Overtreding van de verwijderingsplicht van persoonlijke gegevens
Overtredingen van de gegevensbescherming of de Algemene Verordening Gegevensbescherming (AVG) kunnen worden bestraft met hoge boetes. Zo heeft de Hamburgse commissaris voor gegevensbescherming en vrijheid van informatie (HmbBfDI) een boete van 900.000 euro opgelegd aan een bedrijf in de incassobranche, omdat het de persoonlijke gegevens niet op tijd heeft verwijderd.
Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) zijn de eisen aan de gegevensbescherming voor bedrijven aanzienlijk toegenomen. Zo moeten bedrijven bij de verwerking van persoonlijke gegevens passende maatregelen nemen om de gegevens te beschermen. Daarnaast hebben de betrokkenen recht op tijdige verwijdering van hun gegevens. Bij overtredingen van de gegevensbeschermingswet of van de AVG kunnen de bedrijven forse boetes krijgen, zegt de zakelijke rechtsadvocaten van MTR Legal, die onder meer adviseren op het gebied van IT-recht.
Onderzoek van bedrijven in de incassobranche
Het opslaan van persoonlijke gegevens kan vooral voor wanbetalers een enorme belasting zijn. Want hun gegevens worden ook regelmatig aan kredietinformatiebureaus doorgegeven. Dit kan bijvoorbeeld het afsluiten van een contract aanzienlijk bemoeilijken. Daarom is het voor de schuldenaars van groot belang dat hun gegevens na het verstrijken van de relevante termijnen weer worden verwijderd.
Hamburg is een belangrijke locatie op het gebied van incassomanagement. De Hamburgse commissaris voor gegevensbescherming en vrijheid van informatie (HmbBfDI) liet daarom als onderdeel van een gerichte controle sterke marktpartijen in de incassobranche onder de loep nemen.
Grotendeels positief oordeel
Daarbij werd in principe gecontroleerd hoe de persoonlijke gegevens bij de bedrijven worden opgeslagen en verwerkt. De gegevensbeschermingsfunctionaris bezocht met zijn team enkele bedrijven ter plaatse in hun kantoorruimtes. Daarbij konden de gegevensbeschermers een grotendeels positief oordeel vellen. Vooral de transparantie van de bedrijven tegenover de betrokkenen is verbeterd, deelde de gegevensbeschermingscommissaris in een persbericht van 12 november 2024 mee.
Gegevens te lang bewaard
Er zijn echter ook uitzonderingen. Zo ontdekten de inspecteurs bij een bedrijf dat datasets bewaard werden, hoewel de verwijderingstermijnen allang waren verstreken. Het bedrijf had datasets met persoonlijke gegevens van een zes cijferig aantal zonder rechtsgrond opgeslagen. Dit is een overtreding van artikel 5 lid 1 lit. a, 6 lid 1 AVG. De gegevens werden weliswaar niet aan derden doorgegeven, maar waren in sommige gevallen nog 5 jaar na het verstrijken van de wettelijke bewaartermijnen opgeslagen en niet uit de database verwijderd, meldde de Hamburgse gegevensbeschermingscommissaris verder.
Voor deze overtreding heeft de gegevensbeschermingscommissaris een boete van 900.000 euro tegen het bedrijf opgelegd. Het bedrijf heeft de boete geaccepteerd. Dat het bij de verwerking van de gegevensbeschermingsovertreding met de toezichthoudende autoriteit heeft samengewerkt, werd bij de hoogte van de boete in aanmerking genomen. Soortgelijke overtredingen werden ook bij een ander bedrijf vastgesteld. Hier zijn de onderzoeken echter nog niet afgerond.
Wordt een klantrelatie beëindigd, dan moeten de opgeslagen gegevens onmiddellijk of na het verstrijken van de bewaartermijnen worden verwijderd. Een overtreding van deze verwijderingsverplichtingen kan duur uitvallen, zoals het voorbeeld van het Hamburgse bedrijf laat zien. Om dergelijke overtredingen te voorkomen, moeten bedrijven een efficiënte gegevensbeschermingscompliance integreren.
Tijdige verwijdering van de gegevens
Om op een juridisch correcte manier met de gevoelige persoonlijke gegevens om te gaan, moet ook een systematisch verwijderingsconcept worden uitgewerkt, zodat ze niet onrechtmatig worden opgeslagen en er daardoor een overtreding van de AVG ontstaat. Al bij het verzamelen van de gegevens moet duidelijk zijn of en hoe lang ze opgeslagen en verder verwerkt mogen worden. Zo kunnen boetes wegens gegevensbeschermingsovertredingen worden vermeden en het vertrouwen van de klanten worden versterkt.
Hierbij moet worden opgemerkt dat gegevensbescherming niet alleen extern tegenover klanten een belangrijke rol speelt, maar ook intern ten opzichte van de werknemers. Want ook de medewerkers hebben volgens de AVG een recht op inzage ten aanzien van hun werkgever over het gebruik van hun persoonlijke gegevens.
MTR Legal Rechtsanwälte adviseren over gegevenbeschermingsrecht en bij andere vragen over IT-recht.
Neem gerust contact met ons op!
