Een van de verwezenlijkingen van de GDPR is dat elke lidstaat van de Europese Unie minstens één onafhankelijke overheidsinstantie moet hebben die erop toeziet dat de GDPR nageleefd wordt. De Gegevensbeschermingsautoriteit (GBA) is de toezichthoudende autoriteit in België. Naast onderzoeks-, autorisatie- en adviesbevoegdheden, treedt de GBA sanctionerend op wanneer deze inbreuken op de GDPR vaststelt. Hoe zit dat met die sancties?
Corrigeren dan wel sanctioneren
Wanneer de GBA in het kader van een controle of in een geschil na klacht van een betrokkene vaststelt dat een verwerkingsverantwoordelijke of een verwerker een inbreuk heeft gemaakt op de GDPR, dan zou de autoriteit kunnen beslissen deze een administratieve geldboete op te leggen. Je zal straks zien dat dergelijke geldboetes zeer hoog kunnen oplopen.
Voor lichte tekortkomingen zal de autoriteit milder optreden en in plaats van een geldboete, een of meer corrigerende maatregelen opleggen. Maar het een sluit het ander niet uit.
Afhankelijk van de concrete situatie kan de GBA immers beslissen een administratieve geldboete te combineren met een of meerdere corrigerende maatregelen.
De GBA zal dit niet zomaar willekeurig bepalen. Wat de autoriteit precies oplegt moet passend, noodzakelijken evenredig zijn met het oog op de naleving van de GDPR. Daarbij moet ze rekening houden met de omstandigheden van elk individueel geval. Bovendien moet iedere persoon ten aanzien van wie een individuele maatregel wordt genomen, eerst de kans hebben gehad om te worden gehoord. Ten slotte moeten overbodige kosten en buitensporige ongemakken voor de personen in kwestie worden vermeden.
Corrigerende maatregelen
Er zijn een heel aantal mogelijkheden waarmee de GBA correctief kan optreden ten aanzien van de verwerker of verwerkingsverantwoordelijke:
- waarschuwen dat waarschijnlijk een inbreuk zal gepaard gaan met de voorgenomen verwerkingen;
- berispen wanneer bij bepaalde verwerkingen inbreuk is gemaakt op de GDPR;
- gelasten de verzoeken van de betrokkenen tot uitoefening van zijn rechten in te willigen;
- gelasten om bepaalde verwerkingen in overeenstemming te brengen met de GDPR (op een welbepaalde manier en binnen een bepaalde termijn);
- de verwerkingsverantwoordelijke gelasten een inbreuk aan de betrokkene mee te delen;
- tijdelijk of definitief een verwerkingsbeperking (bv. een verwerkingsverbod) opleggen;
- rectificeren (corrigeren) of wissen van persoonsgegevens;
- kennisgeving aan de ontvangers van de persoonsgegevens die zoals hierboven moeten worden gerectificeerd/gewist/waarvan de verwerking beperkt moet worden;
- intrekken van een certificering, het certificeringsorgaan opleggen een certificering in te trekken, of het certificeringsorgaan opleggen geen certificering af te geven indien niet langer aan de cerificeringsvereisten voldaan is;
- de opschorting opleggen van gegevensstromen naar een ontvanger die zich buiten de Europese Economische Ruimte bevindt.
Administratieve geldboetes
Wanneer de GBA een administratieve geldboete oplegt, moet die telkens in elke zaak doeltreffend, evenredig en afschrikkend zijn. Hiertoe houdt de autoriteit bij de beslissing óf een dergelijke geldboete wordt opgelegd en wat de omvang daarvan is, rekening met een heel aantal factoren. Dat is natuurlijk om zo goed mogelijk aan te sluiten bij de concrete situatie van de inbreuk. Het gaat onder meer om:
- de aard, de ernst en de duur van de inbreuk;
- de aard, de omvang of het doel van de verwerking in kwestie;
- het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
- de opzettelijke of nalatige aard van de inbreuk;
- de maatregelen die de verwerkingsverantwoordelijke of de verwerker genomen heeft om de geleden schade te beperken;
- eerdere GDPR inbreuken door de verwerkingsverantwoordelijke of de verwerker;
- de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft (dit heeft tot gevolg dat de omvang van de geldboete hoger zal zijn naarmate de inbreuk gevoelige gegevens betreft);
- al dan niet gemaakte financiële winsten of vermeden verliezen die al dan niet rechtstreeks uit de inbreuk voortvloeien.
De GBA deelt een aantal inbreuken op in twee categorieën.
Voor de eerste categorie van inbreuken zou de GBA een administratieve geldboete kunnen opleggen tot 10 miljoen euro of tot 2% van de totale wereldwijde jaaromzet van de betrokken onderneming in het voorgaande boekjaar (indien dit laatste cijfer hoger ligt).
Voorbeelden van dergelijke inbreuken zijn, wanneer:
- Je als verwerkingsverantwoordelijke of verwerker niet voldoet aan je verplichting om een register van de verwerkingsactiviteiten te houden of wanneer dat register niet de noodzakelijke elementen bevat die de GDPR vereist;
- Je als verwerkingsverantwoordelijke of verwerker niet voldoende technische en organisatorische maatregelen hebt genomen om persoonsgegevens te beveiligen (bv. via pseudonimisering, encryptie of regelmatige back-ups);
- Er geen DPO is aangewezen overeenkomstig de GDPR wanneer dit vereist was ;
- Er geen DPIA is gevoerd overeenkomstig de GDPR wanneer dit vereist was;
- Er geen voorafgaande raadpleging is gebeurd door de verwerkingsverantwoordelijke en dit vereist was.
De tweede categorie betreft inbreuken die zo fundamenteel zijn, dat ze tot nog hogere administratieve geldboetes kunnen leiden, namelijk tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van het voorafgaande boekjaar (indien dit laatste cijfer hoger ligt).
Het gaat dan meer bepaald om:
- inbreuken op de algemene beginselen inzake gegevensverwerking;
- het ontbreken van een wettelijke verwerkingsgrond;
- wanneer de verwerking berust op toestemming, maar die toestemming niet voldoet aan de voorwaarden uit de verordening;
- wanneer gevoelige gegevens worden verwerkt, maar deze verwerking niet gegrond is op een van de uitzonderingsgronden uit de verordening;
- wanneer de rechten van de betrokkenen (bv. recht op vergetelheid) niet worden gerespecteerd overeenkomstig de verordening;
- wanneer eerdere door de GBA opgelegde corrigerende maatregelen niet worden nageleefd.
Stel dat er meerdere inbreuken worden gepleegd, dan zal de totale administratieve geldboete niet hoger liggen dan die voor de zwaarste inbreuk.
Conclusie
Inbreuken op de GDPR kunnen je als verwerkingsverantwoordelijke of verwerker flink zuur opbreken. Vooral als jouw bedrijvigheid focust op het verwerken van grote hoeveelheden persoonsgegevens van een groot aantal betrokkenen, of wanneer je gevoelige gegevens verwerkt, kan je maar best GDPR compliant zijn, want de bedragen die je boven het hoofd hangen, zijn niet van de poes.
Vind je het lastig om dit allemaal goed in te schatten? Je kan ons hierover steeds contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen
