Il 25 mei 2018 het web is voor eens en voor altijd veranderd. Althans in Europa. Zelfs als velen het destijds niet beseften, is het sinds die dag zo AVG in werking getreden, de door de Europese Commissie gewenste verordening om de regels met betrekking tot de verwerking van gegevens van burgers in het hele Oude Continent (inclusief Zwitserland) te standaardiseren. Met name de AVG zet alle nationale regelgeving inzake de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer om, "incorporeert" en vervangt deze.

Wat er echter precies is veranderd ten opzichte van vroeger en nu wat bedrijven moeten doen om te voorkomen dat u de AVG overtreedt? EN Wat zijn de sancties voor degenen die de AVG overtreden? Laten we alles begrijpen door een praktische casus te analyseren.

Wat is de AVG

Acroniem van Algemene Verordening Gegevensbescherming, Algemene verordening gegevensbescherming in het Italiaans, de AVG is het geheel van regels en voorschriften waaraan alle personen die gegevens van webgebruikers verwerken, zich moeten houden. In het bijzonder behandelt de AVG de verwerking van persoonlijke gegevens van gebruikers door de bedrijven, hun instandhouding door laatstgenoemden en de mogelijkheid voor de gebruikers zelf om ze op een eenvoudige en onmiddellijke manier te kunnen beheren.

GDPR: wat het biedt

De belangrijkste punten waar de hele structuur van de AVG om draait, zijn in wezen twee:

• Vereenvoudig het regelgevingskader waarin bedrijven zich op de markt van de Europese Unie (en andere landen die een verdrag met de EU hebben) bewegen;
• Geef gebruikers meer controle over hun gegevens, vanaf het moment dat ze door het bedrijf worden verkregen totdat ze worden verwijderd.

Om dit mogelijk te maken, vereist de AVG van bedrijven dat verzoeken om toestemming duidelijker en "leesbaar" moeten zijn voor gebruikers; er worden grenzen gesteld aan de verwerking en het gebruik van gegevens; het opleggen van sancties aan bedrijven die de bepalingen van de regelgeving inzake gegevensverwerking overtreden. Bovendien kan in het geval van een datalek (een verlies van gegevens, meestal als gevolg van diefstal door criminelen) de verantwoordelijke voor de verwerking (een professional binnen het bedrijf, genaamd Functionaris voor Gegevensbescherming ) is verplicht om de autoriteiten en rechtmatige eigenaren zo snel mogelijk op de hoogte te stellen. Gebeurt dit niet, dan is de boetes voorzien door de AVG ze zouden nog zouter worden.

Medio 2020 kwam er een noviteit met betrekking tot de Toestemming voor de verwerking van gegevens die bedrijven verzamelen via webtools. In de afgelopen twee jaar was het in feite voldoende voor de gebruiker om een ​​deel van een webpagina te scrollen om toestemming voor behandeling als verworven te beschouwen. Een uitspraak van het Europese Hof van Justitie bepaalt dat toestemming actief en ondubbelzinnig moet zijn. Dit betekent dat de gebruiker, om cookies te accepteren, moet op de banner klikken om toestemming te vragen, kiezen of het gebruik van strikt noodzakelijke technische cookies of alle cookies wordt toegestaan. Om deze reden zie je bijvoorbeeld steeds vaker de toestemmingsbanner, ook al is het een site die je vaak bezoekt.

Wat wie de AVG overtreedt riskeert: de sancties

De AVG voorziet ook sancties best zwaar in het geval dat de verwerking van gegevens door een bedrijf niet voldoet aan de daarin opgenomen bepalingen of in gebreke blijft op het gebied van communicatie.

Er zijn twee soorten sancties, afhankelijk van de ernst van de gepleegde overtreding. Voor kleine overtredingen (zoals het ontbreken van een gegevensverwerkingsregister, het niet aanwijzen van een verwerkingsverantwoordelijke, het niet melden van een datalek) komt de boete tot 10 miljoen euro of 2% van de wereldwijde omzet indien hoger dan dit cijfer. Bij ernstige overtredingen (zoals het ontbreken van toestemming voor behandeling, schending van de rechten van de belanghebbende, ontbrekende of ongeschikte privacy-informatie en schending van de bepalingen inzake gegevensoverdracht) kan de boete oplopen tot 20 miljoen euro of 4% van de wereldomzet.

Zo heeft Alphabet, de houdstermaatschappij die Google en alle bedrijven in de baan van de Mountain View-gigant controleert, een jaaromzet van 46 miljard dollar en kan bij een ernstige overtreding tot 1,9 miljard dollar boete.

GDPR-sancties: de H&M-zaak

Het beheer van gegevens en hun bescherming betreft echter niet alleen klanten en gebruikers van de site. Medewerkergegevens moeten ook worden verkregen, verwerkt en gearchiveerd met verwijzing naar de bepalingen van de Algemene Verordening Gegevensverwerking. Een voorbeeld is H&M, kreeg een boete van meer dan 35 miljoen euro omdat werd ontdekt dat het zijn werknemers illegaal profileerde. Een datalek heeft in feite een echt geval van interne spionage aan het licht gebracht: H&M registreert in ieder geval sinds 2014 gegevens, informatie en gesprekken van zijn medewerkers en archiveert alles (zonder toestemming) op privéservers.

Een bijzonder invasieve profileringsactiviteit, wat uiteraard een negatieve invloed had op de werkrelatie tussen de Zweedse modegigant en zijn werknemers. De gegevensbeschermingsautoriteit van Hamburg legde H&M daarom een ​​boete op van 35,3 miljoen euro. Het bedrijf van zijn kant verontschuldigde zich bij de werknemers die betrokken waren bij het schandaal en reorganiseerde het kantoor radicaal.

Een sanctie die ook dient als waarschuwing voor alle andere bedrijven: de overheidsinstanties (in dit geval de Duitse, maar de sancties zijn in de hele Europese Unie hetzelfde en betreffen ook bedrijven die buiten de grenzen van de EU zijn gevestigd) staan ​​geen gegevens toe inbreuken of gegevensverwerkingen die niet voldoen aan de bepalingen van de AVG. Iedereen die wordt betrapt op het plegen van een misdrijf zal zwaar boeten voor zijn gedrag.