17 december 2019 GDPR : NA DE THEORIE, DE BOETES!
De boetes die de Toezichthoudende Autoriteiten tot hiertoe hebben opgelegd, bewijzen nogmaals dat GDPR geen ver-van-mijn-bed-show (meer) is.
Iedereen herinnert zich dat de boetes kunnen oplopen tot 10 of 20 miljoen euro (afhankelijk van de aard van de inbreuk), tenzij 2 of 4% van de wereldwijde jaaromzet van de onderneming hoger is. Het zijn evenwel niet (enkel) grote wereldspelers zoals Microsoft en Google die in het vizier komen. Enkele uitspraken van Europese Toezichthoudende Autoriteiten tonen aan dat ook kleinere ondernemingen niet buiten schot blijven.
i) De Belgische Gegevensbeschermingsautoriteit (GBA)
Vroeger vermeldden we al de onderneming die een boete van 10.000 euro kreeg omdat zij haar klanten verplichtte om hun elektronische identiteitskaart te laten inlezen om een klantenkaart te kunnen krijgen.
In een andere beslissing werd een burgemeester veroordeeld tot een boete van 2.000 EUR, omdat hij de e-mailadressen van enkele burgers, die hij als burgemeester in het kader van een verkavelingswijziging had ontvangen, had ‘misbruikt’ om verkiezingsdrukwerk te versturen.
ii) Andere Europese Toezichthoudende Autoriteiten
Aangezien de GBA nog niet optimaal werkt en er in België (nog) geen ‘klachtencultuur’ rond privacy bestaat, is het zinvol om over de landsgrenzen te kijken om een realistischer (toekomst?)beeld te krijgen op de bedragen van en risico’s op boetes.
Hieronder halen we enkele voorbeelden aan, die dicht bij de dagelijkse praktijk van elke ondernemer staan.
- Een Letse onlineverkoper diende een boete van 7.000 euro te betalen, omdat hij niet geantwoord had op een verzoek tot inzage en tot het wissen van gegevens.
- In Oostenrijk werd een onderneming in de medische sector veroordeeld tot een boete van 55.000 euro, o.m. omdat zij meer dan 6 maanden had nagelaten een DPO aan te stellen.
- In Griekenland werd PwC veroordeeld tot een boete van 150.000 euro, o.m. omdat zij ten onrechte personeelsgegevens verwerkte op basis van de verwerkingsgrond ‘toestemming’.
- Een Roemeens hotel diende een boete van 15.000 euro te betalen, nadat een buitenstaander erin geslaagd was om een ontbijtlijst met de persoonsgegevens van een 47-tal gasten te fotograferen (en nadien te publiceren).
- In Frankrijk werden dan weer verschillende bedrijven veroordeeld tot aanzienlijke boetes tot 400.000 euro, omdat klantengegevens op hun website voor derden eenvoudig toegankelijk waren (bv. door de cijfers op het einde van de url te wijzigen).
- Een Nederlands ziekenhuis liep een boete op van 460.000 euro voor gebrekkige beveiliging van haar medische dossiers. Werknemers hadden louter uit nieuwsgierigheid (en dus niet om medische redenen) het dossier van een bekende Nederlander kunnen inkijken. Ook een Britse verpleegster die zich daaraan bezondigd had, werd veroordeeld tot een boete van 800 GBP.
- De voormalige directeur van een lagere school kreeg een boete van 1.100 GBP opgelegd, omdat hij persoonsgegevens van leerlingen had meegenomen naar zijn nieuwe school. Zo ook moest een werknemer, die verschillende professionele e-mails met persoonsgegevens van klanten en collega’s naar haar privé-e-mailadres had verstuurd juist voordat zij ontslag zou nemen, een boete van 200 GBP betalen. Verder werd een boete van 514 GBP opgelegd voor het doorsturen van ontvangen sollicitatiegegevens naar een privé-e-mailadres.
Een inbreuk is dus sneller gemaakt dan u denkt.
Een goede raad? Zorg dat uw onderneming de bepalingen van de GDPR naleeft, zo raakt u niet verstrikt in de mallemolen van de boetes…
