Potentiële GDPR boete?

[Kun]

https://gdpr-info.eu/art-6-gdpr/

DIGI Belgium heeft duidelijk GDPR Chapter 2 artikel 6 en 7 geschonden en waarschijnlijk ook andere GDPR regels

Het is best wel een zware overtreding.

Volgens ChatGPT kunnen ze een boete krijgen van maximaal 2% van hun jaarlijkse totale omzet of maximaal € 10 miljoen of als het ernstiger is. 4% of maximaal €20 miljoen.

Vorig jaar kreeg Orange France een boete van € 50 miljoen voor gewoon reclame via email.

https://tweakers.net/nieuws/229600/fran ... ilbox.html

Stel je maar eens voor wat voor boete je kan krijgen als je de nummers en adressen van alle klanten openbaar maakt.

Ik denk dat niemand beseft hoe ernstig dit is. Misschien zal dit zelfs ervoor zorgen dat DIGI Roemenië al hun Belgische assets moet verkopen en het Belgische markt verlaten.

Ik hoop dat dit verhaal niet als Free Belgium gaat eindigen.

https://www.ziptone.nl/nieuws/gdpr-boet ... actcenter/

[devilkin]

Ik weet het zo nog niet. Uiteindelijk heeft DIGI zelf perfect een heel goede en geldige reden om je gegevens te verwerken. Waar de fout begaan is bij de transfer voor de witte gids, dus gaat het eerder om een data lek dan een GDPR infractie.

[bralm]

Waar je zegt dat reclame via e-mail 'gewoon' is, is dit niet gewoon en werden de gegevens verwerkt voor bijkomde doeleinden.

Een publicatie in de witte gids is kan volgens mij vallen onder art 6, 1e of 1f. Persoonlijk zou ik er als Digi voor gekozen hebben om artikel, 1a, en dus uitdrukkelijk toestemming vragen, zodat er geen discussie mogelijk is.

[philippe_d]

DIGI heeft hun fout ingezien (na klacht van enkele gebruikers) en heeft correctieve actie ondernomen.
Minder dan 5 dagen zijn verlopen tussen de eerste klachten en de oplossing, en dit midden tijdens de feestweken.
Ik vind dat dus dat ze zéér goed werk hebben geleverd.

DIGI heeft de nummers en adressen niet rechstreeks openbaar gemaakt, ze hebben - zoals de wet het voorschrijft - de data doorgestuurd naar de Centrale Nummerdatabank (CNDB). Ze hebben alleen - per vergissing - een verkeerd vinkje gezet bij "vermelding in de locale gids mogelijk".

De Witte Gids (FCT Media) heeft ook goed werk geleverd. Ze hebben onmiddelijk manueel de klantengegevens gewist van gebruikers die zich bij hen hebben gemeld (in afwachting van de volgende update van de CNDB).

Volgens mij staan er honderdduizenden Belgen met naam, adres en telefoonnummer in de Witte Gids die het niet eens beseffen.
Vroeger stond iedereen met een vaste lijn in de Witte Gids, tenzij je een "privé nummer" vroeg (opt-out).

[gunnix]

Wel riskant voor DIGI, zou spijtig zijn. Veel bedrijven zijn niet in orde met GDPR, er is daar ook bijna geen controle op.. Maar een telecom bedrijf wordt toch geacht niet zo’n fouten te maken..

[NuKeM]

Volgens mij staan er honderdduizenden Belgen met naam, adres en telefoonnummer in de Witte Gids die het niet eens beseffen.
Vroeger stond iedereen met een vaste lijn in de Witte Gids, tenzij je een "privé nummer" vroeg (opt-out).

Ik heb mezelf ook eens opgezocht en sta er ook tussen met mijn (nooit gebruikte) EDPNET vaste nummer… ze zullen dus inderdaad niet de enige zijn.
Mbt EDPnet vind ik volgende terug: https://support.edpnet.be/hc/nl-nl/arti ... en-opnemen
Maar het zou mij verbazen dat ik hiervoor geopteerd zou hebben :/

[lithion]

Ik denk dat niemand beseft hoe ernstig dit is. Misschien zal dit zelfs ervoor zorgen dat DIGI Roemenië al hun Belgische assets moet verkopen en het Belgische markt verlaten.

Ook niet overdrijven hé. Ten eerste zal de GBA al een onderzoek moeten starten. Worst case krijgen ze een waarschuwing of een heel kleine boete. Het gaat hier niet om doelbewust misbruik maken van persoonsgegevens.

[dot1x]

Altijd geweldig om berichten te lezen van mensen die denken dat ze weten waar de GDPR over gaat omdat ze daar een eigen interpretatie op kleven

philippe_d heeft het trouwens mooi uitgelegd. Er is écht niets gebeurd en de correcte actie is genomen.

Het verbaast mij echt hoe hard sommigen op deze forum de nieuwe provider willen zien falen. Maar daarna wel gewoon verder klagen en jammeren over te hoge telecom prijzen in België.

[stefan1234]

Altijd geweldig om berichten te lezen van mensen die denken dat ze weten waar de GDPR over gaat omdat ze daar een eigen interpretatie op kleven

Wou net hetzelfde opmerken. Dat de volgende paragraaf (zoals elke paragraaf uiteraard gewoon een losse zin) onironisch met "Volgens ChatGPT" begint, was de kers op de taart. De GDPR is zo'n typische "uzelf opdraaien-wet": een zeer abstract geformuleerde wet die de minder kritische denkers toelaat zichzelf wijs te maken dat ze extreem uitgebreide rechten hebben, dat anderen extreem uitgebreide plichten hebben, en dat bijgevolg al hun wensen en voorkeuren heel zwart-wit tot het vigerend recht behoren.

Het verbaast mij echt hoe hard sommigen op deze forum de nieuwe provider willen zien falen. Maar daarna wel gewoon verder klagen en jammeren over te hoge telecom prijzen in België.

Klagen over het feit dat anderen zogezegd te veel klagen over een bedrijf, heeft als effect om de gemeenschap te policen om vooral niet te streng te zijn voor dat bedrijf. Dat is even slecht. DIGI verdient geen welwillende behandeling omdat gesofisticeerde consumenten er hun hoop op aan het projecteren zijn dat ze zouden kunnen helpen met het een of het ander.

[CCatalyst]

DIGI Belgium heeft duidelijk GDPR Chapter 2 artikel 6 en 7 geschonden en waarschijnlijk ook andere GDPR regels

Neen, dat hebben ze niet gedaan. DIGI is niet strafbaar obv de GDPR. DIGI is wel strafbaar obv de Telecomwet. Daarvoor zijn er 3 argumenten:

1 - DIGI heeft de gegevens nooit doorgegeven aan de Witte Gids, een andere VZW heeft dat gedaan. Die VZW heeft ter goeder trouw gehandeld. Bovendien is het nog een andere NV die de gegevens publiek beschikbaar stelde op het internet. Ook die NV heeft ter goeder trouw gehandeld.
2 - De telefoongidsen en telefooninlichtingendiensten vallen onder de publieke dienstverlening die vrijgesteld is van GDPR. Ook bijvoorbeeld het Staatsblad en de Kruispuntbank Ondernemingen vallen daaronder. En ook zowat alles wat de overheid doet valt daaronder (het "Rules for Thee, Not for Me" principe: de overheid vaardigt regels voor burgers en bedrijven uit, maar voorziet voor zichzelf (en voor politici) dan bijna altijd een uitzondering om ze te volgen).
3 - De Telecomwet voorziet zelf in een specifieke strafbepaling wanneer de operator niet aan de abonnee vraagt of zijn gegevens in de telefoongidsen of in de telefooninlichtingendiensten mogen worden opgenomen. Zo'n specifieke strafbepaling heeft voorrang op een meer algemene tekst als GDPR (lex specialis principe). Bovendien geldt ook nog het non bis in idem principe, geen dubbele vervolging (obv zowel de Telecomwet als de GDPR) voor hetzelfde feit.

Aan de voorwaarden voor de inbreuk op de Telecomwet is voldaan: de operator heeft geen vraag gesteld aan de abonnee, en toch werden de gegevens opgenomen in een telefoongids. Het doet er helemaal niet toe dat DIGI "hun fout heeft ingezien" of dat het ondertussen al is rechtgezet; DIGI wordt geacht de wet te kennen en vervolging is mogelijk tot de feiten verjaard zijn. De geldboete die DIGI Communications Belgium NV per de Telecomwet kan oplopen is van 400 EUR tot 800.000 EUR per inbreuk. Gezien een inbreuk op de Telecomwet niet via de GBA gaat, maar via het parket, hebben ze wel het geluk dat:

1 - Er al een klacht ingediend moet worden door een "slachtoffer" met opstelling van PV
2 - De criminele feiten geacht zullen worden in Brussel te hebben plaatsgevonden gelet op het adres van de NV
3 - Het Brusselse parket (onder voorbehoud) zal seponeren.

Inzake dat laatste, het kan altijd dat bv Proximus/Telenet hun kennissen bij het Brusselse parket opbellen om ervoor te zorgen dat het niet geseponeerd zal worden (klassenjustitie). Anderzijds denk ik dat het voor Proximus/Telenet vooral beter is om zich daarbuiten te houden, want ooit kunnen de rollen eens omgedraaid zijn.

Noot: voor wie ambitie zou hebben om een PV te laten opstellen als "slachtoffer," hou er rekening mee dat u geen euro vergoeding zal ontvangen hiervoor, tenzij u kan bewijzen dat u schade geleden heeft nav deze inbreuk.