benadrukte daarbij dat een burgemeester een voorbeeldfunctie heeft en er van hem mag verwacht worden voldoende kennis te hebben van de wettelijke privacy verplichtingen.

Een andere burgemeester die zich schuldig had gemaakt aan gelijkaardige feiten moest het in november 2019 bekopen met een geldboete van 5.000,00 EUR, net zoals een dierenarts die zijn klantenbestand had aangewend voor zijn herverkiezingscampagne als schepen.

Verplicht inlezen van eID: 10.000,00 EUR

Op 19 september 2018 werd een handelaar veroordeeld tot een geldboete van 10.000,00 EUR omdat hij het inlezen van de eID van zijn klanten verplicht had gemaakt voor het aanmaken van een klantenkaart. Door de handelaar werd geen alternatief aangeboden aan klanten die wel een klantenkaart wensten, maar niet hun eID wensten te laten inlezen.

Aangezien door het inlezen van de eID ook het geslacht, de geboortedatum en het rijksregisternummer werden verwerkt, hoewel deze niet ter zake dienend zijn voor de aanmaak van een klantenkaart, oordeelde de GBA dat er sprake was van een overmatige gegevensverwerking. Aldus werd het beginsel van minimale gegevensverwerking door de handelaar niet gerespecteerd.

Bijkomend oordeelde de GBA dat de verwerking van de persoonsgegevens op een onrechtmatige wijze was gebeurd. Als algemene regel schrijft de GDPR voor dat als een betrokkene geen werkelijke keuze heeft, zich gedwongen voelt om toestemming te geven of het voor hem negatieve gevolgen zal hebben als hij niet toestemt, de toestemming niet geldig is. Doordat de klanten van de handelaar enkel van kortingen konden genieten door middel van hun eID bij gebrek aan een alternatief systeem, was er volgens de GBA dan ook geen sprake van een vrije toestemming.

Onzorgvuldig cookiebeleid: 15.000,00 EUR

De laatste gepubliceerde beslissing van de GBA dateert van 17 december 2019, waarbij voor het eerst een website werd veroordeeld tot een administratieve geldboete vanwege een onzorgvuldig cookiebeleid. Het betreft een website die gespecialiseerd is in juridische en fiscale expertise en actualiteit (jubel.be).

Cookies zijn kleine bestanden die het surfgedrag van bezoekers van een website bewaren. Het doel van cookies is om de ene gebruiker van de andere te kunnen onderscheiden, zodat hierdoor persoonsgegevens kunnen verwerkt worden.

De GBA oordeelde dat jubel.be was gefaald in het creëren van een transparant cookiebeleid. Zo moet een gebruiker eerst duidelijke en volledige informatie ontvangen over het gebruik van cookies die niet strikt noodzakelijk zijn en de gevolgen ervan, zoals bijvoorbeeld het recht op intrekking van zijn toestemming. Pas daarna kan de toestemming van de gebruiker met deze cookies worden gevraagd. Daarenboven moet de toestemming het resultaat zijn van een actieve gedraging van de gebruiker (“opt-in” systeem), zodat de toestemming niet geldig is wanneer de gebruiker een reeds aangekruist vakje moet afvinken (“opt-out” systeem) ingeval hij weigert zijn toestemming te verlenen. Tot slot moet de toestemming van een gebruiker ook specifiek zijn. Dit betekent dat de gebruiker een individuele keuze moet kunnen maken om alle, bepaalde (soorten) of geen cookies te aanvaarden.

Gezien het cookiebeleid van jubel.be hieraan niet tegemoet kwam of pas na een tweede verwittiging van de inspectiedienst werd opgelost, werd jubel.be veroordeeld tot een administratieve geldboete van 15.000,00 EUR.

Nu de geschillenkamer van de GBA haar eerste beslissingen en administratieve geldboetes heeft uitgesproken, is er een duidelijk einde gekomen aan het gedoogbeleid in België omtrent de GDPR. Hoewel de GBA in 2019 nog relatief mild is geweest in haar uitspraken en vooral een voorbeeld heeft willen stellen, mag verwacht worden dat zij in de toekomst steeds strenger zal optreden. Het is nu dan ook meer dan ooit van belang om uw bedrijf GDPR-compliant te maken.

DELEN:

Recent nieuws

Bemiddeling website

Van conflict naar oplossing - geschillenregeling buiten de rechtbank om

01/10/2024 - Geschillen worden in de regel beslecht door rechtbanken. Voor geschillen tussen aandeelhouders is dit niet anders. De laatste jaren zagen echter versc...

Lees meer
De geschillenregeling website

De vennootschapsrechtelijke echtscheiding

28/06/2024 - Indien een conflict in een vennootschap zodanig groot is dat geen enkele samenwerking tussen de betrokken aandeelhouders meer mogelijk is, kan de gesc...

Lees meer