Back

Handhavingsbalans van de GDPR na twee jaar

 
NEWS

Handhavingsbalans van de GDPR na twee jaar

Dylan Verhulst, Kristof Zadora

De Algemene Verordening Gegevensbescherming, beter bekend als de GDPR, wordt ondertussen meer dan twee jaar toegepast. In dit artikel geven we een overzicht van de handhavingsbepalingen van de GDPR en enkele frappante beslissingen en statistieken die in de afgelopen twee jaar werden gepubliceerd.

 

1.De GDPR bepalingen inzake handhaving

Een welbekende vernieuwing in de GDPR is de verstrengde handhavingsmogelijkheden van de gegevensbeschermingsautoriteiten. De autoriteiten kunnen volgende corrigerende maatregelen nemen:

1) een waarschuwing geven;

2) de verwerkingsverantwoordelijke of verwerker berispen;

3) een bevel geven tot inwilliging verzoek, tot inovereenstemmingbrenging van een verwerking met de GDPR of een inbreuk aan de betrokkene mee te delen;

4) een tijdelijk of permanent verwerkingsverbod / verwerkingsbeperking opleggen;

5) het intrekken van certificering;

6) de opschorting van gegevensstromen gelasten;

7) rectificatie of gegevenswissing gelasten.

 

Daarnaast kunnen de autoriteiten administratieve boetes opleggen voor volgende bedragen:

  1. €10.000.000 of 2% wereldwijde jaaromzet voor inbreuken op de plichten van de verwerkingsverantwoordelijke;
  2. van €20.000.000 of 4% wereldwijde jaaromzet voor inbreuken op de basisbeginselen inzake verwerking, schending van de rechten van de betrokkene of de regels inzake doorgifte van persoonsgegevens naar derde landen.

 

Tenslotte kan ook de Belgische Gegevensbeschermingsautoriteit, op grond van artikel 100 van de Wet tot Oprichting van de Gegevensbeschermingsautoriteit (WOG), nog sancties opleggen zoals:

  1. een dwangsom;
  2. het dossier overmaken aan het parket om een strafprocedure op te starten;
  3. het dossier bekend maken op de website van Gegevensbeschermingsautoriteit.

 

Het is duidelijk dat de handhavingsmodaliteiten onder de GDPR verregaand zijn, wat de GDPR ook haar naamsbekendheid heeft gegeven.

 

2. Recente beslissingen vanwege nationale autoriteiten

 

Een eerste beslissing is de hoogste tot op heden opgelegde boete, uitgevaardigd door de Franse gegevensbeschermingsautoriteit (Commission Nationale de l'Informatique et des Libertés of CNIL) in 2019. Het CNIL vaardigde een boete uit van 50 miljoen euro aan Google LL.C. wegens de schending van de transparantie- en informatieverplichtingen en het gebrek aan een juridische grondslag voor het verwerken van persoonsgegevens, voornamelijk voor personalisatie van advertenties. Deze beslissing is niet alleen vermeldenswaardig gezien de hoogte van de boete, maar ook voor de manier waarop ze tot stand kwam. Het is immers zo dat niet alleen de gegevensbeschermingsautoriteiten zelf een zaak aanhangig kunnen maken, ook burgers en groeperingen kunnen dat doen via klachten. In dit geval kwam de procedure tot stand door een samenwerking van twee groeperingen: La Quadrature du Net (gemandateerd door 10.000 burgers) en None of Your Business (NOYB). Deze laatste groepering is opgericht door Max Schrems, de privacyactivist die eerder de degens kruiste met Facebook in de Schrems I en II zaken, die beide voor het Hof van Justitie een aardverschuiving teweeg brachten in het gegevensbeschermingsrecht.

 

Een tweede beslissing betreft een Poolse zaak daterend van juli 2020. De Poolse gegevensbeschermingsautoriteit legde daarin een boete op van €22.500 (100.000 PLN) aan het Poolse grond- en gebouwenregisterkantoor. De voorzitter van het kantoor wou geen toegang verlenen aan inspecteurs van de Poolse gegevensbeschermingsautoriteit met als argument dat de gegevens in het grond- en gebouwenregister geen persoonsgegevens zijn. De voorzitter maakte echter geen voorbehoud voor wat wel persoonsgegevens uitmaakt, waarop de autoriteit besloot dat het kantoor de medewerkingsplicht geschonden had in het kader van de inspectie (ook wel bekend als een ‘dawn raid’).

 

Als derde voorbeeld in dit overzicht hebben we een zaak uit 2019 vanwege de Nederlandse gegevensbeschermingsautoriteit tegen een ziekenhuis, wegens onvoldoende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Het ziekenhuis had de patiëntgegevens, die gevoelige gegevens zijn in de zin van de GDPR, niet voldoende beveiligd waardoor verschillende personeelsleden het dossier van een bekend persoon konden inkijken. Daarvoor legde de Nederlandse gegevensbeschermingsautoriteit een boete op van €460.000 en een dwangsom teneinde tot een betere beveiligingsbeleid te dwingen.

 

Tenslotte heeft de Belgische gegevensbeschermingsautoriteit op 17 juni 2020 haar hoogste boete ooit, namelijk €600.000, opgelegd aan Google Belgium wegens de niet-naleving van het recht op gegevenswissing (het zgn. ‘recht op vergetelheid’). Deze beslissing toont aan dat er een stijgende trend waar te nemen is in het sanctiebeleid, hoewel dit anderzijds ook kan worden gerelativeerd gelet op de totale omzet van Google Belgium (boetes worden bepaald als een percentage van de omzet, maar er wordt daarbij ook rekening gehouden met een aantal verzachtende of verzwarende factoren). Voorheen was de hoogste boete vanwege de autoriteit in België €50.000. Hielke Heijmans, de voorzitter van de Geschillenkamer van de Gegevensbeschermingsautoriteit, noemde de beslissing “historisch”.

 

3.Statistieken en conclusies

Het aantal sanctiebeslissingen in het kader van de GDPR staat actueel op ongeveer 430 zaken, met een totaal opgelegd boetebedrag van om en bij €250.000.000. We zien daarbij ook een duidelijke stijging in het aantal opgelegde boetes per maand en een stijgend boetebedrag per maand, met een uitsteker in oktober 2020 waarin een bedrag van meer dan €78.000.000 over een twintigtal zaken werd opgelegd.

 

Op nationaal vlak heeft ook de Belgische gegevensbeschermingsautoriteit een aantal cijfers en statistieken gegeven naar aanleiding van de tweede verjaardag van de GDPR. Zo zijn er in het tweede jaar na de inwerkingtreding van de GDPR meer dan 100 inspecties uitgevoerd en 59 sancties uitgesproken. De Gegevensbeschermingsautoriteit is echter pas actief bezig met de handhaving van de GDPR sinds 25 mei 2019, wat volgens de Inspecteur-Generaal te wijten is aan de laattijdige benoeming van het Directiecomité van de Gegevensbeschermingsautoriteit. Volgens hem is de focus van het inspectiebeleid sinds 25 mei 2019 verlegd van reactieve naar proactieve handhaving. Het valt dus te verwachten dat de Gegevensbeschermingsautoriteit in de toekomst meer inspecties zal uitvoeren en zo haar handhaving zal uitbreiden.

 

De Europese Commissie stelt in haar Communicatie[1] met betrekking tot 2 jaar GDPR dat de GDPR in het algemeen haar doelstellingen heeft bereikt gedurende haar eerste twee levensjaren, maar nog op enkele punten aangescherpt kan worden zoals op het vlak van handhaving en meer bepaald grensoverschrijvende handhaving. De Commissie wijst daarbij op meer financiële en menselijke middelen die daartoe moeten ingezet worden, wat een plicht is van de Lidstaten volgens de Commissie. We kunnen dus verwachten in de nabije toekomst dat, naast versterkte handhavingsinitiatieven van de nationale gegevensbeschermingsautoriteiten, ook meer grensoverschrijdende handhavingsinitiatieven zullen starten.

 

Monard Law helpt u graag verder met uw vragen over de handhavingsinitiatieven van de nationale gegevensbeschermingsautoriteiten, grensoverschrijdende handhavingsinitiatieven of andere vragen en problemen betreffende de GDPR.

 

 

[1] Communication from the Commission to the European Parliament and the Council on Data Protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation, 24 juni 2020, COM (2020) 246 final.

Questions about this article? Ask our specialists