Als u uw rechten hebt uitgeoefend en u vindt dat uw rechten worden geschonden, kun je een formele klacht indienen bij een gegevensbeschermingsautoriteit (Data Protection Authority, DPA) tegen een bedrijf. DPA's zijn de nationale of regionale overheidsinstanties die toezicht houden op de toepassing van gegevensbeschermingswetten en de bevoegdheid hebben om boetes of andere straffen uit te delen aan bedrijven.
We raden aan de gegevensbeschermingsautoriteit te kiezen van het land van:
- Uw gewone verblijfplaats (bijv. als u de klacht in uw eigen taal wilt indienen),
- De plaats waar u werkt (bijvoorbeeld als u voor uw werk naar een ander land reist en het praktischer voor u is om daar een klacht in te dienen)
- De plaats van de inbreuk (u woont bijvoorbeeld in Slowakije en uw gegevens worden verwerkt in Spanje, dan kunt u zich het beste rechtstreeks tot de Spaanse gegevensbeschermingsautoriteit wenden).
De contactgegevens en websites van elke gegevensbeschermingsautoriteit kunt u hier.
Hoe dien ik een klacht in?
De specifieke indieningsprocedure verschilt per gegevensbeschermingsautoriteit; veel gegevensbeschermingsautoriteiten hebben hun eigen specifieke online formulieren of indieningsportalen voor het indienen van klachten. Klik voor meer informatie over de specifieke indieningsprocedure van verschillende gegevensbeschermingsautoriteiten in verschillende landen hier.
- Geef aan dat uw GDPR-rechten zijn geschonden. Bevestig dat de inbreuk die je rapporteert betrekking heeft op de verwerking van je gegevens en merk op dat dit een klacht is op grond van Artikel 77 GDPR en de relevante nationale wetgeving.
- Geef enige informatie over de context van de klacht, waaronder:
- De naam en contactgegevens van het vermoedelijke bedrijf of de verwerker die de inbreuk heeft gepleegd, als je de informatie hebt. Als u de informatie niet hebt, geef dan alle informatie die de DPA in staat stelt om de waarschijnlijke tegenstander van uw klacht te bepalen.
- Een begrijpelijke, goed gestructureerde samenvatting van de feiten.
- Bewijs om uw claim te staven (screenshots, e-mails van het bedrijf, kopie van uw gegevens, etc.)
- De specifieke oplossing die u tevreden zou stellen (bijv. een kopie van gegevens, bepaalde informatie, verwijdering van gegevens en dergelijke). Je kunt ook het artikel van de GDPR vermelden dat volgens jou is geschonden.
Beslissing van de gegevensbeschermingsautoriteit
De gegevensbeschermingsautoriteit moet de ontvangst van uw klacht onverwijld bevestigen en is wettelijk verplicht u op de hoogte te houden van de voortgang en het resultaat van uw klacht, ook als deze wordt doorverwezen naar een andere gegevensbeschermingsautoriteit of nader onderzoek vereist.
Voor sommige gegevensbeschermingsautoriteiten geldt een strikte deadline voor het uitvaardigen van een besluit onder hun nationale wetgeving (meestal tussen de drie en zes maanden, soms een jaar). Helaas voldoen veel gegevensbeschermingsautoriteiten niet aan deze verplichtingen of is er geen verplichting onder de nationale wetgeving.
Zelfs als de nationale wetgeving geen strikte termijn voorschrijft, moet u een rechtbank kunnen vragen om de gegevensbeschermingsautoriteit te dwingen actie te ondernemen of uw rechten af te dwingen.
Juridische stappen tegen een DPA
U hebt het recht om juridische stappen te ondernemen tegen een gegevensbeschermingsautoriteit als zij uw klacht niet goed heeft afgehandeld of als u het niet eens bent met hun beslissing. De details verschillen per EU-lidstaat. Meestal bevat een beslissing van een gegevensbeschermingsautoriteit ook algemene informatie over hoe u in beroep kunt gaan tegen de beslissing. Als je nog meer vragen hebt in je zoektocht naar informatie over het in beroep gaan tegen administratieve beslissingen in jouw land, kun je contact opnemen met noyb of een lokale advocaat vragen.
Je rechten uitoefenen onder de GDPR is eenvoudig en een informele e-mail is in de meeste gevallen voldoende. Toch zijn er een aantal elementen waar je rekening mee moet houden. Klik hier als je geïnteresseerd bent in nuttige tips!