De Gegevensbeschermingsautoriteit komt op kruissnelheid. En de boetes? Die volgen!

26 mei 2020 | Privacy

We schreven het al naar aanleiding van Data Protection Day: de speeltijd is voorbij. Na 2 jaar GDPR lijkt het er meer en meer op dat de Gegevensbeschermingsautoriteit (GBA) een zeer actieve rol wil spelen in de handhaving van onze privacy bij de verwerking van persoonsgegevens. 150.000 EUR aan boetes in 1 maand tijd, dat tikt aan.

De signaalfunctie van de boetes

Wanneer een mogelijke privacy inbreuk escaleert tot voor de geschillenkamer, dan heeft deze laatste een heel arsenaal voorhanden om hiertegen op te treden. Zij kan maatregelen bevelen om de verwerking in overeenstemming te brengen met de AVG, al dan niet met dwangsommen. Zij kan echter ook administratieve geldboetes opleggen, en dit volgens de criteria van art. 83 AVG.

Uit de recente beslissingen blijkt dat de GBA hierbij rekening houdt met het samenspel van de 2 factoren: de aard, ernst en duur van de inbreuk, en het opzettelijk karakter van de inbreuk (of de afwezigheid van “verschoonbaarheid”). Zelf zegt zij hierover dit te doen “met het oog op een krachtige handhaving van de regels van de AVG”.

Goodbye legalese – welkom transparante privacy verklaring!

In beslissing 24/2020 wordt de privacyverklaring van een verzekeringsmaatschappij als niet transparant gekwalificeerd, omdat ze geen onderscheid maakt tussen ‘gewone’ persoonsgegevens en gezondheidsgegevens (bijzondere persoonsgegevens). Dergelijk onderscheid is volgens de GBA van fundamenteel belang om te bepalen op welke rechtsgrond de verwerking kan worden gebaseerd voor een welbepaald doeleinde: dit kan het gerechtvaardigd belang zijn, maar voor sommige andere doeleinden moet dit de toestemming van de betrokkene zijn.

In deze context is het belangrijk kennis te hebben van de Richtsnoeren inzake toestemming, waarin duidelijk is bepaald dat een dienst meerdere verwerkingsactiviteiten voor meerdere doeleinden kan omvatten. In dergelijke gevallen zouden betrokkenen vrij moeten kunnen kiezen welk doeleinde ze accepteren, in plaats van toestemming te moeten verlenen voor een “pakket” verwerkingsdoeleinden. 

Bovendien is men ertoe gehouden om de betrokkene informatie te verstrekken omtrent de grondslag van het gerechtvaardigd belang wanneer hierop beroep wordt gedaan. 

Om informatiemoeheid te voorkomen (dixit GBA) kan dit gebeuren in een gelaagde privacyverklaring, zodat de betrokkene die enig wantrouwen koestert, kan doorklikken om meer te weten te komen over de afweging die wordt gemaakt om het gerechtvaardigd belang als rechtsgrond te kunnen gebruiken. 

De vrienden van je vrienden zijn niet je vrienden

Een social media platform laat zijn leden-gebruikers toe om hun vrienden uit te nodigen op het platform, en stelt daarvoor een functie ter beschikking die toelaat je hele adressenbestand op te laden zodat vervolgens email uitnodigingen kunnen verstuurd worden vanop het platform. Niets nieuws? In elk geval niet zo vanzelfsprekend!

In hoofde van het platform gaat het dus minstens om 2 verwerkingen: enerzijds het opslaan van de contacten van de gebruiker, en anderzijds het versturen van email uitnodigingen.

In beslissing 25/2020 maakt de GBA vele overwegingen, en oordeelt dat het platform geen wettelijke grondslag heeft om persoonsgegevens van niet-gebruikers te verwerken voor het versturen van die uitnodigingen. Niet-gebruikers zijn immers buitenstaanders, en van hun toestemming is geen sprake. Een gerechtvaardigd belang als alternatieve grondslag doorstaat de strenge 3-voudige toets niet: de doeltoets (de mogelijkheid voor de gebruiker om zijn netwerk uit te breiden) geniet enige clementie, maar de noodzakelijkheidstoets (rekening houdende met het beginsel van de minimale gegevensverwerking) faalt, net zoals de afwegingstoets.

Een correcte implementatie voor het uitnodigen van vrienden zou immers vereisen dat de opgeladen contacten enkel kortstondig worden verwerkt, om te verifiëren wie reeds gebruiker is, en dan vervolgens enkel verder te gaan met deze laatsten.

De beslissing laat ook nog maar eens haar licht schijnen over de laakbare praktijken van de aangevinkte selectievakjes: de toestemming die het platform inroept m.b.t. het versturen van uitnodigingen naar bestaande gebruikers uit het contactenbestand, is immers niet vrij, omdat het platform deze bestemmelingen zelf selecteert. De toestemming vereist echter een wilsuiting, en deze komt volgens het Hof van Justitie enkel tot stand door een actieve gedraging.

Geef de DPO wat de DPO toekomt

Voor wie nog anders zou denken, in beslissing 18/2020 preciseert de GBA dat de functionaris voor de gegevensbescherming voldoende en tijdig betrokken moet worden, en dat dit impliceert dat hij geconsulteerdmoet worden, en niet geïnformeerd. Voor de liefhebbers van RACI-tabellen: stop de DPO dus in het juiste vakje!

Interessanter wordt deze beslissing echter wanneer geoordeeld wordt dat de functie van DPO niet verzoenbaar is met de functie als hoofd Compliance, Interne Audit & Risk Management, en bij uitbreiding met welke functie dan ook als hoofd van een departement, en dit in relatie tot de activiteiten van dat departement.

De GBA lijkt hiermee verder te gaan dan de Richtsnoeren van Groep 29, waar dergelijk conflict enkel vastgesteld wordt ten aanzien van functies met grote data-impact.

Vooraleer we alle diensthoofden en directeurs die binnen hun organisatie ook de rol van DPO vervullen,  een stoelendans laten doen, lijkt het aangewezen een analyse te maken van welke situaties tot een belangenconflict kunnen leiden, en hiervoor mitigerende maatregelen te voorzien in het DPO charter. Wellicht kan het volstaan om in die gevallen het DPO-hoedje even af te zetten.

Conclusie 

Na 2 jaar AVG is het duidelijk dat de speeltijd voorbij is. De toezichthouders (en niet enkel de GBA) maken actief gebruik van de hen toegekende bevoegdheden om één en ander scherp te stellen. Ook al kan het in theorie nog veel meer zijn, 3 boetes van 50.000 EUR is niet betekenisloos.

Voel je zelf de druk om je in regel te stellen? Of de stress van de onzekerheid of je wel in regel bent? Bij deJuristen begeleiden we je privacy traject van A tot Z.

‘A’ is de GDPR Audit: onze privacy specialisten gaan met een vergrootglas door je organisatie en stellen een rapport op met hun bevindingen en aanbevelingen. Zodat je weet waar je staat en daarmee aan de slag kunt.

Ben je gebaat bij verdere ondersteuning, door een onafhankelijke partner? Onze DPO-as-a-Service kan een oplossing bieden en jou een stuk ontzorgen. 

Contacteer ons op hallo@dejuristen.be  en we bekijken samen hoe we jouw organisatie het best kunnen bijstaan.

Geschreven door Duygu Öztürk, Legal Adviser & Privacy Chair deJuristen en Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance