Een fikse privacyboete voor hypermarktketen in Frankrijk: wat leren we daarvan?

De Franse privacywaakhond CNIL legde in november een boete van ruim €2 miljoen en een boete van €8 ton op vanwege verschillende overtredingen van de AVG. In Nederland gelden diezelfde regels en kunnen boetes worden opgelegd voor het overtreden ervan. Wat kunnen we leren van dit boetebesluit in Frankrijk?

De overtredingen in het kort

Het boetebesluit van de CNIL stipt verschillende overtredingen aan, die door de hypermarktketen en een bedrijf uit dezelfde groep zijn begaan. Al deze overtredingen hadden betrekking op de Algemene verordening gegevensbescherming, ook bekend als AVG en GDPR. De onderwerpen waarop is beboet, zijn:

• De informatieplicht
• Naleving bewaartermijn
• Toestemming voor cookies
• De rechten van betrokkenen
• Transparantie

Wat we hier zonder meer van kunnen leren is dat het belangrijk is om privacy te waarborgen en de regels uit de AVG na te leven. De financiële consequenties zijn immers niet misselijk. Gelukkig hebben beide bedrijven ondertussen een heel aantal overtredingen direct opgelost. Het is belangrijk voor andere bedrijven om hier lering uit te trekken. Wat we per onderwerp uit het boetebesluit mee kunnen nemen, vertel ik je hieronder:

De inhoud van de informatieplicht

Je bent verplicht om betrokkenen (de personen over wie de persoonsgegevens gaan) te informeren over de gegevens die je van hen verwerkt. Dit gebeurt doorgaans middels een privacyverklaring. In het boetebesluit van de CNIL wordt duidelijk dat veel waarde wordt gehecht aan het makkelijk toegankelijk maken van de privacyverklaring. Maar ook aan de leesbaarheid en duidelijkheid ervan. Duidelijk en begrijpelijk is de eis.

Daarnaast is het natuurlijk vereist dat alle verplichte onderdelen worden benoemd. In dit geval waren de bewaartermijnen niet volledig beschreven.

Ook bewaartermijnen moet je nakomen

De bewaartermijnen die wel waren vastgesteld, werden niet nagekomen. Ook dat is een belangrijke eis: je mag persoonsgegevens niet langer bewaren dan strikt noodzakelijk. En als je vastgesteld hebt dat de gegevens na 10 jaar niet meer bruikbaar zijn, dan horen deze ook niet meer te vinden te zijn in je systemen.

De toestemming voor cookies moet aan regels voldoen

De AVG schrijft voor wanneer toestemming rechtmatig gegeven is. Naast de AVG hebben we in Nederland de Telecommunicatiewet. Deze wet schrijft voor dat toestemming vereist is voor het gebruik van cookies. In Frankrijk hebben ze zo’n zelfde regeling. De website van de hypermarktketen voldeed niet aan deze regels. De cookies werden geplaatst, voordat een websitebezoeker ook maar iets hoefde te doen. Er werd dus geen toestemming gevraagd vóór het gebruik van cookies.

En houdt ook rekening met de rechten van betrokkenen

Vanuit de AVG hebben betrokkenen verschillende rechten. Dat gaat onder andere over inzage in de gegevens die je van hem hebt verzameld, maar ook over het intrekken van gegeven toestemming en de mogelijkheid krijgen om bezwaar te maken tegen een bepaalde verwerking. Het uitoefenen van deze rechten mag je niet onnodig moeilijk maken.Bij elk verzoek vragen om een (kopie van een) identiteitsbewijs is buiten proportioneel. Het is simpelweg belangrijk dat je zeker weet dat je de juiste persoon voor je hebt, en daar kun je ook op andere manieren achter komen.

Daarbij is het belangrijk om procedures in te richten om de verzoeken binnen een maand te kunnen beantwoorden. Een maandje langer kan in sommige gevallen nog, maar in principe moet je gewoon snel reageren. En voor elk verzoek is een goede afweging vereist. Wanneer een betrokkene bijvoorbeeld verzoekt om verwijdering van zijn gegevens, dan hoor je daaraan tegemoet te komen als dit mogelijk is.

Weest altijd transparant

Last but not least is een algemene regel dat je transparant bent over wat je doet. Enerzijds speelt de hiervoor benoemde privacyverklaring daarin een grote rol. Anderzijds spelen ook andere uitingen op je website of zelfs mondeling daarin mee. Als je zegt dat je geen gegevens doorgeeft aan derde partijen, dan moet je je daar ook aan houden. En in dit geval: als je zegt dat je alleen een naam en e-mailadres doorgeeft, mag je niet ook nog extra informatie doorgeven aan derden.