Het Europees Hof heeft een Duitse burger gelijk gegeven in een zaak waarbij de Europese Commissie haar eigen privacyregels schond. In ons land is zo’n zaak lastiger.
De Europese Commissie heeft gegevens van de burger overgedragen aan de VS zonder daarbij de nodige voorzorgsmaatregelen te nemen. Daardoor moet de Commissie die persoon nu 400 euro betalen.
De oorzaak van het incident ligt bij de mogelijkheid om in te loggen met een Facebookaccount op de site van een conferentie van de Europese Commissie, meldt Reuters. De Duitser die dat deed, zegt dat op die manier het IP-adres, de browser en informatie over het toestel werden overgedragen naar de VS. Specifiek naar Amazon dat de host is van de site van de Commissie.
Die overdracht is een schending van de GDPR volgens de burger en het Europees Hof volgt daarin, hetzij met een relatief kleine boete. Tegenover Reuters zegt de Commissie dat het de beoordeling en de gevolgen zal bestuderen.
Kan een overheid zelf beboet worden?
Dat een Europese instelling een privacyboete krijgt is zeldzaam, dat het om regels gaat die het zelf heeft opgesteld, maakt het des te opmerkelijker. Het is ook de eerste keer dat de Commissie een GDPR-veroordeling krijgt.
Maar niet elke overheidsdienst kan zomaar een privacyboete krijgen, leert Data News bij navraag bij de Gegevensbeschermingsautoriteit. Belgische instellingen, inclusief lokale en regionale overheidsdiensten, zijn bijvoorbeeld vrijgesteld. Bij de implementatie van de wetgeving kon elke lidstaat kiezen in welke mate er boetes opgelegd worden aan overheidsinstanties.
België maakt daarbij de keuze om de Algemene Verordening Gegevensbescherming (AVG, de Nederlandse vertaling van de GDPR) niet van toepassing te maken ‘op de overheid en hun aangestelden of gemachtigden, tenzij het gaat om een publiekrechtelijk rechtspersoon die goederen of diensten aanbiedt op een markt.’ Een bedrijf in handen van de overheid, bijvoorbeeld de NMBS, is dus wel onderhevig aan de wetgeving.
Dat maakt dat een Federale overheidsdienst, een Waals, Vlaams of Brussels agentschap nooit een GDPR-boete kunnen krijgen. De Gegevensbeschermingsautoriteit nuanceert wel dat het zelf niet bevoegd is voor privacygeschillen met de politie. Dat valt onder het COC (controleorgaan op de politionele Informatie).
Fout opgemerkt of meer nieuws? Meld het hier