Europese bedrijven maken kennis met eerste GDPR-boetes

Boetes tot 50 miljoen euro. Een jaar na de invoering van de GDPR zijn een aantal buitenlandse bedrijven al tegen de lamp gelopen en zijn zware boetes uitgeschreven. Uiteraard gaat niet elke overtreding gepaard met sancties van dergelijke proporties, maar de kosten kunnen zeker oplopen. Wie data niet op de  correcte manier beheert of een lek niet tijdig meldt, kan een boete krijgen oplopend tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen is zelfs een boete mogelijk van 4 procent van de wereldwijde omzet. Zo kreeg Google vorig jaar in Frankrijk deze recordboete van 50 miljoen euro opgelegd. Google is daarbij niet alleen; heel wat andere kleine en grote ondernemingen en vzw’s werden bestraft volgens de GDPR-regels. Benieuwd welke sancties al werden opgelegd? Wij werpen ons licht op een paar bijzondere cases in het buitenland.

gdpr_artikel_boetes

Nederland

Bij onze noorderburen werden voornamelijk overheidsorganisaties en de medische sector geviseerd met betrekking tot de GDPR-regelgeving. Zo kreeg bijvoorbeeld de Nationale Politie een flinke boete opgelegd omdat de veilige verwerking en bewaring van (burger-)gegevens niet gegarandeerd werd. Aangezien de Nationale Politie over heel wat gevoelige informatie beschikt, moet deze informatie dan ook goed beveiligd worden en moet de toegang tot gegevens regelmatig en proactief gecontroleerd worden.

Na controles van de Nederlandse Autoriteit Persoonsgegevens (NAP) kreeg de Nationale Politie enkele noodzakelijke veiligheidsmaatregelen opgelegd, zoals regelmatige en proactieve controle uitvoeren op logbestanden en een beveiligingsplan vastleggen.

Bij nieuwe controles werd vastgesteld dat er onvoldoende inspanningen werden geleverd ter verbetering van de situatie. Daarom veroordeelde de NAP de Nationale Politie tot een boete van  40.000 euro.

Frankrijk

Net zoals onze noorderburen is Frankrijk niet min met het opleggen van boetes. Zo werd datahandelaar Vectaury in gebreke gesteld voor inbreuken op de informatieplicht en de ondubbelzinnige toestemming.

De Commission Nationale de l'Informatique et des Libertés (CNIL) oordeelde dat het niet volstond om een accepteer-knop aan te bieden om toestemming te verkrijgen, zonder bijkomende informatie die uitlegt waarvoor precies toestemming gegeven wordt. Wanneer toestemming gevraagd wordt, voor onder andere direct marketing, moeten ook alle ondernemingen aan wie de gegevens mogelijks worden doorgegeven uitdrukkelijk opgelijst worden. Vectaury voldeed niet aan deze criteria en werd veroordeeld.

Opmerkelijk is dat in Frankrijk niet enkel de focus ligt op inbreuken door grote bedrijven. Ook een Franse vzw werd in juni beboet voor 75.000 euro omdat ze persoonsgegevens voor andere doeleinden gebruikte dan vooropgesteld en meegedeeld werd.

 

Duitsland

In Duitsland werd de vervoersfirma Kolibri Image veroordeeld tot een boete van 5.000 euro omdat zij geen verwerkersovereenkomst had afgesloten met een verwerker. Een verwerker is een externe persoon of onderneming die persoonsgegevens verwerkt in opdracht van een onderneming, zoals een IT bedrijf dat de server onderhoudt of een boekhouder.

Het gebrek ervan kwam aan het licht doordat de vervoersfirma niet kon voldoen aan een verzoek tot inzage. Bij controle bleek een verwerkersovereenkomst te ontbreken, die voorziet in het meewerken tot verzoeken van betrokkenen door verwerkers. Het ontbreken van deze verwerkersovereenkomst werd aanzien als een inbreuk op de GDPR en werd bestraft met een boete.

 

Verenigd Koninkrijk

Het Information Commissioner’s Office (ICO) had afgelopen jaar zijn handen vol met inbreuken op de GDPR-regels, voornamelijk dan in de Brexit campagnes. Heel wat lobbygroepen en politieke strekkingen kregen een boete voor het versturen van direct marketingcommunicatie (flyers, folders, brieven,…) zonder voorafgaandelijke toestemming.

Vote Leave en Eldon Insurance kregen een boete van 120.000 pond voor het verzenden van politieke marketing berichten. Leave.EU Group Limited werd tot tweemaal toe veroordeeld voor het verzenden van 300.000 communicaties op één dag zonder toestemming. De kosten liepen op tot 60.000 pond.

ICO stelt dat het niet voldoende is om bij aankoop van e-mailadressen contractueel af te dwingen dat de verkoper toestemming heeft verkregen van alle adressen; de koper moet zélf de individuele toestemming kunnen aantonen.

 

En in België?

In België werden tot op heden nog geen boetes of sancties opgelegd. Het gebrek aan een slagkrachtig directiecomité zorgde bij ons voor stilstand. Maar met de nieuwe directie zal mogelijks de strijd tegen inbreuken op de privacywetgeving worden opgevoerd “De tijd van sit back and relax over GDPR is voorbij”, aldus David Stevens, de kersvers benoemde voorzitter van de Gegevensbeschermingsautoriteit. Of in realiteit zulke hoge boetes worden uitgeschreven, zoals bij onze buurlanden, is nog even afwachten. Om sancties en imageschade te vermijden, neemt u daarom best nu al de nodige maatregelen!

 

Bron: Mr. Franklin 

 

 

 

  910