Menu

Hoogste GDPR boete: duidelijk signaal van GBA

Met deze boete geeft de GBA een duidelijk signaal: websitebeheerders kunnen niet onderuit aan de naleving van de privacyregelgeving.

De website in kwestie heeft (ironisch genoeg) als missie om juridische professionals up-to-date te houden. De site publiceert artikels over actuele onderwerpen binnen het Belgisch recht en de juridische wereld in het algemeen. Maandelijks bereikt de website naar eigen zeggen een publiek van 35.000 lezers, waaronder voornamelijk advocaten, juristen en rechtenstudenten.

(dit is wat de websitebeheerder zelf over de boete zegt)

GDPR boete voor privacybeleid en cookies

De Inspectiedienst van de GBA startte begin 2019 met het onderzoek na vaststelling dat het privacybeleid en het cookiebeheer van de website niet volledig volgens de privacyregelgeving zouden zijn. De relevante regelgeving in dit geval bestaat uit de GDPR en de ePrivacy-richtlijn. Deze laatste regelgeving vult de GDPR aan ivm de verzameling en verdere verwerking van persoonsgegevens via cookies.

Wat waren de inbreuken?

Hieronder volgt een beknopt overzicht van wat de GBA als problematisch aanmerkte bij de doorlichting van de website. Het merendeel van deze zaken, waaronder de privacyverklaring, werd in de loop van de procedure al aangepast door de websitebeheerder.

Transparantie

De privacy- en cookieverklaring waren enkel beschikbaar in het Engels, terwijl het publiek van de website Nederlands- en Franstalig is. Bovendien was de informatie niet gemakkelijk toegankelijk en werd er verwezen naar Amerikaanse privacyregelgeving. Er stond ook vermeld dat IP-adressen geen persoonsgegevens zijn, wat binnen de Europese rechtspraak niet klopt.

Informatieverplichting

De privacy- en cookieverklaring vermeldde de identiteit en contactgegevens van de verwerkingsverantwoordelijke niet. Andere ontbrekende vermeldingen waren: de rechten die betrokkenen kunnen inroepen tegenover de verwerkingsverantwoordelijke, de rechtsgronden voor de verwerking van persoonsgegevens en de doeleinden ervan, het recht om een klacht in te dienen bij de GBA en een bewaartermijn voor de door cookies verzamelde persoonsgegevens.

Cookiebeheer

Aanvankelijk vroeg de website helemaal geen toestemming aan bezoekers voor het gebruik van cookies. Daarna vroeg de website dit wel met  een cookiebanner, maar daarop zag de bezoeker vooraf aangevinkte vakjes. De websitebezoeker moest dus overgaan tot het uitvinken van de vakjes, om het gebruik van de cookies te weigeren. Dat volstaat onder de GDPR niet om een rechtsgeldige toestemming te verkrijgen, zoals ook bevestigd door het Europese Hof van Justitie. De websitebezoeker moet net een actieve handeling (zoals dus het aankruisen van een vakje) uitvoeren om zijn toestemming kenbaar te maken. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit tellen dan ook niet als toestemming. Bovendien ontbrak er een knop om cookies uitdrukkelijk te weigeren in de cookiebanner (wat echter geen verplichting is), net als een gemakkelijke manier om toestemming terug in te trekken.

Rechtsgrond voor analytische cookies

De website gebruikt cookies die analyseren hoe de bezoeker de website gebruikt en hoe hij/zij op de website terechtgekomen is. De hieruit verzamelde statistieken worden onder meer gebruikt om de website aantrekkelijker en gebruiksvriendelijker te maken. Aangezien deze cookies niet strikt noodzakelijk zijn, vereist de privacyregelgeving hiervoor de toestemming van de bezoeker. De websitebeheerder baseerde het gebruik van deze cookies foutief op haar gerechtvaardigde belangen.

Verweer van de websitebeheerder

De websitebeheerder gaf als verweer, onder meer, dat een zeer beknopte privacy- en cookieverklaring zou moeten volstaan, aangezien het doelpubliek van de website bestaat uit juridische professionals en rechtenstudenten. De GBA bevestigt dat de verleende informatie in het licht van de doelgroep “begrijpelijk” moet zijn als het gaat om onder meer het taalniveau. Dat betekent echter niet dat er informatie mag ontbreken die verplicht verstrekt moet worden op basis van de GDPR (zoals de identiteit en contactgegevens van de verwerkingsverantwoordelijke).

Voorbeeldfunctie?

Een ander verweer van de websitebeheerder was dat zij geen voorbeeldfunctie vervult, in tegenstelling tot de vaststellingen van de Inspectiedienst. De website is weliswaar gespecialiseerd in de publicatie van juridisch nieuws, maar beschikt naar eigen zeggen zelf niet over een bijzondere juridische expertise. Deze expertise zou berusten bij de auteurs van de individuele artikels. De GBA gaat er echter vanuit dat de websitebeheerder op de hoogte is van het belang van de juistheid van de juridische informatie die ze beschikbaar stelt. Hetzelfde geldt voor de plicht om wettelijke vereisten na te leven. Anderzijds stelt de GBA dat het feit dat de verwerkingsverantwoordelijke algemene juridische diensten verstrekt, geen zwaardere sanctie rechtvaardigt.

Cookies gerechtvaardigd belang

Voor het gebruik van cookies voor analytische doeleinden, verweerde de websitebeheerder zich met de verklaring dat deze cookies essentieel zijn voor het verstrekken van een dienst aan de gebruiker die hij of zij zelf wenst af te nemen. Voor dergelijke cookies is de toestemming van de websitebezoeker dan niet vereist.

Het gaat om analytische cookies zouden de auteurs namelijk “essentiële inzichten bezorgen met betrekking tot de door hen geschreven artikelen”. De auteurs zouden immers enkel artikels aan de website willen bezorgen als zij hiermee een groot aantal lezers bereiken.

First party cookies

Bovendien zouden deze cookies weinig invloed hebben op de privacy van de gebruikers, omdat de gebruikte vorm van cookies (zogenaamde ‘first-party cookies’) in principe geen persoonsgegevens doorgeven aan derde partijen met het oog op het gebruik hiervan voor hun eigen doeleinden.

De GBA bevestigt echter dat voor het gebruik van dergelijke cookies wel degelijk toestemming vereist is. Enkel cookies die strikt noodzakelijk zijn om een door een gebruiker gevraagde dienst te leveren, vallen immers onder de vrijstelling. Dit is hier niet het geval, omdat het gaat om cookies die analytische inzichten verstrekken aan de auteurs van artikels die op de website gepubliceerd worden. De GBA heeft zich verder niet ingelaten met de vraag of de betreffende cookies überhaupt als ‘first-party’ kwalificeren.

Hoogste GDPR boete van 15.000 euro

De Geschillenkamer van de GBA acht de inbreuken op de privacyregelgeving bewezen en heeft de strengste sanctie tot nu toe opgelegd. De beheerder van de juridische nieuwssite is veroordeeld tot een administratieve geldboete van 15.000 euro. De volledige beslissing van de Geschillenkamer van de GBA is hier  raadpleegbaar. De websitebeheerder heeft nog enkele weken de tijd om – indien gewenst – beroep aan te tekenen tegen de beslissing.

Vragen over GDPR of andere privacyregels?

Vraag het aan ons team Privacy & IT

Contact

 Ook interessant