AVG boetes: je hebt zeker gehoord over bedrijven die miljoenen boetes hebben gekregen omdat ze niet AVG compliant waren. Sterker nog, deze sancties kunnen ernstige gevolgen hebben voor bedrijven van elke omvang.
Het gaat niet alleen om de geldwaarde van de sanctie, maar ook om de reputatieschade die ermee gepaard gaat.
In dit bericht bespreken we de grootste AVG boetes die tot nu toe zijn uitgedeeld, om u te helpen begrijpen welke de criteria zijn waarmee Europese Gegevens Bescherming Autoriteiten rekening houden bij het evalueren van AVG inbreuken.
Maar laten we eerst snel samenvatten…
Boetes voor niet-naleving kunnen oplopen tot 20 miljoen euro, of 4% van de jaarlijkse wereldwijde omzet (welke groter is).
Gebruikers hebben het recht om een klacht in te dienen bij een toezichthoudende autoriteit als ze vinden dat de verwerking van hun Gegevens niet conform de AVG was, en vragen om compensatie voor eventuele schade.
Bovendien kunnen deze sancties ook officiële berispingen (voor eerste overtredingen), periodieke Gegevens bescherming audits en aansprakelijkheidsschade omvatten.
Laten we de grootste AVG boetes tot nu toe bekijken.
De grootste AVG boete werd uitgeschreven door de Luxemburgse DPA op 16 juli 2021. De AP legde Amazon Europe een boete op van 746 miljoen euro, na een reeks van 10.000 klachten ingediend door het Franse concern La Quad rature du Net.
De Autoriteit was van oordeel dat Amazon zonder toestemming van de Gebruikers gericht Adverteerde.
Op 5 september 2022 gaf de Ierse Gegevens Protection Commission een boete van 405 miljoen euro aan Meta Platforms, Inc.
De DPC onderzocht de verwerking van Persoonsgegevens van kinderen en constateerde dat het bedrijf e-mailadressen en/of telefoonnummers van kinderen openbaar maakte met behulp van de zakelijke accountfunctie Instagram.
👉 Wil je meer details over dit verhaal? Bekijk onze blog!
Op 4 januari 2023 gaf Ierlands Gegevens Protection Commission (DPC) nog eens 390 miljoen euro boete uit tegen Meta Ireland Limited.
Nadat NOYB drie verschillende klachten had ingediend, concludeerde de DPC dat de verwerking op basis van een contract voor gepersonaliseerde advertenties niet AVG-conform is. Meta vertrouwde op een ConS in hun Voorwaarden om haar Gebruikers gepersonaliseerde advertenties te tonen.
👉 Dit verhaal is veel ingewikkelder dan dit. We hebben geprobeerd om wat licht te werpen in ons artikel hier.
Op 25 november 2022 legde het Ierse DPC Meta een boete op van 265 miljoen euro.
De AP startte in april 2021 een onderzoek, nadat mediaberichten ontdekten dat de Gegevens van Facebook op internet beschikbaar waren gesteld. Dit Gegevens lek betrof de persoonlijke informatie van 533 miljoen Gebruikers.
Meta kreeg een boete omdat het niet voldeed aan de principes van Privacy by Design en Privacy by Default die in de AVG staan.
Op 2 september 2021 heeft de Ierse Gegevens Protection Commission een boete van 225 miljoen euro uitgedeeld tegen WhatsApp Ireland, als conclusie van een onderzoek dat in 2018 was gestart.
WhatsApp voldeed niet aan het AVG principe van transparantie, waardoor Gebruikers niet genoeg informatie kregen over zijn verwerkingsactiviteiten en de wettelijke basis die het gebruikte.
Op 31 december 2021 gaf de CNIL een boete van 90 miljoen euro aan GOOGLE LLC, omdat het niet voldeed aan de Franse Wet op Gegevens Bescherming.
De CNIL vond met name dat YouTube Gebruikers Cookies niet zo gemakkelijk konden Afwijzen als ze konden Accepteren. Naast de boete kreeg Google LLC drie maanden de tijd om het uiterlijk en de werking van zijn Cookiebanner te wijzigen.
De CNIL heeft Google Ireland Ltd een kleinere boete van 60 miljoen euro opgelegd.
De reden was altijd dezelfde als hierboven, maar het verwees naar de website google.fr.
Op dezelfde dag, 31 december 2021, legde de CNIL Facebook Ireland ook een boete op van 60 miljoen euro.
De reden was hetzelfde: Facebook Gebruikers konden Cookies niet zo makkelijk Afwijzen als ze konden Accepteren.
Op 19 januari 2019 legde CNIL Google LLC een boete op van 50 miljoen euro na een reeks klachten van NOYB en La Quadrature du Net.
De belangrijkste reden voor deze boete was een gebrek aan transparantie, onbevredigende informatie en een gebrek aan geldige ConS. Gebruikers hadden niet genoeg informatie over de verwerking van hun Persoonsgegevens.
Dit was een van de eerste grote boetes uitgeschreven onder AVG.
Op 1 oktober 2020 heeft de Hamburgse Commissaris voor Gegevens Bescherming en Vrijheid van Informatie een boete van 35,2 miljoen euro uitgedeeld aan H&M.
Sinds ten minste 2014 waren delen van de werknemers Onderwerp aan een uitgebreide vastlegging van details over hun privéleven. Deze gegevens – zoals vakantie Ervaringen, maar ook ziekteverschijnselen en diagnoses – werden vervolgens vastgelegd, opgeslagen en gebruikt om beslissingen te nemen over hun werk.
De AP kwam alleen op de hoogte van deze overtreding omdat de Gegevens door een technische fout enkele uren voor iedereen in het bedrijf toegankelijk waren.
Hoewel deze sancties enorm zijn, zijn er ook kleinere boetes die elke dag worden uitgedeeld. Europese gegevensbeschermingsautoriteiten zijn zeer actief in het monitoren van AVG compliance.
Hier is de top 10 EU-landen met het hoogste aantal AVG boetes tot nu toe:
Ja, dat kan gebeuren. Natuurlijk krijgt uw kleine bedrijf waarschijnlijk niet zo’n grote boete als de bovenstaande, maar zelfs een kleiner bedrag kan echt impact hebben op uw processen.
Vergeet ook niet dat een monetaire sanctie niet het enige gevolg is van niet-naleving: officiële berispingen, periodieke Gegevens bescherming audits en aansprakelijkheidsschade kunnen zo eng zijn als een boete. Om nog maar te zwijgen van de reputatieschade die een AVG sanctie kan veroorzaken.
Maar maak je geen zorgen! AVG compliance hoeft niet moeilijk te zijn.