Boete voor het overtreden van de AVG.
Op 3 juli 2024 heeft de eiser, de toezichthouder, op de AVG een boete van 2,385 miljoen euro opgelegd aan de gedaagde, wegens het overtreden van de AVG-wetgeving.
Algemene Verordening Gegevensbescherming
Inmiddels is al enige tijd de ‘Algemene Verordening Gegevensbescherming (AVG)’ ingegaan. De AVG geeft personele de controle over hun persoonsgegevens te houden en te beheren. De AVG doet dit door personen aanvullende rechten te geven om controle uit te oefenen op de verwerking van hun persoonsgegevens.
Indien een organisatie te maken heeft met de verwerking van persoonsgegevens, zal deze zich moeten houden aan de wettelijke bepalingen die de AVG voorschrijft. De AVG bevat daarbij niet alleen bepalingen voor organisaties, maar ook voor betrokkenen van wie de persoonsgegevens worden verwerkt.
Inhoudelijke zaak
Gedaagde is een bedrijf die zich toelegt op de koop en verkoop van tweedehands kleding en is in meer dan 20 landen actief. Hun website fungeert als een platform voor de koop en verkoop van tweedehands goederen, waaronder kleding en toebehoren. Mensen uit allerlei landen kunnen via jou kleding verkopen.
Gedaagde kreeg de boete opgelegd omdat ze op meerdere wijzen de AVG hadden overtreden. Daarbij is ook geen rekening gehouden met de rechten waarover de betrokkenen bezitten. De AVG is door gedaagde op de onderstaande zaken overtreden:
- Er is niet voldaan aan het recht op vergetelheid, ofwel gegevenswissing (art. 18 AVG). Dit is een recht die gebruikers hebben om hun persoonsgegevens te laten verwijderen uit de database. Dit is een recht van gebruikers en zal gehoor aan moeten worden gegeven, tenzij er een juridische grondslag bestaat om de gegevens te bewaren.
- Ook werden gebruikers uitgesloten van het platform zonder dat gebruikers daarover werden geïnformeerd of het door hadden. Dit wordt shadowbanning genoemd en gebeurt als de gedragsregels worden overtreden. De manier waarop dit werd toegepast belemmerde de gebruikers bij het gebruik van hun privacyrechten.
- Het bedrijf ook niet transparant over welke persoonsgegevens er door hun precies worden verwerkt en voor welke doeleinden dit gebeurt. Hiermee is het recht op inzage geschonden, waarbij gebruikers de organisatie mag vragen welke gegevens er worden verwerkt (art. 15 AVG).
Tot slot heeft gedaagde niet kunnen aantonen dat er stappen zijn ondernomen om ervoor te zorgen dat het overtreden van de AVG stopte. Er hadden passende technische en organisatorische maatregelen kunnen plaatsvinden, zoals de betere beveiliging van systemen of dubbele verificatie (art. 32 AVG). Bij technische maatregelen kan worden gedacht aan het pseudonimiseren van persoonsgegevens, zodat er geen personen uit kunnen worden afgeleid. Bij organisatorische maatregelen kun je denken aan het verbeteren van de structuur, bijvoorbeeld dat niet alle medewerkers meer toegang hebben tot alle gegevens. Hierbij komt ook de verantwoordingsplicht kijken (art. 5 lid 2 AVG). Dit houdt in dat er moet worden aangetoond dat de verwerking van persoonsgegevens voldoet aan de belangrijkste uitgangspunten van de AVG en dat de bovenstaande maatregelen zijn genomen om de persoonsgegevens te beveiligen.
Gedaagde kan zich niet verdedigen tegen de oplegging van de boete en gaat in hoger beroep.
Tips naar aanleiding van deze zaak:
- Zorg ervoor dat je altijd in het bezit bent van een juridische grondslag voor de verwerking van persoonsgegevens.
- Wees transparant over wat de gedragsregels zijn en wat er gebeurt indien er sprake is van een overtreding hierop.
- Zorg dat je de gebruiker goed over zijn AVG rechten inlicht. Dus zorg voor een aparte mailbox daarvoor. En handel deze rechten binnen de wettelijke termijn van 4 weken af.
Heb je vragen over dit artikel? Neem dan contact op via 088-1331133 of stuur een mail naar service@deraadgevers.nl