Boetes voor Vinted en Kruidvat: het belang van een correcte naleving van de AVG of GDPR

In juli 2024 zijn er enkele opvallende boetes uitgevaardigd door Europese privacy toezichthouders. Zo legde de Litouwse privacy toezichthouder het populaire tweedehandsplatform Vinted een boete op van ruim 2 miljoen Euro omwille van een inbreuk bij de behandeling van een verzoek tot verwijdering van persoonsgegevens door gebruikers van het platform. Daarnaast werd de drogisterijketen Kruidvat beboet door de Nederlandse privacy toezichthouder voor een bedrag van 600.000 euro wegens het volgen van bezoekers op de website kruidvat.nl via zogenaamde “tracking cookies” zonder dat de websitebezoekers hiervoor hun toestemming hadden gegeven.

Deze uitspraken benadrukken nogmaals hoe belangrijk het is voor ondernemingen om te voldoen aan de Europese en nationale wetgeving bij het verwerken van persoonsgegevens van bijvoorbeeld klanten, werknemers of leveranciers.

Uitspraak State Data Protection Inspectorate – boete Vinted

Een aantal gebruikers van het Vinted platform had bij de Franse en Poolse toezichthouders geklaagd dat Vinted niet (of onvoldoende) gereageerd had op hun vraag tot inzage of hun verzoek tot het wissen van de persoonsgegevens die het platform over hen bijhield. Deze klachten werden doorgestuurd naar de Litouwse toezichthouder aangezien de hoofdvestiging van Vinted gevestigd is in Litouwen en deze dus bevoegd was.

Tijdens het onderzoek naar Vinted stelde men vast dat er meerdere inbreuken waren, waaronder:

• Geen correcte behandeling bij een verzoek tot inzage of een verzoek tot verwijdering: Het platform heeft verzuimd om op een juiste wijze op de verzoeken van de betrokkenen te reageren. Vinted vroeg de betrokkenen ten onrechte om een specifieke reden te geven voor het verzoek van het verwijderen van de persoonsgegevens. Daarnaast was Vinted niet transparant ten opzichte van de betrokkenen over de reden waarom zij het verzoek tot verwijdering weigerde.
• “Shadow blocking”: Er bleek ook dat het platform onrechtmatig en in strijd met een aantal beginselen van de AVG “shadow blocking” toepaste. “Shadow blocking” is de verwerking van persoonsgegevens met de bedoeling de gebruiker die de richtlijnen van het Vinted platform zou hebben geschonden, uit te sluiten van het platform zonder dat de gebruiker hiervan op de hoogte wordt gebracht. Vinted paste deze praktijken toe zonder de gebruiker te informeren over dergelijke verwerking van zijn persoonsgegevens.
• Niet voldaan aan verantwoordingsbeginsel: Tot slot werd vastgesteld dat Vinted niet voldoende technische en organisatorische maatregelen had genomen om de naleving van het zogenaamde “verantwoordingsprincipe” uit de AVG te waarborgen om te kunnen aantonen dat zij actie had ondernomen met betrekking tot recht op inzage.

Uitspraak Autoriteit Persoonsgegevens – boete Kruidvat

De drogisterijketen Kruidvat, bekend om zijn brede assortiment aan gezondheids- en schoonheidsproducten, is door de Nederlandse Autoriteit Persoonsgegevens op de vingers getikt voor het plaatsen van zogenaamde “tracking cookies” zonder de toestemming van de websitebezoekers. Kruidvat verzamelde via het plaatsen van die tracking cookies op de website kruidvat.nl diverse persoonsgegevens van bezoekers, zoals locatiegegevens, het surfgedrag, de aankopen en op welke aanbevelingen zij klikten. Deze gegevens werden gebruikt om persoonlijke profielen te creëren.

Men stelde vast dat er sprake was van een onrechtmatige verwerking van persoonsgegevens. De tracking cookies werden namelijk geplaatst op de computers van de bezoekers zonder hun voorafgaande toestemming. De cookiebanner op de website kruidvat.nl had standaard aangevinkte vakjes waarbij “alle cookies accepteren” automatisch was geselecteerd, hetgeen niet voldoet aan de voorwaarden van een geldige toestemming volgens de principes van de AVG. Daarnaast werd vastgesteld dat het proces om de toestemming in te trekken (“opt-out”) te ingewikkeld en omslachtig was: voor het plaatsen van tracking cookies is het vereist om de rechtsgeldige toestemming te verkrijgen van de websitebezoekers. Dit wil zeggen dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Het gebruik van vooraf aangevinkte vakjes in de cookiebanner voldoet hier niet aan. Het verzamelen en verwerken van persoonsgegevens op deze manier wordt dan ook beschouwd als onrechtmatig (en in strijd met de AVG).

Wat betekent dit voor jouw onderneming?

Beide uitspraken benadrukken opnieuw het belang van het verwerken van persoonsgegevens in overeenstemming met de AVG-principes, zoals eerder in dit artikel besproken.

Ondernemingen zullen zowel intern als extern de betrokkenen (klanten, werknemers, leveranciers,…) op een duidelijke, transparante en begrijpelijke manier moeten informeren over de verwerking van hun persoonsgegevens, o.m. bij de behandeling van inzage- of verwijderingsverzoeken of bij het plaatsen van cookies via een cookiebanner. Het niet naleven van deze AVG-principes kan ertoe leiden – zoals is gebleken bij Vinted en Kruidvat – dat ondernemingen door de nationale privacy toezichthouder worden beboet.

Onze PKF BOFIDI Legal-experten staan voor jou klaar

PKF BOFIDI Legal kan je in elk geval bijstaan met een correcte naleving van de AVG door o.m.: het opstellen van duidelijke interne en externe policies; advisering rond rechtmatige verwerking van persoonsgegevens, transparantieplicht, het implementeren van cookiebanners, …. Neem gerust contact op met ons team.

Dit artikel werd geschreven door Jenny Cheung, zij is gespecialiseerd in intellectuele eigendom, ICT, gegevensbescherming en privacy.