De Gegevensbeschermingsautoriteit (kort: GBA) heeft 2019 afgesloten met het uitschrijven van een boete voor een website die niet in orde was met haar privacy- en cookiebeleid. De website waarvan sprake was bovendien gespecialiseerd in juridisch nieuws, maar blijkbaar niet helemaal mee met de regels die van toepassing zijn op het gebruik van cookies. Het is meteen de eerste keer dat de GBA een dergelijke boete uitschrijft, maar ongetwijfeld niet de laatste keer.
Verloop
Reeds in maart 2019 werd de geviseerde website op de hoogte gebracht van de inbreuken die de GBA had aangetroffen op de website. De website kreeg de mogelijkheid om aanpassingen door te voeren en maakte daar gebruik van.
Echter, toen de GBA in mei het eindverslag opmaakte, stelde ze vast dat er effectief aanpassingen waren doorgevoerd, maar dat deze niet voldoende waren om de volledige website in orde te stellen met de Algemene Verordening Gegevensbescherming (kort: AVG).
Uiteindelijk besliste de Geschillenkamer van de GBA om de website een administratieve geldboete van 15.000 EUR op te leggen.
Inbreuken
Concreet stelde de GBA vast dat de privacy policy en cookie policy niet eenvoudig toegankelijk waren voor de gebruikers van de website en dat de privacy policy in het Engels was opgemaakt, terwijl de website zich richt op een Nederlands- en Franstalig publiek.
Verder ontbrak in de privacy policy bepaalde, door de wet verplichte, informatie. Zo bevatte de website geen vermelding van de identiteit en contactgegevens van de verwerkingsverantwoordelijke. Ook ontbrak de vermelding van de rechten van de betrokkenen, de rechtsgrond van de verwerking en de verwerkingsdoeleinden.
De cookie policy strookte ook niet met de geldende wetgeving. De website voorzag niet in een toestemmingsproces vooraleer er cookies geplaatst werden op de computer van de websitegebruiker, en deed dit onder het mom van ‘gerechtvaardigd belang’. De GBA is echter tot de beslissing gekomen dat de cookies in kwestie niet strikt noodzakelijk zijn en dat de AVG dus overtreden is.
In een latere versie werd wel voorzien in het concept van toestemming, maar waren de vakjes daarvoor al aangekruist. Ook dit gaat in tegen de bepalingen van de AVG en kan niet worden beschouwd als een geldige toestemming. Het is immers geen toestemming die verkregen wordt als gevolg van een actie van de gebruiker.
Conclusie
Deze beslissing van de GBA kan gelden als een stevig statement. Veel websites zijn vandaag immers nog steeds niet in orde met de verplichtingen die de AVG hen oplegt. Velen hebben de kat uit de boom gekeken, en dachten dat er een gedoogbeleid was, maar deze beslissing bewijst nu het tegendeel. Bovendien leert de praktijk ons dat er veel dom gekopieerd wordt; geen enkele situatie is echter exact dezelfde en een goede cookie policy die stand houdt, vergt dan ook een individuele aanpak die rekening houdt met de concrete situatie, de regels die er op van toepassing zijn, en de interpretatie van de GBA.
Voor wie boetes wil vermijden, of vragen heeft over zijn cookie/privacy policy, één adres: hallo@dejuristen.be.
Geschreven door Johanna Coppens, Legal adviser deJuristen en Kris Seyen, Partner deJuristen
