Klacht indienen bij GBA

Klacht indienen bij GBA

Wat als mijn klanten een klacht indienen bij GBA?


In het kader van GDPR-regelgeving kan men een klacht indienen bij GBA in het geval dat de verwerking van zijn of haar persoonsgegevens de privacywetgeving schendt. Veel ondernemers vragen zich dan ook af wat de gevolgen van zo’n klacht kunnen zijn. Mr. Franklin licht de procedure toe en vertelt hoe bedrijven zich ertegen kunnen wapenen.


Kan iedereen zomaar een klacht indienen bij GBA?


In principe kan iedereen een klacht indienen bij de Gegevensbeschermingsautoriteit indien hij of zij van mening is dat bij de verwerking van zijn of haar eigen persoonsgegevens een inbreuk op de AVG-normeisen met betrekking tot gegevensbescherming werd gepleegd.


Toch raadt de Gegevensbeschermingsautoriteit het aan om eerst een verzoek tot informatie of bemiddeling in te dienen vooraleer een klacht te overwegen. Pas indien deze twee opties niet voor de juiste oplossing kunnen zorgen zou men een klachtprocedure moeten starten. Deze procedure is zowat het “ultieme” middel om een organisatie ter verantwoordelijkheid te roepen voor de gepleegde inbreuken op privacywetgeving.


De autoriteit die de klachten ontvangt en behandelt is de Geschillenkamer van de Gegevensbeschermingsautoriteit. Bijstand van de advocaat is in het kader van deze procedure niet verplicht maar wel aan te raden.


Ook moet de betrokkene eerst zijn rechten hebben uitgeoefend. Pas indien de uitoefening van rechten van de betrokkene niet het gewenste resultaat oplevert, is een klacht aan de orde.


Zijn er nog andere mogelijkheden?


Een klacht is niet de enige mogelijkheid om inbreuk op de gegevensbescherming aan te kaarten. Zo zijn er nog twee andere opties: een informatieverzoek en een bemiddelingsverzoek.


Een informatieverzoek kan een antwoord bieden op specifieke vragen rond gegevensbescherming. Een bemiddelingsverzoek is aan de orde wanneer de klager liever een minnelijke oplossing zoekt.


Wat als iemand een klacht indient tegen jouw onderneming?


Sinds de inwerkingtreding van de AVG moet elke lidstaat van de Europese Unie een onafhankelijke overheidsinstantie hebben die toezicht houdt op de naleving van de AVG-normen. In België is dit de Gegevensbeschermingsautoriteit (GBA).


Een klacht kan uiteraard tot sancties leiden. Dit kan zich uiten in het opleggen van een administratieve geldboete of het nemen van corrigerende maatregelen. De GBA kiest tussen deze opties afhankelijk van de concrete situaties. Daarbij moet de sanctie steeds evenredig, noodzakelijk en gepast zijn.


Administratieve geldboete


De GBA kan in bepaalde gevallen een administratieve geldboete opleggen. In dit geval moet de Gegevensbeschermingsautoriteit ervoor zorgen dat de boete doeltreffend maar evenredig is. Om het concreet bedrag te berekenen houdt de Gegevensbeschermingsautoriteit rekening met verschillende factoren, zoals:


  • de duur en de ernst van de inbreuk;

  • de schade en het aantal getroffenen maatregelen zoals GDPR documenten die voorhanden zijn (verwerkingsregister, priacybeleid, interne procedures rond datalekken…).


Let op: zo’n geldboete is geen lachertje. In uitzonderlijke gevallen kan het namelijk oplopen tot 10 miljoen EUR of 4% van de totale wereldwijde jaaromzet.


Corrigerende maatregelen


De GBA kan ervoor opteren om corrigerende maatregelen te nemen. Zo kan de GBA onder meer een tijdelijk of definitief verbod op de verwerking van persoonsgegevens opleggen, de onderneming in kwestie verplichten om de verzoeken van de klachtindiener tot uitoefening van zijn rechten in te willigen of een verplichting opleggen om binnen een bepaalde termijn de verwerking van persoonsgegevens GDPR-conform te maken.


Hoe kan een onderneming zich tegen de klachten wapenen?


Voorkomen is beter dan genezen. Het is dus eenvoudiger (en ook kostenbesparend) voor de onderneming om GDPR-compliant te opereren en zo de eventuele klachten over de onrechtmatige verwerking van persoonsgegevens te vermijden.


De mogelijke complicaties van zo'n onrechtmatige verwerking zijn niet te onderschatten. Bovendien wordt de wetgeving relatief vaak aangevuld door belangrijke rechtspraak waardoor het steeds belangrijk blijft om het beleid van je onderneming up-to-date te houden.


Het kan daarom nuttig zijn om uw onderneming op punt te stellen met de AVG door het uitvoeren van een GDPR audit. Tevens kan uw onderneming een externe Data Protection Officer aanstellen. Een Data Protection Officer ziet erop toe dat de GDPR-normeisen binnen een organisatie nageleefd worden. In bepaalde gevallen werd het aanstellen van een DPO verplicht gemaakt door de wet.


Heeft jouw onderneming voorlopig geen nood aan een Data Protection Officer, dan is het alsnog aan te raden om een GDPR-expert onder de arm te nemen. Een legal counsel gespecialiseerd in privacy zal je helpen om jouw onderneming GDPR-proof te maken, zodat jouw onderneming juridisch in orde is en blijft.


Mr. Franklin


Mr. Franklin is een advocatenkantoor gespecialiseerd in het aanbieden van allerlei GDPR-services. Ook telt ons team drie gecertificeerde Data Protection Officers. Al onze advocaten hebben ze ruime ervaring bij de ondersteuning van allerlei soorten bedrijven en overheden op vlak van GDPR.


We nemen graag de juridische zorgen met betrekking tot privacy van jou over. Onze advocaten staan jou met raad en daad bij in het kader van allerlei privacy-gerelateerde procedures.


Bovendien hebben we ook een bijzondere expertise op vlak van informatiebeveiliging: we zijn één van de weinige Belgische kantoren die de implementatie van ISMS en ISO 27001 certificering ondersteunen.


Als Mr. Franklin streven we naar persoonlijke aanpak op maat waarbij transparantie over de kosten een topprioriteit is. We werken daarom zo veel mogelijk met all-in formules aan vaste tarieven. De prijzen voor onze all-in-one pakketten starten vanaf 2.000,00 € + BTW.


Contacteer ons


Voor meer informatie omtrent onze diensten kan je ons steeds vrijblijvend contacteren.


Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be