Eerder deze week, op 25 mei 2020, vierde de Algemene Verordening Gegevensbescherming (AVG) haar tweede verjaardag. Op 25 mei 2018 trad het privacy-paradepaardje van de Europese Unie in werking. Vorig jaar, in april 2019, werd ook de Belgische Gegevensbeschermingsautoriteit (GBA) volledig operationeel. In deze bijdrage blikken we hierop terug en kijken we vooruit naar de evolutie van het gegevensbeschermingsrecht in België.
Één jaar Gegevensbeschermingsautoriteit
Sinds haar oprichting in april 2019, heeft de GBA niet stilgezeten. Niet alleen vaardigde de GBA verschillende aanbevelingen en richtlijnen uit, ze kreeg ook 937 meldingen van datalekken, 4.438 informatievragen en 351 bemiddelingsverzoeken of klachten binnen en verstrekte 128 adviezen over wetsontwerpen, decreten en besluiten. De Inspectiedienst verrichtte meer dan 100 inspecties en de Geschillenkamer vaardigde 59 sancties uit, waaronder negen boetes.
De GBA begon voorzichtig, maar evolueerde snel naar een toezichthouder die daadkrachtig optreedt en steeds belangrijkere boetes oplegt. Ze doet dit meestal na een klacht tegen een onderneming, maar voert ook proactief onderzoeken op eigen initiatief. Een korte bloemlezing van de geldboetes die de GBA in haar eerste werkingsjaar heeft opgelegd:
- De GBA legde haar eerste boete van 2.000 EUR op 28 mei 2019 op aan een burgemeester die persoonsgegevens die hij initieel in de uitoefening van zijn functie had verkregen onrechtmatig verder gebruikte voor verkiezingsdoeleinden. Later, op 25 november 2019, kregen een andere burgemeester en een schepen boetes van 5.000 EUR voor gelijkaardige inbreuken.
- Op 17 september 2019 kreeg een retailer een boete van 10.000 EUR omdat hij zijn klanten verplichtte om hun elektronische identiteitskaart in te lezen om een getrouwheidskaart aan te maken. Hierdoor verwerkte de retailer meer gegevens dan nodig, waaronder bijvoorbeeld het rijksregisternummer van de klant. De GBA oordeelde ook dat er geen sprake kon zijn van vrije toestemming van de klant, bij gebrek aan een alternatieve klantenkaart zonder gebruik van de eID. Deze boete werd in 2020 vernietigd door het Marktenhof wegens een gebrek aan motivering van de beslissing.
- Op 17 december 2019 legde de GBA een boete van 15.000 EUR op aan een juridische nieuwswebsite wegens het overtreden van onder andere haar informatieverplichting en wegens het gebrek aan geldige toestemming voor de verwerking van gegevens door cookies. Na deze beslissing, publiceerde de GBA verdere richtlijnen rond cookies in haar langverwachte aanbeveling over direct marketing en op de themapagina "cookies" op haar website.
- De GBA deelde op 17 december 2019 nog een tweede boete van 2.000 EUR uit aan een vzw wegens schending van het recht van toegang, het recht op transparantie en het recht op gegevenswissing.
- Op 28 april 2020 legde de GBA aan een telecomoperator een boete van 50.000 EUR op omwille van een belangenconflict in hoofde van haar Data Protection Officer (DPO). De DPO was ook het hoofd van de audit-, risk- en compliance-afdelingen, waarbij hij onder meer verantwoordelijk was voor beslissingen rond privacy.
- De GBA beboette op 14 mei 2020 een verzekeringsmaatschappij wegens ontbrekende en gebrekkige informatie in haar privacyverklaring met een boete van 50.000 EUR.
- De tot nu toe laatste boete (voor een bedrag van 50.000 EUR), eveneens opgelegd op 14 mei 2020, was voor een sociaal netwerk. De boete sanctioneerde het niet-rechtsgeldig verzamelen van toestemming van gebruikers (via vooraf aangevinkte vakjes) en het gebrek aan toestemming van niet-gebruikers die werden uitgenodigd om tot het netwerk toe te treden.
Twee jaar AVG
Ook op Europees niveau vonden veel belangrijke evoluties plaats in het tweede AVG-jaar. Het Europees Hof van Justitie wees enkele belangrijke arresten zoals Google vs. CNIL over het recht om vergeten te worden, Fashion ID over het gebruik van social plugins en Planet49 over het rechtsgeldig plaatsen van en informeren over cookies.
Daarnaast deed ook het Europees Comité voor Gegevensbescherming (ECG) zijn best met onder andere richtsnoeren over het geografisch toepassingsgebied van de AVG, over toestemming, over de verwerking van persoonsgegevens via videoapparatuur en over de verwerking van locatiegegevens en gezondheidsgegevens in het kader van de COVID-19 crisis.
Het derde jaar van het nieuwe privacytijdperk is ingezet – wat mag u verwachten?
In haar strategisch plan geeft de GBA een kijk op welke focus in het komende jaar te verwachten is in haar activiteiten. De GBA zal bijzondere aandacht hebben voor bepaalde sectoren (telecommunicatie en media, overheid, direct marketing, onderwijs en kmo's) en specifieke thema's (rol van de DPO, legitimiteit van de verwerking, rechten van de burgers, foto's en camera's, online gegevensbescherming en gevoelige gegevens).
Ook op Europees niveau verwachten we nog veel nieuwe richtlijnen van het ECG en enkele interessante uitspraken van het Hof van Justitie. Hoog op het lijstje staat onder andere de zogenaamde "Schrems II"-uitspraak, momenteel gepland op 16 juli 2020, die wellicht zal bepalen of standaardcontractbepalingen een geldig instrument blijven om persoonsgegevens door te geven buiten de Europese Economische Ruimte.
Een boeiend derde jaar voor het gegevensbeschermingsrecht ligt dus in het vooruitzicht.