Het duurde niet lang na de inwerkingtreding van het GDPR op 25 mei 2018 voor veel bedrijven die sceptisch bleven over het idee dat Europa boetes zou opleggen uit hoofde van de nieuwe verordening inzake gegevensbescherming, om hun positie en de beroepsbeoefenaren in het bedrijfsleven te herzien.

De realiteit van het aantal financiële sancties dat door de Europese instellingen na nog geen jaar toepassing van de Europese algemene verordening inzake gegevensbescherming aan bedrijven is opgelegd, heeft duidelijk gemaakt dat de EU veel aandacht besteedt aan de eerbiediging van het recht op gegevensbeveiliging en privacy van haar burgers.


De educatieve benadering van de naleving van het AVG

De lidstaten beschikken over nationale gegevensbeschermingscellen of onafhankelijke toezichthoudende instanties (FIE's) die verantwoordelijk zijn voor de naleving van de fundamentele beginselen van de bescherming van persoonsgegevens op nationaal niveau.

Zij kunnen verificaties uitvoeren in de gebouwen van de organisatie of online. De controles worden uitgevoerd op basis van jaarprogramma's, ontvangen klachten of informatie in de media. Voor sommige landen waar de regelgeving inzake gegevensbescherming van oudsher strikt is, blijven de grondbeginselen van de gegevensbescherming grotendeels ongewijzigd (gegevensbeveiliging, eerlijke verwerking, bewaringstermijn, enz.) en worden zij daarom nog steeds streng gecontroleerd door de gegevensbeschermingsautoriteiten.


Anderzijds worden de nieuwe verplichtingen en rechten die voortvloeien uit het GDPR onderworpen aan onderzoeks- en herstelcontroles die doorgaans niet bestraffend zijn. Het doel is organisaties te helpen inzicht te krijgen in de problemen en de operationele uitvoering van de nieuwe bepalingen en de voordelen van naleving.

In de eerste maanden van het bestaan van het nieuwe Europese wettelijke kader voor de bescherming van de persoonlijke levenssfeer hebben de nationale autoriteiten voor de bescherming van de persoonlijke levenssfeer enorm pedagogisch werk verricht. Het opleiden van bedrijven en het verschaffen van kennis van het GDPR in de verschillende sectoren van activiteit, het publiceren van concrete informatiebladen over privacyrechten, gidsen over veiligheid of effectbeoordelingsmethoden.

In Belgium, since 25 May 2018, the Autoriteit voor gegevensbescherming (DPA) is de opvolger van de Commissie voor de bescherming van de persoonlijke levenssfeer (beter bekend als de "Commissie voor de bescherming van de persoonlijke levenssfeer").




Wat zijn de laatste sancties en waarschuwingen in het kader van het GDPR/AVG?

Behalve in geval van ernstige inbreuken op de gegevensbescherming of opzettelijke kwade trouw, zijn de nationale instanties die toezicht houden op de persoonlijke levenssfeer eerder alert op de naleving van de GDPR-regels dan radicale boetes op te leggen tot 4% van de omzet van het bedrijf, dan dat zij bedrijven ondersteunen en begeleiden.

Deze aanvullende bevoegdheden, zoals het geven van waarschuwingen bij niet-naleving, het uitvoeren van audits, het eisen van specifieke herstelmaatregelen binnen een bepaalde termijn, het gelasten van het wissen van gegevens en het opschorten van de doorgifte van gegevens naar een derde land, zijn gemakkelijk toegankelijk voor de toezichthoudende autoriteiten voor gegevensbescherming en vormen een aanvulling op de nieuwe reeks sancties.

Desalniettemin zijn er al enkele precedenten die een record hebben gebroken met betrekking tot het aantal boetes dat is opgelegd voor het overtreden van de gegevensbeschermingsbeginselen.
Van de talrijke hangende nationale klachten en boetes zijn er al sancties opgelegd. De volgende tabel geeft een niet-limitatieve, regelmatig bijgewerkte lijst van sancties die door de nationale Europese rechtsgebieden en autoriteiten zijn opgelegd aan organisaties die zich niet aan de regels houden.


Grootste GDPR-boetes van 2021


Datum
Bedrijf
Land
Info
Sanctie
EU DPA
08/01
notebooksbilliger.de
Germany
Videobewaking van werknemers bij niet-naleving gedurende 2 jaar.
10.400.00?
12/03
Vodafone Spain
Spain
Er werden internationale gegevens doorgegeven zonder rekening te houden met de GDPR-vereisten en er werd contact opgenomen met klanten zonder hun toestemming.
8.150.000?
14/01
Caixabank
Spain
Ontoereikende en inconsistente informatie die in het kader van het privacybeleid aan hun klanten wordt verstrekt.
6.000.000?
11/02
OLVG Amsterdam Hospital
Netherlands
Onvoldoende bescherming van patiëntengegevens gedurende 2 jaar (2018-2020).
440.000?
10/03
VfB Stuttgart
Germany
Inbreuk op de verantwoordingsplicht inzake gegevensbescherming krachtens artikel 5, lid 2.
300.000?


Grootste GDPR-boetes van 2020


Datum
Bedrijf
Land
Info
Sanctie
EU DPA
05/10
H&M
Germany
Het onwettige toezicht op haar werknemers, die werden gefilmd tijdens speciale bijeenkomsten die toegankelijk waren voor meer dan 50 managers.
35.300.00?
01/02
Tim Spa
Italy
Honderdduizenden ongevraagde mededelingen aan klanten die geregistreerd stonden als afzenders van elke vorm van marketing.
27.800.000?
16/10
British Airways
Great Britain
Het niet toepassen van adequate beveiligingsmaatregelen voor de bescherming van persoonsgegevens van 400.000 klanten.
22.000.000?
30/10
Marriott International Inc
Great Britain
Het niet beschermen van 339 miljoen gastengegevens wereldwijd als gevolg van een cyberaanval in 2014 die tot 2018 onopgemerkt bleef.
20.000.000?
14/07
Wind Tre
Italy
Ongevraagde marketing voor klanten die niet de mogelijkheid hadden om zich voor de dienst af te melden.
16.700.000?


Grootste GDPR-boetes van 2019


Datum
Bedrijf
Land
Info
Sanctie
EU DPA
21/01
Google
France
Gebrek aan transparantie van de door Google verstrekte informatie: "niet gemakkelijk toegankelijk voor gebruikers," onbevredigende informatie, niet "altijd duidelijk en begrijpelijk."
50.000.00?
29/10
Austrian Post
Austria
Het opstellen van profielen van meer dan drie miljoen Oostenrijkers met persoonlijke informatie, zoals gewoonten en politieke gezindheid, die vervolgens werden verkocht aan particuliere bedrijven en politieke partijen.
18.000.000?
05/11
Deutsche Wohnen
Germany
In strijd met artikel 5/25, waarin is bepaald dat persoonsgegevens na een aantal jaren moeten worden gewist. Het bedrijf had die gegevens aan werknemers ter beschikking gesteld.
14.500.000?
05/09
National Revenue Agency
Bulgaria
De inbreuk op de vertrouwelijke gegevensbank van het agentschap door een hacker heeft de persoonsgegevens van vijf miljoen Bulgaarse burgers openbaar gemaakt. Het agentschap werd geacht een gebrekkige technische bescherming van de informatiebeveiliging te hebben.
2.600.000?
20/09
Morele.net
Poland
Het datalek trof 2,2 miljoen klanten via het websitenetwerk van de onlinedetailhandel, omdat zij niet reageerden op het opduiken van onregelmatig verkeer.
644.780?


De algemene verplichting van de voor de verwerking verantwoordelijke is om altijd passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat de verwerking van de gegevens van Europese burgers in overeenstemming met het GDPR wordt uitgevoerd.

Heb je je interesse? Ga niet weg!
Als u geïnteresseerd bent in het leren over onze Consultants voor naleving van de regelgeving
Blader door ons tijdschrift voor meer interessante informatie. regelgevend nieuws en artikelen
Oscar Canario da Cunha - Pideeco Network Partner
Oscar Canario da Cunha Associate Director
0 opmerkingen
opmerkingen toevoegen

Gerelateerde artikelen

Wat verandert er met de 6AMLD? Kom meer te weten over de nieuwe regels inzake AML, sancties, criminele activiteiten, in...

European Commission Wed 08 May 2019

Een AML EWRA algehele risicobeoordeling stelt financiële instellingen in staat de ML / FT risico's waaraan zij zijn...

EU Tue 18 June 2019

Transaction monitoring is een essentieel onderdeel van de interne controlemaatregelen van de verplichte entiteiten met b...

Financial firms Mon 16 December 2019

Wat zijn de gevolgen van de recente invoering van de EU-richtlijnen 2015/849 en 2018/843 ter bestrijding van het witwass...

European Commission Mon 28 August 2017
Deskundigen op het gebied van risicobeheer en compliance met de regelgeving

Pideeco is een adviesbureau dat juridische diensten, zakelijke oplossingen, operationele assistentie en educatief materiaal biedt voor professionals in de financiële sector.

We zijn gevestigd in Brussel en zijn gespecialiseerd in diensten voor het naleven van wettelijke risico's in de eurozone.

Pideeco combineert professionele kennis van regelgeving en technische expertise om het bedrijfsreputationele en operationele risico te beschermen. Onze unieke klantgerichte aanpak helpt ons bij het bouwen van strategische en legitieme kostenefficiënte oplossingen.

Als u met ons als team werkt, betekent dit dat u complementaire mensen kunt bereiken, wat out-of-the-box denken en innovatieve visie.

Our Network Leer meer over ons