GDPR boete
Wie moet zich houden aan de GDPR?
De GDPR-verordening geldt voor alle ondernemingen en overheidsdiensten binnen de Europese Unie die persoonsgegevens verwerken en verzamelen.
​
Het begrip ‘persoonsgegevens’ omvat alle mogelijke gegevens en informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijk persoon. Men spreekt hier soms ook wel over ‘betrokkenen’. Kortom: als gegevens direct over een persoon gaan of naar deze persoon te herleiden zijn, is er al sprake van persoonsgegevens.
​
Onder persoonsgegevens kunnen heel wat zaken vallen. Denk bijvoorbeeld aan een e-mailadres, telefoonnummers of een IP-adres.
​
Voor de meeste ondernemingen betekent dit dat zij continu met persoonsgegevens in aanraking komen. Dit kan bijvoorbeeld gaan over klanten, leveranciers, medewerkers en misschien zelfs potentiële klanten waarvan reeds gevoelige gegevens werden verzameld.
Geldt de GDPR ook voor kleine bedrijven?
Absoluut. Alle ondernemingen vallen onder het toepassingsgebied van deze privacywetgeving. Hierbij speelt het geen enkele rol wat de wereldwijde jaaromzet van je bedrijf is, hoeveel werknemers je in dienst hebt, of je in een bepaalde sector werkt... Het doet er ook niet toe of het gaat om een klein bedrijf of een grote multinational.
​
Ook de vennootschapsvorm van je bedrijf is van geen enkel belang. Of je nu een BV of NV bent, de GDPR en bijgevolg ook de GDPR-boetes zijn zaken waar je verplicht bent rekening mee te houden en die je dus goed in het achterhoofd moet houden.
​
De GDPR is ook van toepassing op zelfstandigen.
Waarom moeten bedrijven rekening houden met de GDPR?
​
De GDPR is in het leven geroepen door de Europese Commissie met het doel om de Europese burger beter te beschermen op het vlak van privacy en gegevensbescherming. De identiteit van een persoon en de bescherming ervan staan als het ware centraal. Toestemming (consent) van de betrokkene speelt een belangrijke rol binnen de GDPR.
​
Langs de andere kant heeft de GDPR ook tot doel om ondernemingen op een meer bewuste en veiligere manier te laten omgaan met verzamelde gegevens. Door aan bedrijven wettelijke verplichtingen op te leggen, worden ze aangespoord hier werk van te maken.
​
Een onderneming heeft er alle baat bij om op een correcte en bewuste manier om te gaan met verzamelde gegevens. Dat is namelijk wat klanten en medewerkers appreciëren, waardoor er een groter vertrouwen in jouw onderneming komt.
​
GDPR-boetes moeten een incentive zijn om actief werk te maken van gegevensbescherming. Een GDPR-boete is immers iets wat je als bedrijf liever vermijdt. De expertise van Mr. Franklin kan hierbij helpen.
Welke verplichtingen moeten bedrijven naleven?
De manier waarop ondernemingen omgaan met persoonlijke gegevens en ze verwerken is onderworpen aan de verplichtingen uit de GDPR.
​
Een onderneming moet op elk ogenblik in staat zijn om te verantwoorden waarom en op welke manier er persoonsgegevens van de betrokkenen worden verzameld en verwerkt. Voor de verwerking van persoonsgegevens moet er ook steeds een verwerkingsgrond zijn. Bedrijven mogen dus niet zomaar gegevens van personen verzamelen of bijhouden en hebben een zekere verantwoordingsplicht. Daarnaast legt de GDPR nog een aantal andere verplichtingen op aan bedrijven.
​
Verwerkingsgronden
​
Er zijn meerdere verwerkingsgronden (‘rechtsgronden’) mogelijk, zoals de verwerkingsgrond ‘toestemming’. Indien de betrokken persoon zelf zijn of haar toestemming geeft, kan er dus een rechtvaardiging zijn tot het verwerken van gegevens.
​
Het krijgen van deze toestemming moet ook voldoen aan een aantal voorwaarden, die in de GDPR worden bepaald. Zo moet de betrokkene weten waarvoor er toestemming wordt gegeven, welke persoonsgegevens er zullen verwerkt worden, voor welk doel en voor hoe lang.
​
Er zijn naast deze specifieke toestemming ook nog andere verwerkingsgronden mogelijk, zoals een ‘gerechtvaardigd belang’ of een ‘wettelijke verplichting’. In totaal zijn er 6 mogelijke rechtsgronden op basis waarvan gegevens mogen worden verwerkt.
​
Register opstellen
Bedrijven zijn onder de GDPR ook verplicht om een register van de verwerkingsactiviteiten op te stellen en bij te houden. Het gaat hier om interne documentatie die bedrijven zelf bijhouden en waarin informatie wordt bijgehouden over de persoonsgegevens die worden verwerkt.
Het register moet leesbaar en begrijpelijk zijn voor de GBA. Daarom stelt ze op haar website zelf een modelformulier ter beschikking.
​
Bedrijven kunnen door de GBA gevraagd worden verantwoordingsplicht af te leggen met betrekking tot dit register. Daarom besteed je hier als onderneming best aandacht aan. Een expert van Mr. Franklin kan je hierbij helpen.
Andere GDPR verplichtingen
De GDPR bevat nog andere verplichtingen voor ondernemingen en zaken waar rekening mee moet worden gehouden. Zo is het soms verplicht een effectbeoordeling inzake gegevensbescherming (GEB) op te maken, indien de verwerking van persoonsgegevens een groot risico inhoudt voor de vrijheden en rechten van de betrokken persoon.
Ook is er voor betrokkenen bijvoorbeeld een recht om vergeten te worden.
​
Om er zeker van te zijn dat je als bedrijf volledig GDPR-proof bent en geen enkele verplichting over het hoofd ziet, doe je best een beroep op de expertise van Mr. Franklin.
Belgische toezichthoudende autoriteit
De Gegevensbeschermingsautoriteit (GBA) is de bevoegde Belgische toezichthoudende autoriteit die toeziet op de bescherming van de privacy bij de verwerking van persoonsgegevens.
​
Het gaat om een instelling van de overheid die de bevoegdheid heeft gekregen om toe te zien op de naleving van de GDPR. De Inspectiedienst van de GBA kan een onderzoek starten naar aanleiding van een klacht of op eigen initiatief. Daarna volgt een verslag aan de Geschillenkamer, het geschilorgaan van de GBA, die administratieve geldboetes kan opleggen aan ondernemingen die zich niet houden aan de GDPR.
​
In Nederland is de bevoegde gegevensbeschermingsautoriteit de Autoriteit Persoonsgegevens. Ook zij ziet toe op de naleving van de verplichtingen uit de GDPR en kan GDPR-boetes aan ondernemingen opleggen.
​
Overkoepelend binnen de Europese Unie bestaat er ook nog de European Data Protection Board (Europees Comité voor gegevensbescherming). Dit is een onafhankelijk Europees orgaan dat toeziet op de consequente toepassing van de GDPR en de samenwerking tussen de verschillende nationale gegevensbeschermingsautoriteiten bevordert.
Wanneer worden er GDPR boetes opgelegd?
Inbreuken op de GDPR kunnen aanleiding geven tot sancties. De Gegevensbeschermingsautoriteit (GBA) maakt na een onderzoek een verslag over aan de Geschillenkamer, die aan jouw onderneming een GDPR-boete oplegt wanneer een inbreuk op de GDPR wordt vastgesteld. Dit wordt ook wel de ‘procedure ten gronde’ genoemd.
​
Is er bijvoorbeeld geen correcte rechtvaardiging voor het verwerken van persoonsgegevens, of worden de gegevens te lang bewaard, dan loop je als onderneming het gevaar een GDPR-boete op te lopen.
Wanneer start de GBA een onderzoek?
Meestal loopt een procedure bij de GBA naar aanleiding van een klacht. Als iemand meent dat zijn of haar persoonsgegevens op een onjuiste manier verwerkt worden kan die persoon een klacht indienen bij de GBA. Denk bijvoorbeeld aan een klant, een zakenpartner of leverancier.
​
Ook zonder klacht kan de GBA op eigen initiatief een procedure starten en een onderzoek voeren naar hoe de gegevensverwerking binnen jouw onderneming loopt.
​
Het onderzoek binnen de GBA wordt gevoerd door de Inspectiedienst van de GBA.
Administratieve geldboete
GDPR-boetes kunnen hoog oplopen. Bij een overtreding of verschillende overtredingen van de GDPR kan de Gegevensbeschermingsautoriteit de betrokken onderneming een geldboete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming, naargelang welk bedrag het hoogste resultaat geeft.
Worden deze boetes effectief gegeven?
Ja, de Gegevensbeschermingsautoriteit zit niet stil en deelde al meerdere boetes uit aan ondernemingen die een of verschillende inbreuken op de GDPR begingen. In 2020 bijvoorbeeld werden er in totaal 83 beslissingen geveld, waarbij er 19 geldboetes aan ondernemingen werden opgelegd, voor een totaalbedrag van 885.000 euro.
​
De bedragen lopen soms ook hoog op. Zo werd op 14 juli 2020 een boete van 600.000 euro opgelegd aan Google Belgium, omdat uit onderzoek bleek dat het bedrijf het recht om vergeten te worden niet correct had nageleefd. Dit is de hoogste boete die tot nu toe door de GBA werd opgelegd.​
Wat kan Mr. Franklin voor jou betekenen?
​
GDPR Compliance
Mr. Franklin biedt all-in-one pakketten tegen vaste prijzen om ervoor te zorgen dat jouw bedrijf GDPR-proof is. Hierbij wordt een GDPR- en veiligheidsbeleid op maat opgesteld, zodat jij op beide oren kan slapen.
​
Er wordt rekening gehouden met de specifieke wensen van jouw bedrijf en manier van werken, jouw personeel, commerciële belangen en specifieke verwachtingen.
​
DPO as a service
Ook kan je een beroep doen op de advocaten van Mr. Franklin die kunnen optreden als gecertificeerde data protection officer (DPO). Een data protection officer is een onafhankelijk persoon binnen een onderneming die toeziet op de naleving van de GDPR.
​
Soms is het verplicht een DPO aan te stellen, vooral voor ondernemingen die veel gevoelige persoonsgegevens verwerken, zoals advocatenkantoren, dokterspraktijken en gerechtsdeurwaarderskantoren. Dit is nodig om de hoogstaande kwaliteit van de gegevensbeveiliging te kunnen garanderen.
​
Bijstand in procedures
Je kan bij Mr. Franklin ook terecht voor bijstand in procedures. Dit kan gaan om procedures voor de GBA, maar ook gerechtelijke procedures, bijvoorbeeld als je een opgelegde sanctie wilt aanvechten.
​
De GBA en Geschillenkamer hechten veel belang aan medewerking, zowel tijdens de onderzoeksfase als tijdens de procedure ten gronde. Daarom doe je best een beroep op de expertise en ervaring van de gespecialiseerde advocaten van Mr. Franklin. Op die manier kan je procedures en hoogoplopende boetes vermijden.
CONTACTEER ONS!
OOK ZIJ DEDEN EEN BEROEP OP MR. FRANKLIN
Mr. Franklin is voor ons, als onderneming in software, het ideale juridische aanspreekpunt. We werden al meermaals perfect bijgestaan bij contractuele en GDPR-gerelateerde uitdagingen. Hun no-nonsense aanpak en communicatie zorgt ervoor dat ik Mr. Franklin warm aanbeveel.
Alex Vandevelde / QuantaCorp
Mr. Franklin geeft altijd kwalitatief werk voor een duidelijke prijs.
Alain Carels / Carbofisc