[et_pb_section fb_built= \u00bb1\u2033 _builder_version= \u00bb4.27.2\u2033 _module_preset= \u00bbstandaard \u00bb global_colors_info= \u00bb{} \u00bb][et_pb_row _builder_version= \u00bb4.27.2\u2033 _module_preset= \u00bbstandaard \u00bb global_colors_info= \u00bb{} \u00bb][et_pb_column type= \u00bb4_4\u2033 _builder_version= \u00bb4.27.2\u2033 _module_preset= \u00bbstandaard \u00bb global_colors_info= \u00bb{} \u00bb][et_pb_text _builder_version= \u00bb4.27.2\u2033 _module_preset= \u00bbstandaard \u00bb global_colors_info= \u00bb{} \u00bb]<\/p>\n
Wanneer een bedrijf een brief ontvangt van de Nationale Commissie voor Informatietechnologie en Vrijheden (CNIL) waarin om uitleg wordt gevraagd over zijn praktijken met betrekking tot de verwerking van persoonsgegevens, wordt het geconfronteerd met een delicate situatie die een snelle, rigoureuze aanpak vereist en voldoet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Een ontoereikende reactie kan zelfs tot ernstige gevolgen leiden, waaronder administratieve sancties tot 20 miljoen euro of 4 % van de wereldwijde jaaromzet (artikel 83 van de AVG). Dit artikel onderzoekt de stappen die moeten worden gevolgd wanneer u met een dergelijke brief wordt geconfronteerd, de risico's die daarmee gepaard gaan, de mogelijkheid om een Data Protection Impact Assessment (DPIA) in te dienen, evenals de drie belangrijkste elementen die u in het antwoord moet geven om een geschil te voorkomen.<\/strong><\/p>\n De CNIL kan, als toezichthoudende autoriteit die verantwoordelijk is voor het waarborgen van de naleving van de wetgeving inzake gegevensbescherming, een brief naar bedrijven sturen om informatie te verkrijgen over de verwerking van persoonsgegevens die zij uitvoeren. Deze brief kan verschillende redenen hebben: een klacht van een individu, een geplande inspectie of een verificatie gekoppeld aan een melding. Wat de reden ook is, het is essentieel om het verzoek serieus en snel te behandelen.<\/p>\n De eerste stap is het zorgvuldig lezen van het aanvraagformulier. CNIL<\/a>. In de brief kan om specifieke informatie worden gevraagd over bepaalde gegevensverwerkingen, de rechtvaardiging van hun rechtsgrondslag, de getroffen veiligheidsmaatregelen of zelfs details over de interne procedures die de uitoefening van rechten mogelijk maken<\/a> van de betrokken mensen. Het is van cruciaal belang om duidelijk te begrijpen wat er wordt verwacht, de aangegeven reactietijden en de te verstrekken documenten.<\/p>\n Na het identificeren van de gevraagde informatie moet een volledig en gedocumenteerd dossier worden samengesteld. Dit bestand moet het volgende bevatten:<\/p>\n Als het bedrijf een functionaris voor gegevensbescherming (DPO) heeft aangesteld, is het absoluut noodzakelijk om hem of haar te betrekken bij het reageren op de CNIL. De DPO speelt daarin een sleutelrol<\/p>\n <\/p>\n <\/p>\n hulp bij de naleving van de organisatorische voorschriften en bij het beheer van de betrekkingen met de toezichthoudende autoriteit. Haar missie omvat onder meer het toezicht houden op de gegevensverwerking, het vergroten van het bewustzijn van medewerkers en het adviseren over reacties op verzoeken van autoriteiten. Haar raadpleging is daarom een garantie voor goede trouw en toewijding in de context van de dialoog met de CNIL.<\/p>\n Het niet of onvoldoende reageren op een verzoek om uitleg van de CNIL kan verschillende risico's voor het bedrijf met zich meebrengen, vari\u00ebrend van financi\u00eble sancties tot beperkingen op de gegevensverwerking.<\/p>\n Artikel 83 AVG voorziet in administratieve boetes die evenredig zijn aan de ernst van de overtreding. Schendingen van fundamentele gegevensbeschermingsprincipes, rechten van betrokkenen of veiligheidsverplichtingen kunnen resulteren in boetes tot 20 miljoen euro of 4 % van de wereldwijde jaaromzet van het bedrijf, waarbij het hoogste bedrag wordt ingehouden.<\/p>\n Als de CNIL van mening is dat de gegevensverwerking niet voldoet aan de vereisten van de AVG, kan zij het bedrijf een bericht sturen formele kennisgeving<\/a> binnen een bepaald tijdsbestek te voldoen. Als er geen sprake is van regularisatie, kan de autoriteit dwangmaatregelen nemen, zoals een bevel om de verwerking stop te zetten of de doeleinden ervan te beperken.<\/p>\n In de ernstigste gevallen kan de CNIL de tijdelijke of permanente opschorting van de verwerkingsactiviteiten gelasten, wat de activiteiten van het bedrijf aanzienlijk kan be\u00efnvloeden. Een e-commercebedrijf zou bijvoorbeeld kunnen worden verhinderd zijn klantendatabases te gebruiken, wat zijn inkomsten direct zou schaden.<\/p>\n1. Te volgen stappen naar aanleiding van een brief van de CNIL<\/strong><\/h2>\n
heeft. Analyseer zorgvuldig de inhoud van de e-mail<\/em><\/h3>\n
B. Maak een volledig bestand aan om op het verzoek te reageren<\/em><\/h3>\n
\n
C. Raadpleeg de functionaris voor gegevensbescherming (DPO)<\/em><\/h3>\n
2. Risico's bij niet-naleving of onvoldoende respons<\/strong><\/h2>\n
heeft. Risico op administratieve sancties<\/em><\/h3>\n
B. Risico op formele kennisgeving of bevel tot naleving<\/em><\/h3>\n
C. Opschorting van de gegevensverwerking<\/em><\/h3>\n
3. Een AIPD indienen: wanneer en waarom?<\/strong><\/h2>\n