Duitse GBA legt monsterboete op aan vastgoedbedrijf

Duitse GBA legt monsterboete op aan vastgoedbedrijf

Op 30 oktober 2019 kreeg een Duits vastgoedbedrijf door de Duitse Gegevensbeschermingsautoriteit een boete opgelegd van maar liefst 14,5 miljoen euro: meteen haar hoogste boete tot nu toe.

Het betrokken vastgoedbedrijf maakte gebruik van een archiveringssysteem om allerhande gegevens van huurders (loonfiches, bankafschriften, kopies van arbeidsovereenkomsten, etc.) te bewaren. Tijdens een inspectie in 2017, stelde de Duitse Gegevensbeschermingsautoriteit vast dat het systeem niet in een mogelijkheid voorzag om de persoonsgegevens te verwijderen. Daarom werden verschillende data bewaard, sommigen reeds jarenlang, zonder dat de bewaring ervan toegelaten of zelfs nog noodzakelijk was.

In 2017 – nog pre-GDPR – liet de autoriteit het bij een dringende waarschuwing. In maart 2019, keerde zij echter terug om vast te stellen dat het vastgoedbedrijf nog niet het nodige had gedaan om de situatie recht te zetten. Het bedrijf had weliswaar reeds enkele voorbereidende maatregelen getroffen, maar deze waren volgens de autoriteit niet voldoende om GDPR-conform te zijn.  

De autoriteit heeft daarop aan het vastgoedbedrijf een boete van 14,5 miljoen euro opgelegd. De boete is onder meer afgestemd op de omzet van het bedrijf, evenals op het feit dat het vastgoedbedrijf het archiveringssysteem weloverwogen had opgezet en dat de onrechtmatige verwerking van de persoonsgegevens gedurende dermate lange periode had plaatsgevonden. Als verzachtende omstandigheid heeft men wel rekening gehouden met het feit dat het bedrijf reeds enkele voorbereidende (maar onvoldoende) maatregelen had getroffen.

Naast deze structurele sanctionering, legde de autoriteit bovendien nog verscheidene boetes tussen 6.000 en 17.000 EUR op, in het kader van verschillende individuele zaken met betrokken huurders.

Het Duitse vastgoedbedrijf heeft beroep aangetekend tegen de beslissing van de Autoriteit. Voorlopig is het dus nog wachten op een uitspraak, alvorens de boete definitief zal worden.

In vergelijking met Duitsland, maar ook met verscheidene andere Europese landen, is de Belgische Gegevensbeschermingsautoriteit traag in actie gekomen. Dit komt onder meer doordat de leden van de vernieuwde autoriteit door het parlement benoemd dienden te worden. Maar stilaan komt ook de Belgische autoriteit in een stroomversnelling. Van monsterboetes, zoals opgelegd aan het Duitse vastgoedbedrijf, is in België echter nog geen sprake.

Heeft u vragen over dit thema? Contacteer Sara Cockx (hoofd vakgroep Privacy & Gegevensbescherming) of Sara Mannaerts (auteur).