Uitgerekend een website voor juridisch nieuws, “van, voor en over rechtsbeoefenaars” was de eerste website die door de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) beboet werd voor inbreuken tegen de GDPR. Niettegenstaande de betrokken onderneming in de loop van het onderzoek haar policy aanpaste, werd een boete van 15.000 euro uitgeschreven. Kan het u ook overkomen?Wat zijn cookies?
Cookies zijn kleine tekstbestandjes met een reeks gegevens over de website-bezoeker. Die bestandjes worden op zijn computer opgeslagen zodat, als hij/zij de volgende keer de website bezoekt, die site al bepaalde gegevens kent. Een typevoorbeeld is dat van de taalvoorkeur.
Er zijn verschillende soorten cookies. Sommige zijn noodzakelijk om de website te laten functioneren. Daarvan moet de gebruiker in principe geïnformeerd worden maar hij/zij kan ze niet weigeren. Andere cookies zijn puur ter analyse van de bezoeken van een pagina. Die kan de gebruiker daarentegen wel weigeren.
Transparant informeren
Als u cookies plaatst op uw website, dan moet u de gebruiker daarvan verwittigen. Artikel 12 van de Europese verordening GDPR schrijft voor dat de betrokken persoon op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal geïnformeerd moet worden over wat u met die verzamelde gegevens zal doen.
Na onderzoek stelde de GBA vast dat:
• de privacyverklaring enkel beschikbaar in het Engels was, terwijl de website zich tot een Nederlandstalig en Franstalig publiek richtte;
• de informatie niet eenvoudig toegankelijk was voor de betrokkenen;
• er in de privacyverklaring verwezen werd naar de US privacy law;
• de privacyverklaring verklaarde dat een IP-adres niet kwalificeert als een persoonsgegeven.
Andere tekortkomingen waren:
• de identiteit en de contactgegevens van de verwerkingsverantwoordelijke werden bij een eerste controle niet vermeld;
• er werd niet kenbaar gemaakt over welke privacyrechten de betrokkenen beschikken (waaronder het recht om klacht in te dienen bij de GBA);
• betrokkenen werden niet geïnformeerd over de rechtsgrond voor elke verwerking, noch over de specifieke verwerkingsdoeleinden; en
• de bewaartermijnen voor de verwerkte persoonsgegevens werden niet meegedeeld.
Deze opmerkingen werden na een eerste bezoek wel gecorrigeerd.
Toestemming
GDPR eist ook dat de gebruiker expliciet om de toestemming wordt gevraagd. Ook dat was op deze website in eerste instantie niet geval, noch voor de cookies van de verwerkingsverantwoordelijke, noch voor deze van Google.
Dit werd gecorrigeerd maar daarbij vroeg de website de voorkeuren van de gebruiker op basis van een reeds aangekruist venster wat door de GBA niet aanvaard wordt als een geldige toestemming.
Het kwaad was geschied
Na drie bezoeken van de inspecteur werd de zaak voorgelegd aan de Geschillenkamer van de GBA. Op het ogenblik dat deze instantie tot haar besluit kwam, had de betrokken onderneming haar website helemaal GDPR-conform gemaakt. Maar het kwaad was geschied.
De Geschillenkamer struikelde vooral over het feit dat de verklaringen op de website gewoon niet correct waren. Zo stelde men vast dat analysecookies enkel maar gebruikt werden mits akkoord van de bezoeker, maar dat de informatie op de website dat niet zo meedeelde.
Ook het feit dat – nadat de Engelstalige versie van de privacyverklaring vervangen werd door een tweetalige versie – de link naar de Franstalige verklaring, toch een Nederlandstalige tekst opleverde.
Onzorgvuldig privacybeleid
De website-eigenaar heeft volgens de Geschillenkamer vooral onzorgvuldig gehandeld. En dat resulteert in een niet onaardige boete van 15.000 euro. Let wel: de GDPR-verordening laat boetes toe tot 20 miljoen euro of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Zo’n vaart zal het nog wel niet lopen voor een onzorgvuldig privacybeleid maar het lijkt er toch op dat de medewerkende houding van de betrokken onderneming zeker positief onthaald werd.
Enkele van de belangrijkste regels die u in acht moet houden als u met cookies werkt op uw website zijn:
• het recht van de gebruiker om al dan niet toestemming te verlenen (behalve voor de technische cookies);
• het recht van de gebruiker om die toestemming ook weer in te trekken;
• transparante, leesbare informatie over uw privacy- en cookiebeleid (let op de taal, zeg hoe lang u de cookies zal bewaren, …);
• een verwerkingsverantwoordelijke aanstellen.
We mogen verwachten dat, naarmate de Geschillenkamer een duidelijkere rechtspraak ontwikkelt in deze materie, zij ook strenger zal optreden ten aanzien van overtreders…