Boete GBA

Boete GBA

Boete GBA


Inbreuken op de GDPR kunnen gesanctioneerd worden door de bevoegde autoriteit. In België is dit de Gegevensbeschermingsautoriteit of kortweg de GBA. De GBA legt administratieve boetes op aan de inbreukmakende ondernemingen voor het niet-naleven van de GDPR.


Aangezien deze boetes hoog kunnen oplopen, hou je als onderneming dus best rekening met de verplichtingen uit de GDPR. Mr. Franklin kan jou hierbij helpen, zodat jij op beide oren kan slapen.



Wie moet zich houden aan de GDPR?


Deze vraag valt eenvoudig te beantwoorden. Alle ondernemingen moeten zich namelijk houden aan de GDPR. De privacyrichtlijn geldt voor alle bedrijven en overheidsdiensten binnen de Europese Unie die persoonsgegevens verwerken en verzamelen.


Onder het begrip ‘persoonsgegevens’ verstaat men alle mogelijke gegevens en informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijk persoon. Men spreekt hier soms ook wel over ‘betrokkenen’. Met andere woorden: als gegevens direct over een persoon gaan of naar deze persoon te herleiden zijn, is er sprake van persoonsgegevens. Denk hierbij bijvoorbeeld aan een e-mailadres, telefoonnummers of een IP-adres.


Dit betekent voor de meeste ondernemingen dat zij continu met persoonsgegevens in aanraking komen, zoals bijvoorbeeld met betrekking tot (potentiële) klanten, leveranciers of medewerkers van het bedrijf.



Waarom moeten bedrijven rekening houden met de GDPR?


De GDPR werd in 2018 door de de Europese Commissie in het leven geroepen met het oog op een betere bescherming van de Europese burgers wat betreft hun privacy en de gegevensbescherming. De GDPR geeft meer transparantie met betrekking tot verwerkte gegevens en versterkt de rechten van betrokken personen. Anderzijds heeft de GDPR ook tot doel om ondernemingen op een bewuste en veilige manier te laten omgaan met verzamelde gegevens. Door aan bedrijven wettelijke verplichtingen op te leggen, worden zij aangespoord werk te maken van een degelijk privacybeleid.


Als onderneming heb je er veel baat bij om op een correcte en bewuste manier om te gaan met verzamelde gegevens. Dit is namelijk wat klanten en medewerkers verwachten en waarderen, waardoor er een groter vertrouwen komt in jou en je onderneming.


GDPR-boetes zijn een incentive om actief werk te maken van gegevensbescherming en privacy. Een GDPR-boete is immers iets wat je als bedrijf liever vermijdt. Niet enkel kunnen de boetes hoog oplopen, de uitspraken van de GBA worden ook gepubliceerd op de bevoegde website. Doe daarom een beroep op de expertise van Mr. Franklin en maak jouw onderneming GDPR-proof in no time!



Welke verplichtingen moeten bedrijven naleven?


De GDPR legt heel veel verplichtingen op aan Europese ondernemingen. De manier waarop een bedrijf omgaat met persoonlijke gegevens van een betrokken persoon en deze verder verwerkt is onderworpen aan de GDPR-verplichtingen.



Verwerkingsgronden & geldige toestemming


Voor de verwerking van persoonsgegevens is bijvoorbeeld steeds een geldige reden nodig. Men spreekt hier over verwerkingsgronden (‘rechtsgronden’). De belangrijkste verwerkingsgrond is ongetwijfeld de toestemming van de betrokken burger zelf. Deze toestemming moet geldig zijn en dus aan een aantal voorwaarde voldoen. Ook een ‘gerechtvaardigd belang’ of een ‘wettelijke verplichting’ zijn geldige verwerkingsgronden.



Andere verplichtingen


In sommige gevallen is het daarnaast ook verplicht een DPO (Data Protection Officer) aan te stellen. Meer over DPO’s en wat Mr. Franklin op dit vlak voor uw bedrijf kan betekenen lees je hier.


Daarnaast zijn er nog tal van andere GDPR-verplichtingen, waarover je op deze pagina meer informatie terugvindt. Zo moeten bedrijven passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen en moeten datalekken tijdig worden gemeld aan de bevoegde autoriteit. Ook moet er een register worden bijgehouden van de verwerkingsactiviteiten van een onderneming, het zogenaamde ‘verwerkingsregister’.



Belgische toezichthoudende autoriteit


De Gegevensbeschermingsautoriteit (GBA) is de bevoegde Belgische gegevensbeschermingsautoriteit die toeziet op de bescherming van de privacy bij de verwerking van persoonsgegevens door ondernemingen. Zij ziet met andere woorden toe op de naleving van de GDPR.



Boete GBA


De GBA oordeelt als toezichthoudende autoriteit of de GDPR werd geschonden en kan vervolgens de inbreukmakende ondernemingen sanctioneren door het opleggen van administratieve boetes.


De inspectiedienst van de GBA kan een onderzoek starten naar aanleiding van een klacht of op eigen initiatief. Het is vervolgens de Geschillenkamer van de GBA die zal overgaan tot het eventueel opleggen van een geldelijke boete.



Administratieve boete


De boetes die opgelegd worden door de GBA zijn administratieve geldboetes, die hoog kunnen oplopen. Bij overtredingen van de GDPR kan de GBA een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet van het bedrijf, naargelang welk bedrag het hoogste resultaat geeft.



Worden er al boetes aan ondernemingen opgelegd?


Ja, de Gegevensbeschermingsautoriteit is de laatste tijd erg actief wat betreft het uitvoeren van controles en gaf ook al enkele boetes aan ondernemingen die niet min waren. Uitkijken geblazen dus! Wij geven hierna enkele voorbeelden van boetes die werden opgelegd door de GBA.


In 2021 legde de GBA een boete van 50.000 euro op aan het bedrijf Family service, een marketingbedrijf dat aanstaande moeders zogenaamde ‘roze dozen’ aanbiedt, pakketten met daarin stalen, informatiefiches en speciale aanbiedingen. De GBA stelde vast, naar aanleiding van een klacht dat het bedrijf persoonsgegevens verkocht en verhuurde voor commerciële doeleinden. De communicatie naar de klanten toe verliep niet op een duidelijke en correcte manier en er was sprake van een onrechtmatige verwerking van persoonsgegevens.


Google Belgium werd in 2020 veroordeeld tot een administratieve boete van maar liefst 600.000 euro. Tot nu toe is dit de hoogste GDPR-boete die door de GBA aan een onderneming werd opgelegd. De inbreuk op de GDPR bestond eruit dat Google geen gehoor gaf aan het recht van een burger om vergeten te worden. De betrokken persoon diende een verzoek in om verouderde artikelen die zijn reputatie schaden te verwijderen. Google besloot het hier niet bij te laten en er werd beroep ingesteld, maar ook in beroep werd Google op de vingers getikt.



Wat kan Mr. Franklin voor jou betekenen?


Aangezien bij de niet-naleving van de GDPR stevige sancties boven het hoofd van een onderneming hangen, doe je er goed aan jouw privacybeleid op punt te stellen. Mr. Franklin biedt all-in-one pakketten tegen vaste prijzen, zodat jouw onderneming GDPR-proof door het leven kan gaan.


Daarnaast kan je een beroep doen op de advocaten van Mr. Franklin die kunnen optreden als gecertificeerde DPO’s. Je kan bij Mr. Franklin ook terecht voor bijstand in procedures. Dit kan gaan om procedures voor de GBA of gerechtelijke procedures, bijvoorbeeld als je een opgelegde sanctie wilt aanvechten.


Lees meer over de meerwaarde van een externe DPO.



CONTACTEER ONS


Mr. Franklin staat voor een innovatieve en telkens kwalitatieve service. Wij hechten veel belang aan de continue verbetering van onze expertise.


Voor meer informatie omtrent onze diensten kan je ons steeds vrijblijvend contacteren. Onze experts staan je graag met raad en daad bij.


Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be