Duitse laptopwinkel krijgt AVG-boete van 10,4 miljoen euro opgelegd
De privacytoezichthouder van de Duitse deelstaat Nedersaksen heeft laptopwinkel notebooksbilliger.de een boete van 10,4 miljoen euro opgelegd voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Zeker twee jaar lang werd het personeel illegaal gefilmd op de werkvloer, magazijn en andere locaties terwijl hiervoor elke juridische grondslag ontbrak, aldus de Landesbeauftragte für den Datenschutz (LfD) van Nedersaksen.
De winkel stelde dat het met de videocamera's diefstal van apparatuur wilde voorkomen en onderzoeken, en tevens wilde kijken hoe de goederenstroom in de magazijnen liep. De LfD laat weten dat bedrijven die diefstal willen voorkomen eerst minder ingrijpende maatregelen moeten onderzoeken, zoals willekeurige controles van het personeel. Videosurveillance is daarnaast alleen toegestaan als het tegen een specifiek persoon is gericht. In dergelijke gevallen mag cameratoezicht alleen voor een beperkte periode worden ingezet.
Bij notebooksbilliger.de vond de videosurveillance zeker twee jaar plaats en was niet tegen een specifiek persoon gericht. Daarnaast werden de opnames in veel gevallen zestig dagen bewaard, wat volgens de LfD langer dan noodzakelijk is. De LfD spreekt van een ernstig geval van cameratoezicht binnen het bedrijf waardoor de rechten van medewerkers zijn geschonden. Ook het afschrikwekkende effect van cameratoezicht, wat vaak als reden wordt gegeven, is geen rechtvaardiging om de persoonlijke rechten permanent te schenden, aldus de toezichthouder.
Daarnaast zijn ook klanten van de winkel slachtoffer geworden, aangezien camera's ook waren gerricht op de verkoopruimte. De surveillance in deze ruimtes was disproportioneel, gaat de LfD verder. De boete van 10,4 miljoen euro is de hoogste die de LfD tot nu toe voor het overtreden van de AVG heeft opgelegd.
In een reactie noemt notebooksbilliger.de de boete disproportioneel en onwettig en heeft ook beroep aangetekend. Volgens de winkel is er geen rekening met de financiële slagkracht van het bedrijf gehouden en is het camerasysteem geen enkel moment gebruikt voor het beoordelen van medewerkers. "Het is absurd dat een autoriteit een boete van meer dan 10 miljoen euro zonder adequaat feitenonderzoek kan opleggen", zegt ceo Oliver Hellmold (pdf).
Hoe haal je het als bedrijf in je hoofd om zoiets te doen?
Hoe haal je het als bedrijf in je hoofd om zoiets te doen?
Ik denk dat ze hier wel een punt hebben dat het een gerechtvaardigd belang zou betreffen. Mits men het natuurlijk via de voorgeschreven route door de besluitvorming heeft gehaald en ook echt had geborgd dat dit niet in de beoordeling van medewerkers werd toegepast. Dat laatste is natuurlijk een lastige, want bij veel bedrijven is het zo dat als het eenmaal kan....het hek van de dam is.
Overigens worden in heel Europa op alle snelwegen en binnen alle stadscentra gefilmd (zonder duidelijke opgaaf van reden en zonder de mogelijkheid om bezwaar te maken) dus dat een bedrijf dit voor z'n kiezen krijgt is wel heel erg fors...
Het is toch haast niet meer te doen, videobeveiliging i.c.m. privacy regels, als er wat gebeurt roept iedereen "laat die filmbeelden dan zien, ze zijn er toch" maar vervolgens komt er een advocaat binnenwandelen en die veegt het harde bewijs van tafel omdat er onwettige opnames worden gebruikt in de rechtbank.
Lastig.
Het is absurd dat een werkgever zich niet aan de AVG houdt, medewerkers heimelijk filmt en zich vervolgens als de gebeten hond voordoet... Fikkie, AF!
De gedupeerde medewerkers of de staat?
De gedupeerde medewerkers of de staat?
Het is toch haast niet meer te doen, videobeveiliging i.c.m. privacy regels, als er wat gebeurt roept iedereen "laat die filmbeelden dan zien, ze zijn er toch" maar vervolgens komt er een advocaat binnenwandelen en die veegt het harde bewijs van tafel omdat er onwettige opnames worden gebruikt in de rechtbank.
Lastig.
Zoals ik al eerder heb aangegeven: de AVG is er niet om informatie verzamelen en delen tegen te gaan, maar om eisen te stellen aan dat verzamelen en delen.
Als dit bedrijf in het bedrijfsreglement duidelijk had aangegeven dat, en waarom, ze videobewaking gebruiken (bv. om kans van diefstal te verkleinen) dan is dat prima toegestaan. Er is dan een belang (doel binding), en alle partijen zijn geinformeerd. Extra eis is dan wel dat er geen minder ingrijpende manier is. Het gebruik van diezelfde beelden voor een ander doel, bv. om te kijken of iedereen wel op tijd aanwezig is, is dan bv. expliciet verboden, want het staat niet in het reglement.
Waarom het hier "fout gaat" is dat het kennelijk geheime opnames zijn. Dat is niet toegestaan. Uitzondering is er wel, als er een expliciete zaak is die niet op een andere manier vastgesteld kan worden, dan is het (alleen voor die case) voor een korte tijd toegestaan. Het beste is om dat dan via een extern buro te laten lopen, zodat het ook niet "per ongeluk" door blijft gaan. Een mogelijk voorbeeld is structureel terugkomende diefstal uit een fooienpot, waar het hele bedrijf bij kan, maar er kennelijk één rotte appel is die de pot leeg haalt.
Q
J.O.
Beetje de baby met het waswater weggooien...
Je kunt de tegenvraag gaan verwachten.
Bij schade de schade verhalen bij privacy toezichthouders wegens faciliteren van misdaad.
Hoe haal je het als bedrijf in je hoofd om zoiets te doen?
Ik denk dat ze hier wel een punt hebben dat het een gerechtvaardigd belang zou betreffen. Mits men het natuurlijk via de voorgeschreven route door de besluitvorming heeft gehaald en ook echt had geborgd dat dit niet in de beoordeling van medewerkers werd toegepast. Dat laatste is natuurlijk een lastige, want bij veel bedrijven is het zo dat als het eenmaal kan....het hek van de dam is.
Het slaat nergens op om dit als "gerechtvaardigd belang" proberen te verkopen.
"De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is (artikel 6.1.f) AVG). "
Een gerechtvaardigd belang moet steeds "noodzakelijk" zijn. Ze zeggen dus eigenlijk dat het niet mogelijk is om een diefstal te voorkomen of te onderzoeken zonder die camera's.
Tuurlijk maken camera's dat makkelijker, maar "noodzakelijk" is echt iets anders.
De hele wettekst omtrent "gerechtvaardigd belang" zegt zelf expliciet dat dit niet mag ingaan tegen de "belangen of de grondrechten en de fundamentele vrijheden van de betrokkene".
"Privacy" is een grondrecht, weet je?
Beetje de baby met het waswater weggooien...
Moest dat gebeuren, dan is dat inderdaad jammer...
De vraag is echter, is dat relevant? Of is dat zelfs maar een denkbeeld dat steek houdt?
Eigenlijk praat je een overtreding van een bedrijf goed, omdat anders de medewerkers mogelijk gevolgen hebben.
Tuurlijk betalen we minder dan het minimumloon, want nu hebben meer mensen werk...
Tuurlijk gebruiken we kinderarbeid, want anders werden die straatkinderen mogelijk misbruikt...
etc...
Gelukkig zijn dergelijke bedrijven in de minderheid.
J.O.
AVG is AVG. Ook na de Brexit is het nodige gedaan om dat gelijk te houden. (EU GDPR / UK GDPR)
Naast AVG is er best nog wel andere wetgeving, hoor...
Als je in een werkgever/werknemer relatie bepaalde persoonsgegevens mag verwerken volgens de arbeidswetgeving, dan heb je dus een grondslag om de verwerking volgens de AVG te doen.
Heb je die grondslag niet via een arbeidswetgeving, dan geeft de AVG duidelijk regels voor wanneer je persoonsgegevens wel, of niet, mag verwerken.
Het lijkt erop dat in de UK meer is toegestaan dan in DE voor werkgevers, maar dat heeft niets met de AVG te maken.
"Privacy" is een grondrecht, weet je?
Ik vind het niet erg dat bedrijven en instanties(!) boetes krijgen maar doe het wel consequent, het is tenslotte een EU wet en blijkbaar hanteert zijn eigen beleid hier op wat in mijn ogen niet in verhouding staat tot andere landen of zo een zaak als dit.
Ik ben ook benieuwd of het bedrijf eerst een waarschuwing heeft gekregen (of meerdere) of dat er meteen deze boete werd gegeven, bij de politie en belastingdienst heeft men meerdere waarschuwingen gegeven en uiteindelijk ook nog steeds uitstel om het te fixen terwijl elk ander bedrijf gewoon 28 mei paar jaar terug compliant moest zijn.
Scheve maten..
Begin gewoon bovenaan en wees consistent in je beleid in het land en in de EU.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.