Riskeert ook u een GDPR-boete op basis van uw cookiebeleid?
Op 17/12/2019 werd Jubel, een juridische nieuwswebsite, een boete opgelegd van maar liefst € 15.000,00 wegens schendingen van de verplichtingen bij het gebruik van cookies. Jubel werd zo de eerste Belgische website waaraan door de Gegevensbeschermingsautoriteit dergelijke geldboete werd opgelegd. In deze bijdrage bieden wij u een overzicht van wat deze beslissing voor uw website betekent.
De Gegevensbeschermingsautoriteit
De Gegevensbeschermingsautoriteit, opvolger van de Privacycommissie, is de instantie die toezicht houdt op de naleving van de regelgeving inzake de bescherming van de persoonsgegevens, en met name de regels uit de Algemene Verordening Gegevensbescherming (AVG).
Met haar beslissing van 17/12/2019 heeft de Gegevensbeschermingsautoriteit een voorbeeld willen stellen. Men heeft duidelijk willen maken dat de GDPR-regels voor iedereen gelden. Dit betekent dat de Gegevensbeschermingsautoriteit niet alleen de grote spelers zal viseren, maar ook kleine en middelgrote ondernemingen kan bestraffen.
Welke verplichtingen zijn van toepassing?
Een cookiebeleid is in overeenstemming met de AVG-normen wanneer de gebruiker uitdrukkelijk toestemming moet geven voor het gebruik van alle niet strikt noodzakelijke cookies. Dit zijn de cookies die noodzakelijk zijn om een website correct te laten functioneren. Voor alle andere cookies, bijvoorbeeld social media plug-ins voor Google Analytics, dient de uitdrukkelijke toestemming te worden bekomen. Bovendien dient het cookiebeleid transparant te zijn. Dit houdt in dat aan de gebruiker de nodige informatie moet worden verstrekt over de gebruikte cookies, bijvoorbeeld over de doeleinden, de verwerkte gegevens, hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies hebben. Deze informatie moet ook in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in een duidelijke en eenvoudige taal aan de gebruiker worden verstrekt.
Sanctie dreigt voor tal van websites
De inspectiediensten van de Gegevensbeschermingsautoriteit stelden vast dat door Jubel in eerste instantie geen toestemming werd gevraagd aan de gebruikers van haar website voor het gebruik van cookies. Dit werd door Jubel aangepast door middel van een cookiebanner waarbij de vakjes om toestemming te geven niet waren aangekruist. Ook dit is voor de Gegevensbeschermingsautoriteit niet aanvaardbaar. Er moet een actieve toestemming te worden verstrekt door de gebruiker. Daarnaast bleek ook de door Jubel ter beschikking gestelde informatie over de gebruikte cookies onvoldoende. Zo werd er onder andere geen volledig overzicht gegeven van de cookies die door derde partijen geplaatst werden. Het mag duidelijk zijn dat veel websites niet in orde zijn met de door de Gegevensbeschermingsautoriteit neergelegde standaard. Daarenboven blijkt dat eenieder in het vizier kan komen van de Gegevensbeschermingsautoriteit. Elkeen die over een website beschikt en gebruik maakt van cookies, is zich maar beter bewust van de boetes die kunnen worden opgelegd wanneer dit niet in overeenstemming met de GDPR-regels zou gebeuren.
Wilt u meer informatie over hoe u uw website in overeenstemming kunt brengen met de privacyregels? Aarzel niet en contacteer ons. https://www.dehaese.be/nl/expertise/intellectuele-...
Tom Daems
Advocaat DEHAESE & DEHAESE Advocatenkantoor
