GDPR KLACHT
INDIENEN
Een GDPR-klacht indienen: wat zijn de gevolgen?
Met de opkomst van de GDPR-wetgeving hecht iedereen steeds meer waarde aan zijn of haar privacy. Veel ondernemingen zijn dan ook (terecht) bezorgd om de tevredenheid van de klanten over de bescherming van hun persoonlijke gegevens. Kan iedereen een GDPR-klacht indienen? En wat zijn daar de gevolgen van? De privacy experts van Mr. Franklin lichten de mogelijke scenario’s toe.
Wettelijke verplichting voor bedrijven om GDPR-conform te opereren
Sinds 2018 geldt de GDPR-wetgeving voor alle entiteiten die persoonlijke gegevens verwerken, in alle lidstaten van de Europese Unie.
​
Persoonsgegevens zijn gegevens waarmee levende natuurlijke personen geïdentificeerd kunnen worden (denk bijvoorbeeld aan een IP-adres, telefoonnummer, e-mailadres en dergelijke). De verwerking ervan kan een aanzienlijk privacy-risico inhouden voor de betrokkenen.
​
Het begrip “verwerking” wordt door de wet ruim ingevuld, waardoor de kans zeer reëel is dat jouw onderneming ook aan verwerking van persoonsgegevens doet. In deze blogpost van Mr. Franklin lees je wat de onderneming te wachten staat indien ze niet de GDPR-conforme gegevensbescherming garandeert.
​
​
Kan men zomaar een GDPR-klacht indienen?
Onverminderd andere mogelijkheden tot administratief beroep of voorzieningen in rechte, kan de betrokkene een klacht indienen bij de toezichthoudende autoriteit, indien hij van mening is dat bij de verwerking van zijn persoonsgegevens een inbreuk op de GDPR-wetgeving werd gepleegd.
​
Alvorens een klacht in te dienen, raadt de Gegevensbeschermingsautoriteit (GBA) aan om een informatie- of een bemiddelingsverzoek in te dienen. Een informatieverzoek kan een antwoord bieden op specifieke vragen rond de bescherming van persoonsgegevens. Een bemiddelingsverzoek is aan de orde wanneer de klager liever een minnelijke oplossing zoekt.
​
Indien deze twee opties niet het gewenste resultaat kunnen opleveren, kan men ook een klacht indienen. De Geschillenkamer zal de klacht behandelen. Daarbij kan men zich eventueel laten bijstaan door een advocaat, hoewel dit niet verplicht is.
​
Vooraleer een klacht in te dienen, moet de betrokkene eerst zijn rechten hebben uitgeoefend. Heeft het uitoefenen van deze rechten niet het beoogde resultaat opgeleverd, dan is het neerleggen van een klacht aan de orde. In sommige gevallen adviseert de Gegevensbeschermingsautoriteit om de gegevensverantwoordelijke te raadplegen.
​
Hoe kan men een GDPR klacht indienen?
Het praktisch gedeelte van het indienen van een klacht is zeer eenvoudig. Eenieder kan het klachtenformulier downloaden, invullen, ondertekenen en versturen. In principe moeten de contactgegevens van de betrokkene vermeld worden bij het indienen van de klacht. In zeer uitzonderlijke gevallen kan de klacht wel anoniem behandeld worden.
​
Let op: een klacht kan ook worden geseponeerd. Dit gebeurt indien de klacht niet aan bepaalde voorwaarden voldoet. Op de website van de Gegevensbeschermingsautoriteit vind je de richtlijnen van het sepotbeleid.
Wat kan de toezichthoudende autoriteit doen?
Gegevensbeschermingsautoriteit (GBA) is de toezichthoudende autoriteit inzake de bescherming van persoonsgegevens. Het is dan ook de GBA die klachten of verzoeken in de eerste instantie inspecteert.
​
​
Informatieverzoek
Indien er een informatieverzoek ingediend wordt, geeft de Gegevensbeschermingsautoriteit binnen 1 maand antwoord. In bepaalde gevallen en indien de GBA het nuttig acht, kan er ook een onderzoek worden ingesteld. Dit onderzoek verloopt volledig intern, wat dus wil zeggen dat de informatiezoekende geen inzicht krijgt in het verloop of de resultaten van de procedure.
​
Zo’n onderzoek kan echter wel resulteren in sancties, opgelegd aan de onderneming.
​
​
Verzoek tot bemiddeling
​
Kiest men daarentegen voor een bemiddelingsverzoek, dan probeert de Gegevensbeschermingsautoriteit een akkoord te bereiken tussen de verzoeker en de onderneming in kwestie. Lukt het niet om tot een akkoord te komen, dan kan de Gegevensbeschermingsautoriteit het bemiddelingsverzoek omzetten in een klacht. Daarvoor is de toestemming van de betrokkene vereist.
​
​
Behandeling van een klacht
​
Een klacht indienen is de meest verregaande procedure. Daarom kleven daar ook bepaalde formaliteiten aan en neemt de behandeling van een klacht veel tijd in beslag. Daarbij is de Geschillenkamer van de Gegevensbeschermingsautoriteit niet verplicht om elke klacht ten gronde te behandelen. Dit wil zeggen dat niet alle klachten inhoudelijk onderzocht worden.
​
Indien de Geschillenkamer wel van oordeel is dat de klacht verder beoordeeld moet worden, zal de klager worden uitgenodigd om conclusies neer te leggen. Zoals eerder vermeld, is bijstand van de advocaat in deze procedure niet verplicht. Toch raden we iedereen aan een juridische GDPR-expert onder de arm te nemen.
​
De Geschillenkamer van de GBA kan bepaalde sancties opleggen aan de inbreukmakende onderneming, maar heeft niet de bevoegdheid om een schadevergoeding toe te kennen aan de klager. Een geldboete is wel aan de orde.
​
​
Duur van de behandeling
​
De GBA meldt dat de stroom van inkomende klachten de laatste tijd enorm is toegenomen. Het zal daarom meerdere maanden duren vooraleer de Geschillenkamer de klacht zal bekijken. Indien er een bijkomend onderzoek of een inspectie ingesteld moet worden, zal de duur van de procedure des te meer toenemen. Wie een klacht indient, moet dus niet meteen een antwoord verwachten.
Wie is Mr. Franklin?
Mr. Franklin staat voor innovatieve en kwalitatieve service. Wij hechten veel belang aan continue verbetering van onze expertise.
​
Mr. Franklin telt drie gecertificeerde DPO's; alle drie hebben ze ruime ervaring bij allerlei soorten bedrijven en overheden. Onder meer werd Mr. Franklin aangesteld als DPO bij ondernemingen in de zorgsector, IT-ondernemingen, online-advertentiebedrijven, ondernemingen in de juridische sector zoals advocatenkantoren, gerechtsdeurwaarderskantoren en notarissen en (toeleveranciers van) overheden.
​
​
Hoe kan een DPO helpen?
Een Data Protection Officer (DPO) is een onafhankelijk persoon die toeziet op de naleving van de GDPR binnen een onderneming. Soms wordt een Data Protection Officer ook functionaris gegevensbescherming genoemd.
​
Overheden en hun medewerkers, IT-bedrijven en platformen die data hosten, ondernemingen die veel gevoelige persoonsgegevens verwerken, zoals onder andere advocatenkantoren, dokterspraktijken en gerechtsdeurwaarderskantoren moeten verplicht een DPO aanstellen. Dit is wettelijk vereist om de hoogstaande kwaliteit van de gegevensbescherming te kunnen waarborgen.
​
Veel ondernemingen stellen ook een externe Data Protection Officer aan om er zeker van te zijn dat de gegevensverwerking GDPR-conform verloopt. Op die manier kan een onderneming de kans op GDPR-klachten verlagen en bijgevolg forse geldboetes vermijden. Meer over DPO as a service vind je hier.
​
​
Waarom kiezen voor GDPR services van Mr. Franklin?
Wij bieden all-in-one GDPR-formules aan tegen vaste prijzen om een GDPR- en veiligheidsbeleid op te stellen binnen jouw bedrijf. Daarbij wordt rekening gehouden met de noden van jouw personeel, jouw manier van werken en jouw persoonlijke verwachtingen.
​
Reeds meer dan 250 ondernemingen gingen je voor. Op onze website kan je de feedback over onze dienstverlening vinden. Neem gerust vrijblijvend contact met ons op zodat we samen kunnen bekijken hoe jouw bedrijf GDPR-proof gemaakt kan worden.
CONTACTEER ONS!
