Luxemburg neemt het voortouw: GDPR-boetes rijzen de pan uit in het derde kwartaal
Luxemburg voert een lijst aan van Europese landen die boetes opleggen in verband met gegevensbescherming, waarbij bijna driekwart van alle boetes in het meest recente kwartaal zijn opgelegd. Volgens gegevens van onderzoeksbureau Finbold zijn het bedrag en de omvang van boetes voor schendingen van de General Data Protection Regulation (GDPR) in Europa in het derde kwartaal van dit jaar astronomisch gestegen, tot net geen 1 miljard euro (984,47 miljoen euro). Dit was bijna twintig keer hoger dan de boetes in de voorgaande twee kwartalen samen (50,26 miljoen euro) bedroegen. De boetes voor het derde kwartaal waren ook drie keer hoger dan de 306,3 miljoen euro die in heel 2020 was opgelegd.
Twee specifieke geldboetes, respectievelijk opgelegd aan Amazon en WhatsApp, waren verantwoordelijk voor bijna het totale boetebedrag. Op 16 juli kreeg Amazon Europe Core een boete van 746 miljoen euro en werd hen verzocht de consumentengegevens anders te verwerken. De klacht werd oorspronkelijk in 2018 ingediend door de Franse organisatie voor de bescherming van privacyrechten, die beweerde dat de reclamepraktijken van Amazon niet zijn gebaseerd op vrije toestemming. Volgens het EU-recht kan een bedrijf er echter voor kiezen de zaak te verdedigen in elk van de EU-lidstaten waar het actief is. In dit geval heeft Amazon Luxemburg en zijn gegevensbeschermingsautoriteit (DPA) gekozen om het onderzoek te behandelen.
Ondertussen deelde de Ierse commissie voor gegevensbescherming (DPC) in september een boete van 225 miljoen euro uit aan het social media berichtenplatform WhatsApp, na een drie jaar durend onderzoek naar de vraag of het privacybeleid van WhatsApp de gebruikers wel voldoende details verschaft over hoe hun gegevens worden gebruikt. De oorspronkelijke boete van de Ierse DPC was vastgesteld op 30 tot 50 miljoen euro, maar werd aangevochten door andere Europese toezichthouders, die de zaak doorverwezen naar het Europees Comité voor gegevensbescherming, dat een zwaardere boete oplegde. Vóór deze twee zaken was de grootste boete voor een GDPR-schending binnen de EU de boete van 50 miljoen euro die in 2019 aan Google werd opgelegd vanwege zijn reclamepraktijken.
Hoewel de Amazon- en WhatsApp-zaken de statistieken voor de boetes van het derde kwartaal vertekenen, brengen zij ook twee zeer belangrijke tendensen aan het licht wat de handhaving van gegevensbescherming in de EU betreft. Ten eerste neemt de omvang van de sancties toe. Het is nog maar drie jaar geleden dat de GDPR in werking is getreden. Ten tweede kan het feit dat ondernemingen kunnen kiezen welke gegevensbeschermingsautoriteit van een EU-lidstaat een onderzoek behandelt, leiden tot een concentratie van zaken in staten als Luxemburg, waar veel ondernemingen hun Europese hoofdkantoor vestigen. Bovendien, zoals in het geval van de WhatsApp-zaak, kunnen andere nationale toezichthouders zich ermee gaan bemoeien als zij vinden dat de boete die door de onderzoekende gegevensbeschermingsautoriteit is opgelegd, niet voldoende bestraffend is.
Volgens het onderzoeksrapport van Finbold heeft de pandemie er ook toe geleid dat de regelgevers zich in 2020 soepeler hebben opgesteld. ‘In die periode hebben de bedrijven het financieel zwaar gehad. Daarom kan worden aangenomen dat de hoge boetes in 2021 erop wijzen dat de demping als gevolg van de pandemie niet langer van toepassing is, aangezien de meeste landen hun normale economische activiteiten hervatten te midden van de vaccinatiecampagnes,’ aldus het verslag.
