De Gegevensbeschermingsautoriteit (GBA) heeft een privacyboete opgelegd aan een bedrijf voor het negeren van een verzoek van een persoon. Die wilde zijn persoonsgegevens verwijderen uit een adresbestand voor reclame van het betreffende bedrijf.
De verantwoordelijke voor de verwerking bleef de persoon echter direct marketing-e-mails versturen, en deze (ongevraagde) actie was niet conform de GDPR-privacywetgeving. De boete van de GBA bedraagt 172.431 euro, en is tegelijk een waarschuwing voor organisaties die verzoeken tot verwijdering uit adresbestanden (blijven) negeren.
Opdraven met interne excuses lijkt alvast geen optie, zoals blijkt uit deze beslissing. De argumenten van de verwerkingsverantwoordelijke – in dit geval om de data protection officer de schuld te geven – werden niet in aanmerking genomen om te beoordelen of de GDPR werd geschonden. Het komt volgens de GBA de verwerkingsverantwoordelijke toe om de verzoeken te beantwoorden en ervoor te zorgen dat de dpo over voldoende middelen beschikt.
Bedrag
Bij het bepalen van de hoogte van het bedrag van de boete werd rekening gehouden met de verliezen van de aangeklaagde organisatie. De privacyautoriteit maakt voor de berekening gebruik van de EDPB-richtlijnen (European Data Protection Board) om het bedrag van de boete te bepalen.
