Overtreding van verwijderingsplichten van persoonsgegevens
Overtredingen van de gegevensbescherming of van de Algemene Verordening Gegevensbescherming (AVG) kunnen met hoge boetes worden bestraft. Zo heeft de Hamburgse Commissaris voor Gegevensbescherming en Vrijheid van Informatie (HmbBfDI) een boete van 900.000 euro opgelegd aan een bedrijf uit de sector van debiteurenbeheer omdat dit de persoonsgegevens niet tijdig heeft verwijderd.
Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) zijn de eisen aan de gegevensbescherming voor bedrijven aanzienlijk toegenomen. Zo moeten bedrijven bij de verwerking van persoonsgegevens passende maatregelen treffen ter bescherming van de gegevens. Bovendien hebben de betrokken personen recht op tijdige verwijdering van hun gegevens. Bij overtredingen van het gegevensbeschermingsrecht of de AVG kunnen bedrijven gevoelige boetes krijgen, aldus advocatenkantoor MTR Legal Rechtsanwälte, dat onder andere gespecialiseerd is in IT-recht.
Onderzoek van bedrijven in debiteurenbeheer
De opslag van hun persoonlijke gegevens kan vooral voor achterstallige schuldenaars een enorme belasting vormen. Want hun gegevens worden ook regelmatig aan kredietbeoordelingsbureaus doorgegeven. Dit kan bijvoorbeeld het afsluiten van een contract aanzienlijk bemoeilijken. Daarom is het voor schuldenaars van groot belang dat hun gegevens na het verstrijken van de relevante termijnen weer verwijderd worden.
Hamburg is een belangrijke locatie op het gebied van debiteurenbeheer. De Hamburgse Commissaris voor Gegevensbescherming en Vrijheid van Informatie (HmbBfDI) heeft daarom marktsterke bedrijven uit de sector van debiteurenbeheer onderworpen aan een focusonderzoek.
Overwegend positieve conclusie
Tijdens het onderzoek werd in wezen gecontroleerd hoe de persoonsgegevens bij de bedrijven werden opgeslagen en verder verwerkt. Daartoe bezocht de gegevensbeschermingsfunctionaris met zijn team enkele bedrijven op hun vestigingslocaties. De gegevensbeschermers konden een overwegend positieve conclusie trekken. Met name de transparantie van de bedrijven tegenover de betrokken personen is verbeterd, aldus de gegevensbeschermingsfunctionaris in een persbericht van 12 november 2024.
Gegevens te lang bewaard
Er zijn echter ook uitzonderingen. Zo constateerden de controleurs bij een bedrijf dat het datasets bleef bewaren, hoewel de termijnen voor verwijdering allang waren verstreken. Het bedrijf had daarmee datasets met persoonsgegevens in zes cijfers zonder rechtsgrond opgeslagen. Hiermee wordt een overtreding van artikel 5, lid 1, lit. a, 6, lid 1 AVG begaan. De gegevens werden weliswaar niet aan derden doorgegeven, maar zij waren deels nog 5 jaar na het verstrijken van de wettelijke bewaartermijnen opgeslagen en niet uit de database verwijderd, deelde de Hamburgse Gegevensbeschermingsfunctionaris verder mee.
Voor deze overtreding heeft de Gegevensbeschermingsfunctionaris een boete van 900.000 euro aan het bedrijf opgelegd. Het bedrijf heeft de boete geaccepteerd. Dat het bij de afhandeling van de gegevensbeschermingsovertreding met de toezichthoudende autoriteit heeft samengewerkt, is meegenomen in de hoogte van de boete. Vergelijkbare overtredingen werden ook bij een ander bedrijf vastgesteld. Hier zijn de onderzoeken echter nog niet afgerond.
Wanneer een klantrelatie wordt beëindigd, moeten de opgeslagen gegevens direct of na het verstrijken van de bewaartermijnen worden gewist. Een schending van deze verwijderingsplichten kan duur worden, zoals het voorbeeld van het Hamburgse bedrijf laat zien. Om dergelijke overtredingen te vermijden, moeten bedrijven een efficiënte gegevensbeschermingscompliance integreren.
Tijdige verwijdering van de gegevens
Om correct om te gaan met de gevoelige persoonsgegevens, moet ook een systematisch verwijderingsconcept worden ontwikkeld, zodat zij niet onrechtmatig worden opgeslagen en er dus geen overtreding van de AVG plaatsvindt. Al bij het verzamelen van de gegevens moet duidelijk zijn of en hoe lang zij opgeslagen en verder verwerkt mogen worden. Zo kunnen boetes wegens gegevensbeschermingsinbreuken worden vermeden en kan het vertrouwen van de klanten worden versterkt.
Het is daarbij van belang dat de gegevensbescherming niet alleen in de externe relatie met de klanten een belangrijke rol speelt, maar ook intern in de relatie tot de werknemers. Ook de medewerkers hebben volgens de AVG een recht op informatie van hun werkgever met betrekking tot het gebruik van hun persoonsgegevens.
MTR Legal Rechtsanwälte adviseren op het gebied van gegevensbeschermingsrecht en in andere kwesties van IT-recht.
Neem gerust contact met ons op!
