Privacy boete van de hoogste categorie
Privacyboetes kennen twee categorieen. Een boete voor de overtreding van administratieve regels (de eerste categorie), en een boete voor de overtreding van inhoudelijke privacyregels. Meta kreeg voor het platform Instagram een boete van de hoogste categorie opgelegd.
De reden voor de boete lag in meerdere overtredingen. Het niet hebben van een grondslag was een belangrijke oorzaak, maar ook het niet eerlijk en transparant verwerken en niet afdoende beveiligingsmaatregelen nemen.
Verwerking van gegevens van kinderen
Kinderen verdienen specifieke bescherming met betrekking tot hun persoonsgegevens en bedrijven die zich richten op kinderen moeten extra voorzichtig zijn.
Het opvallende aan dit boete besluit is geweest, dat het hier ging om de verwerking van gegevens an minderjarigen. Het social media platform had verzaakt om kinderen goed en in duidelijke taal (voor kinderen begrijpelijk) informatie te verstrekken over het verwerken van hun gegevens. Een privacyverklaring in voor kinderen begrijpelijke taal dus. En er had met name informatie naar voren moeten komen met betrekking tot publicatie van foto’s en berichten. En de gevolgen daarvan en de onmogelijkheid om zich af te melden voor de publicatie.
Daarnaast hadden in een DPIA juist de risico’s voor deze minderjarigen aandacht moeten krijgen.
Grondslag: overeenkomst
Verschillende partijen hebben zich met het boetebesluit bemoeid. De EDPB gaf aan dat onder de grondslag ‘Overeenkomst’, de verwerkingsverantwoordelijke daadwerkelijk moet kunnen aantonen dat er een contract bestaat, en het contract geldig is in overeenstemming met de toepasselijke nationale wetgeving op het gebied van contracten. In Nederland betekent dit dat er sprake moet zijn van aanbod en aanvaarding. De uitdaging ligt hem hierin, om dit te kunnen bewijzen.
Daarnaast werd de grondslag gerechtvaardigd belang verder uitgewerkt en gespecificeerd.
Qua inhoud bracht dit niets nieuws. Maar ten aanzien van minderjarigen werd wel duidelijk dat de toets nóg zwaarder weegt. De privacybelangen van de minderjarigen staan wel degelijk hoog in het vaandel en er moet een zware onderbouwing zijn, om daar tegenover het gerechtvaardigd belang van de verwerkingsverantwoordelijke te laten prevaleren.
Verwerkt jouw onderneming persoonsgegevens van kinderen? En dienen deze kinderen de gegevens zelf in? Zorg dan voor een goede uitvoering van een DPIA, waarin de grondslag uitvoerig wordt onderzocht.
Vragen over dit blog? Ideeën of opmerkingen?
"*" geeft vereiste velden aan