Eerste optreden van Europese databeschermer tegen verantwoordelijke buiten de EU (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

Publicatiedatum: 09/01/2019

De Britse gegevensbeschermingsautoriteit ICO heeft voor het eerst een sanctie opgelegd onder de Algemene Verordening Gegevensbescherming 2016/679 (“GDPR”) aan een bedrijf buiten de Europese Unie dat persoonsgegevens van EU onderdanen verwerkt.

De GDPR is op basis van artikel 3, lid 2, b niet enkel van toepassing op Europese organisaties, maar ook op organisaties buiten de EU als zij persoonsgegevens verwerken die betrekking hebben op inwoners van de EU.  De European Data Protection Board heeft afgelopen november nog verduidelijkt hoe die regels precies toegepast moeten worden, overigens.

Behavioural advertising om verkiezingen te beïnvloeden

De voorbije maanden heeft de Britse ICO een onderzoek gevoerd naar de activiteiten van een Canadees politiek advies- en technologiebedrijf dat persoonsgegevens van Britse burgers zou gebruikt hebben in het kader van behavioural advertising campagnes tijdens recente verkiezingen in het VK en tijdens het Brexit-referendum.

Het bedrijf zou persoonsgegevens van duizenden Britten ontvangen hebben van Britse politieke lobbygroepen om op basis van het surfgedrag en de voorkeuren van deze mensen aangepaste politieke boodschappen te verspreiden met het oog op die verkiezingen en het referendum.  Volgens de Britse gegevensbeschermingsautoriteit gebeurde dat zonder geldige rechtsgrond en zonder het naleven van de informatieverplichtingen die GDPR met zich meebrengt, met name de meldingsplicht bij doorgifte van persoonsgegevens aan een derde of bij ontvangst van persoonsgegevens van een derde zoals voorzien onder artikel 14 van de verordening.

In casu werden de gegevens van de betrokkenen verwerkt zonder hun toestemming, door een bedrijf dat zij niet kenden, zonder dat zij zich daarvan bewust waren en voor doeleinden waarmee zij nooit zouden hebben ingestemd.

Sanctie

De ICO heeft op 6 juli 2018 een eerste waarschuwing gegeven aan het betrokken bedrijf in Canada.  In die eerste kennisgeving eiste de ICO dat het bedrijf de verwerking van persoonsgegevens van inwoners van het VK of andere EU-lidstaten die verkregen waren van politieke organisaties in het VK of elders met het oog op gegevensanalyse, politieke campagnes of andere reclamedoeleinden, onmiddellijk zou stoppen.

Vier maanden na de eerste waarschuwing heeft de ICO vervolgens op 24 oktober 2018 een tweede waarschuwing gegeven waarin aan het bedrijf 30 dagen gegeven wordt om de data van alle betrokken Britse burgers (er is niet langer sprake van inwoners van andere EU lidstaten in de tweede waarschuwing) definitief te wissen, onder dreiging van de in de GDPR voorziene boetes tot 20 miljoen euro of 4% van de wereldwijde omzet.

Het Canadese bedrijf had in eerste instantie beroep aangetekend tegen de eerste waarschuwing, maar nadat de tweede waarschuwing de sanctie beperkt had tot enkel Britse burgers in plaats van alle EU onderdanen, heeft het bedrijf zich alsnog vrijwillig geschikt naar het bevel van de ICO.

De volledige tekst van de tweede waarschuwing kan u hier nalezen.

Bedrijven buiten de EU ontsnappen niet aan GDPR

Bedrijven buiten de EU ontsnappen niet aan de GDPR.  Artikel 3, lid 2, b voorziet dat de verordening ook van toepassing is op bedrijven buiten de EU die persoonsgegevens verwerken van inwoners van de EU en die zich daarbij ook effectief op EU-inwoners richten.  Het gaat daarbij dus niet enkel om gegevens van EU-burgers, maar ook om gegevens van bijvoorbeeld Amerikaanse of Canadese expats die in de EU verblijven.

Bedrijven die gegevens verwerken van EU-inwoners moeten voldoen aan de regels van de GDPR én van elk van de nationale implementatiewetten van de landen waar die EU-inwoners verblijven.  Social mediabedrijven als bijvoorbeeld Facebook die in de ganse EU actief zijn, moeten dus rekening houden met de GDPR én met nationale wetgevingen.

Bovendien moeten zulke bedrijven een vertegenwoordiger in de EU aanduiden, die als aanspreekpunt voor de Europese gegevensbeschermingsautoriteiten kan functioneren.

De vraag is vanzelfsprekend in welke mate bedrijven buiten de EU effectief aangepakt kunnen worden.  In dit specifieke geval is het bedrijf zelf bereid om zijn activiteiten aan te passen, maar wat als een bedrijf in Rusland, China of elders weigert om in te stemmen met een verzoek een een Europese GBA om data te wissen?  Het bedrijf in kwestie zal dan potentieel een boete oplopen die miljoenen euros kan bedragen, maar als het bedrijf vervolgens geen vestiging of bezittingen in de EU blijkt te hebben is het nog maar zeer de vraag of zulke boetes ooit ook effectief afgedwongen kunnen worden…

In afwachting van meer van deze cases mag het in elk geval een geruststelling heten voor Europese ondernemingen dat concurrenten van buiten de EU ook gecontroleerd worden (althans in sommige lidstaten, vooralsnog niet in België bij ons weten…) en dus dezelfde regels moeten volgen, wat het gevaar op oneerlijke concurrentie alvast beperkt…

Lees hier het originele artikel