Het duurde niet lang na de inwerkingtreding van GDPR op 25 mei 2018 dat veel bedrijven die sceptisch bleven over het idee dat Europa boetes zou opleggen uit hoofde van de nieuwe verordening inzake gegevensbescherming om hun positie te herzien.
De realiteit van het aantal financiële sancties dat door de Europese instellingen na nog geen jaar toepassing van de Europese algemene verordening inzake gegevensbescherming aan bedrijven is opgelegd, heeft duidelijk gemaakt dat de EU veel aandacht besteedt aan de eerbiediging van het recht op gegevensbeveiliging en privacy van haar burgers.
De educatieve benadering van de naleving van het AVG
De lidstaten beschikken over nationale gegevensbeschermingscellen of onafhankelijke toezichthoudende instanties (FIE's) die verantwoordelijk zijn voor de naleving van de fundamentele beginselen van de bescherming van persoonsgegevens op nationaal niveau.
Zij kunnen verificaties uitvoeren in de gebouwen van de organisatie of online. De controles worden uitgevoerd op basis van jaarprogramma's, ontvangen klachten of informatie in de media. Voor sommige landen waar de regelgeving inzake gegevensbescherming van oudsher strikt is, blijven de grondbeginselen van de gegevensbescherming grotendeels ongewijzigd (gegevensbeveiliging, eerlijke verwerking, bewaringstermijn, enz.) en worden zij daarom nog steeds streng gecontroleerd door de gegevensbeschermingsautoriteiten.
Anderzijds worden de nieuwe verplichtingen en rechten die voortvloeien uit GDPR onderworpen aan onderzoeks- en herstelcontroles die doorgaans niet bestraffend zijn. Het doel is organisaties te helpen inzicht te krijgen in de problemen en de operationele uitvoering van de nieuwe bepalingen en de voordelen van naleving.
In de eerste maanden na het bestaan van het nieuwe Europese wettelijke kader voor de bescherming van de persoonlijke levenssfeer hebben de nationale autoriteiten voor de bescherming van de persoonlijke levenssfeer enorm pedagogisch werk verricht. Het opleiden van bedrijven en het verschaffen van kennis van GDPR in de verschillende activiteitssectoren, het publiceren van concrete informatiebladen over privacyrechten, gidsen over veiligheid of effectbeoordelingsmethoden.
In België, sinds 25 Mei 2018, deDe GegevensBescherming Autoriteit (GBA) is de opvolger van de Commissie voor de bescherming van de persoonlijke levenssfeer (beter bekend als de "Privacy Commissie").
Wat zijn de laatste sancties en waarschuwingen in het kader van GDPR/AVG?
Behalve in geval van ernstige inbreuken op de gegevensbescherming of opzettelijke kwade trouw, zijn de nationale instanties die toezicht houden op de persoonlijke levenssfeer eerder alert op de naleving van de GDPR-regels dan radicale boetes op te leggen tot 4% van de omzet van het bedrijf, dan dat zij bedrijven ondersteunen en begeleiden.
Deze aanvullende bevoegdheden, zoals het geven van waarschuwingen bij niet-naleving,
het uitvoeren van audits, het eisen van specifieke herstelmaatregelen binnen een bepaalde termijn, het gelasten van het wissen van gegevens en het opschorten van de doorgifte van gegevens naar een derde land, zijn gemakkelijk toegankelijk voor de toezichthoudende autoriteiten voor gegevensbescherming en vormen een aanvulling op de nieuwe reeks sancties.
Desalniettemin zijn er al enkele precedenten die een record hebben gebroken met betrekking tot het aantal boetes dat is opgelegd voor het overtreden van de gegevensbeschermingsbeginselen.
Van de talrijke nog hangende nationale klachten en boetes zijn er al sancties opgelegd. De volgende tabel geeft een niet-limitatieve, regelmatig bijgewerkte lijst van sancties die door de nationale Europese rechtsgebieden en autoriteiten zijn opgelegd aan organisaties die zich niet aan de regels houden.
Grootste GDPR-boetes van 2023
Datum
Bedrijf
Land
Info
Sanctie
EU DPA
22/05
Meta
Verkeerde overdracht van persoonlijke gegevens tussen de EU en de VS.
1.2 miljard
04/01
Meta
Wijzigingen in de rechtsgrondslag voor hun gegevensverwerking van toestemming naar uitvoering van een contract.
390.000.000
01/09
TikTok
Hoe TikTok omging met de persoonlijke gegevens van kinderen jonger dan 13 jaar.
345.000.000
15/06
Criteo
Er niet voor gezorgd dat betrokkenen opt-in toestemming kregen voor de verwerking van hun gegevens.
40.000.000
04/04
TikTok
Persoonlijke gegevens van kinderen verzamelen zonder toestemming van hun ouders.
14.500.000
Grootste GDPR-boetes van 2022
Datum
Bedrijf
Land
Info
Sanctie EUR
EU DPA
28/07
Instagram
Schending van de regels inzake de verwerking van gegevens van kinderen zonder rechtsgrondslag.
405.000.000
19/01
Enel Energia
Onrechtmatig gebruik van klantengegevens.
26.500.000
10/02
Clearview AI
Zonder passende rechtsgrondslag persoonsgegevens, waaronder biometrische en geolocatie-informatie, heeft verwerkt.
20.000.000
13/07
Meta Platforms Ireland Limited
Meta heeft nagelaten passende technische en organisatorische maatregelen te treffen om aan te tonen welke maatregelen zij had getroffen om gebruikersgegevens te beschermen.
17.000.000
18/05
Google LLC
Google droeg zonder de vereiste toestemming op onrechtmatige wijze gegevens van EU-burgers over aan het Lumen Project, een in de Verenigde Staten gevestigd onderzoeksproject.
10.000.000
Grootste GDPR-boetes van 2021
Datum
Bedrijf
Land
Info
Sanctie EUR
EU DPA
16/07
Amazon
Niet-naleving van reclamepraktijken en vrije toestemming. Dit is de grootste GDPR-gerelateerde boete tot nu toe.
746.000.00
20/08
Whatsapp
Meerdere klachten van gebruikers en niet-gebruikers over verschillende schendingen van de transparantie.
225.000.000
08/01
notebooksbilliger.de
2 jaar lang videobewaking van werknemers die niet aan de voorschriften voldoen.
10.400.000
28/09
Austrian Post
Personen niet toestaan via e-mail informatie over hun persoonsgegevens te vragen.
9.500.000
12/03
Vodafone Spain
Er werden internationale gegevens doorgegeven zonder rekening te houden met de GDPR-vereisten en er werd contact opgenomen met klanten zonder hun toestemming.
8.150.000
Grootste GDPR-boetes van 2020
Datum
Bedrijf
Land
Info
Sanctie EUR
EU DPA
05/10
H&M
Het onwettige toezicht op haar werknemers, die werden gefilmd tijdens speciale bijeenkomsten die toegankelijk waren voor meer dan 50 managers.
35.300.000
01/02
Tim Spa
Honderdduizenden ongevraagde mededelingen aan klanten die geregistreerd stonden als afzenders van elke vorm van marketing.
27.800.000
16/10
British Airways
Het niet toepassen van adequate beveiligingsmaatregelen voor de bescherming van persoonsgegevens van 400.000 klanten.
22.000.000
30/10
Marriott International Inc
Het niet beschermen van 339 miljoen gastengegevens wereldwijd als gevolg van een cyberaanval in 2014 die tot 2018 onopgemerkt bleef.
20.000.000
14/07
Wind Tre
Ongevraagde marketing voor klanten die niet de mogelijkheid hadden om zich voor de dienst af te melden.
16.700.000
Grootste GDPR-boetes van 2019
Datum
Bedrijf
Land
Info
Sanctie EUR
EU DPA
21/01
Google
Gebrek aan transparantie van de door Google verstrekte informatie: "niet gemakkelijk toegankelijk voor gebruikers," onbevredigende informatie, niet "altijd duidelijk en begrijpelijk."
50.000.000
29/10
Austrian Post
Het opstellen van profielen van meer dan drie miljoen Oostenrijkers met persoonlijke informatie, zoals gewoontes en politieke gezindheid, die vervolgens werden verkocht aan particuliere bedrijven en politieke partijen.
18.000.000
05/11
Deutsche Wohnen
In strijd met artikel 5/25, waarin is bepaald dat persoonsgegevens na een aantal jaren moeten worden gewist. Het bedrijf had die gegevens aan werknemers ter beschikking gesteld.
14.500.000
05/09
National Revenue Agency
De inbreuk op de vertrouwelijke gegevensbank van het agentschap door een hacker heeft de persoonsgegevens van vijf miljoen Bulgaarse burgers openbaar gemaakt. Het agentschap werd geacht een gebrekkige technische bescherming van de informatiebeveiliging te hebben.
2.600.000
20/09
Morele.net
Het datalek trof 2,2 miljoen klanten via het websitenetwerk van de onlinedetailhandel, omdat zij niet reageerden op het opduiken van onregelmatig verkeer.
644.780
De algemene verplichting van de voor de verwerking verantwoordelijke is om altijd passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat de verwerking van de gegevens van Europese burgers in overeenstemming met GDPR wordt uitgevoerd.
Heb je je interesse? Blijf geconnecteerd!
Cookies refer to small files that get dropped automatically on your computer, whenever you browse the web. Cookies are harmless bits of texts that are locally stored and can be viewed and deleted quickly. However, they give a great deal of insight into a user’s activity and preferences. They tend to identify a user without explicit content.