Aandachtspunten bij het verhandelen van persoonsgegevens

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft zich recent uitgesproken over het verkopen en licentiëren van persoonsgegevens. Zij deed dat in een zaak met betrekking tot de welbekende roze dozen met staaltjes, aanbiedingen en informatie over de zwangerschap en geboorte, die aan (aanstaande) moeders worden aangeboden, in ruil, zo blijkt, voor persoonsgegevens over moeder en kind, die verder worden aangeboden aan derde partijen. 

De beslissing geeft inzicht in de praktische toepassing van de beginselen die de GBA reeds uiteenzette in haar direct marketing aanbeveling, waarover we al eerder schreven in een blog. 

Feiten van de zaak 

De beslissing van de GBA kwam er na een klacht van een moeder die was ingegaan op het aanbod van de roze dozen. Zij diende bij ontvangst van de eerste doos een papieren kaart in te vullen met haar gegevens, waarna zij een tweede doos ontving bij de gynaecoloog, die na online registratie aanleiding gaf tot het verkrijgen van een derde doos in het ziekenhuis bij de geboorte van haar kind. 

Na het ontvangen van de dozen, begon zij commerciële berichten te ontvangen van derden waartegen zij bezwaar indiende bij de aanbieder van de roze dozen. Zij bleef echter na dit bezwaar ook telefonisch gecontacteerd worden door derden, waarop zij naar de GBA stapte, die de zaak onderzocht. 

Uit het verslag van de inspectiedienst bleek dat de persoonsgegevens in kwestie zeer ruim waren, en niet enkel op de moeder, maar ook op het kind betrekking hadden. Zo worden de naam, het geslacht en de geboortedatum van het kind verwerkt. Deze gegevens worden door de aanbieder van de doos aangeboden aan structurele partners, die de gegevens onbeperkt kunnen gebruiken, en losse partners, die, in theorie, de gegevens maar eenmalig mogen gebruiken, onder een soort huur of licentie formule, voor marketingdoeleinden. 

Aandachtspunten bij het verkopen of verhuren van persoonsgegevens 

Aan de hand van de beoordeling en de beslissing van de GBA kunnen we de volgende aandachtspunten aanduiden met betrekking tot het verkopen of verhuren van persoonsgegevens: 

Transparantie en behoorlijkheid 

De (online) formulieren die de moeders dienen in te vullen stipuleren in zeer vage woorden wat er met de persoonsgegevens zal gebeuren, termen zoals “reclame”, “direct marketing” en “doorgifte van persoonsgegevens” worden gemeden. Als dusdanig zijn de doelstellingen van de verwerking niet duidelijk en niet specifiek. Er wordt daarenboven nagelaten aan te geven dat er persoonsgegevens zullen worden doorgegeven aan derden en aan welke derden, hetgeen de betrokkenen in de waan houdt over wat er met de data zal gebeuren. Volgens de GBA wordt deze ambiguïteit te meer in stand gehouden door het feit dat de dozen verdeeld worden via gynaecologen en ziekenhuizen, hetgeen het idee wekt dat de aanbieder een VZW of een overheidsinitiatief is.

Actiepunten: 

Het opstellen van een duidelijke privacy policy, met daarin: 

• Duidelijke informatie over de identiteit van degene die de persoonsgegevens verzamelt en voor welke specifieke doeleinden. Dit betekent dat men een onderscheid moet maken tussen alle betrokken doeleinden, in voorliggend geval het verzamelen van de gegevens voor het aanbieden van de doos alsook het doorverkopen en verhuren van de persoonsgegevens tegen betaling, en het aanwenden van de persoonsgegevens door derde-ontvangers voor direct marketing. Deze doelstellingen moet dus expliciet worden opgenomen. 
• Een lijst met de uiteindelijke ontvangers van de persoonsgegevens. De GBA is hier strikter dan in haar aanbeveling inzake direct marketing en stelt nu dat niet enkel de categorieën van ontvangers dienen te worden opgenomen, maar effectief de ontvangers zelf. De aanbieder van de dozen bracht hier het argument naar voren dat dit tot haar bedrijfsgeheim behoorde, maar de GBA sloeg dit argument af door te stellen dat de gegevensbescherming een fundamenteel recht is, waarop geen beperkingen zijn voorzien in het voordeel bedrijfsgeheimen inzake de ontvangers van persoonsgegevens.  

Grondslag van de verwerking: 

In het voorliggende geval baseerde de aanbieder van de roze dozen zich enerzijds op de toestemming van de betrokkenen, voor verwerkingen na de inwerkingtreding van de GDPR, en legitieme belangen, voor verwerkingen die reeds plaatsvonden voor de inwerkingtreding. 

Actiepunten: 

Indien de verwerkingen gebaseerd zijn op toestemming: zorg ervoor dat de toestemming vrij, geïnformeerd en specifiek is:

1. Vrije toestemming: 

de betrokkene mag geen nadeel ondervinden van het al dan niet geven van zijn toestemming, hetgeen impliceert dat hij het voordeel ook moet kunnen bekomen zonder zijn toestemming te geven tot het verhandelen van zijn gegevens voor marketingdoeleinden. In casu kon de moeder de dozen niet verkrijgen zonder haar toestemming te geven voor alle doelstellingen. De GBA stelt hier dat het verkrijgen van de doos en de informatie daarin geen bijkomstig voordeel is waarvan het verlies geen nadeel zou berokkenen – waartoe daarentegen wel werd besloten in het kader van klantenkaarten in een arrest van het Marktenhof – maar de hoofdoelstelling van de dienst. Het niet geven van de toestemming heeft dus een aanzienlijk nadelig gevolg voor de betrokkene. 

2. Geïnformeerde toestemming: 

aan de hand van een duidelijke en verstaanbare privacy policy zoals hierboven beschreven. Het moet voor de betrokkene duidelijk zijn waarmee hij toestemt. Worden zijn gegevens verkocht of doorgegeven? Dan moet dit in begrijpelijke taal worden aangegeven alsook de implicaties die dit heeft, namelijk dat hij door deze derden zal worden gecontacteerd voor marketing doeleinden. 

3. Specifieke toestemming: 

alle doeleinden van de verwerking moeten worden aangegeven, afzonderlijk en expliciet. Het is van belang geen cocktail op te dienen van alle betrokken doeleinden en simpelweg te verwijzen naar “derden” ontvangers. De derden dienen geïdentificeerd te worden, alsook hun respectieve doeleinden en de context waarin zij de gegevens gaan verwerken, met name ook de wijze en frequentie waarop zij commerciële boodschappen zullen versturen (e.g. telefonisch, via e-mail, etc.). De betrokkene moet daarenboven de mogelijkheid hebben om granulair in te stemmen met de doeleinden, het mag geen “take it all or leave it” keuze zijn. 

Dit houdt in dat er toestemming moet zijn voor: 

• de initiële verzameling (in casu voor het opsturen van de dozen), let op voor deze verzameling kunnen legitieme belangen of de uitvoering van een overeenkomst een meer toepasselijke grond zijn;
• de verkoop/verhuur aan specifieke derden tegen betaling; 
• het gebruiken van de gegevens door die derden voor marketing doeleinden. 

Indien de verwerkingen gebaseerd zijn op legitieme belangen: zorg voor een gedocumenteerde drie-stappen toets: 

1. Legitiem doel: De verwerking voor commerciële doeleinden kan volgens de GBA een legitiem doel zijn. 
2. Noodzakelijkheid: Zijn er andere mogelijkheden voor de rechtmatige verwerking van de gegevens? Hier zal het schoentje vaak al wringen, nu toestemming (of het opnieuw vragen van toestemming in het geval van verwerkingen van voor de inwerkingtreding van de GDPR) een meer gepaste verwerkingsgrondslag is voor de verwerking voor marketingdoeleinden.  
3. Afweging van de belangen van hij die de gegevens wenst te verwerken en de betrokkene. Een vraag die hier centraal staat zijn de redelijke verwachtingen van de betrokkene: is het mogelijk om in te schatten wat er met de gegevens gaat gebeuren en kan de betrokkene redelijkerwijze verwachten dat zijn gegevens op dergelijke manier gaan verwerkt worden? 

Belangrijk is de wijze waarop de betrokkene wordt geïnformeerd over de verwerking: geeft men de doelstellingen duidelijk aan? Is er sprake van misleiding over de identiteit, het karakter van de verwerking, etc.? De betrokkene kan mogelijks verwachten dat, in casu, de aanbieder van de dozen haar commerciële berichten zou sturen, maar dat is niet het geval voor dergelijke berichten van derden. Specifiek voor de roze dozen was ook de verdeling via ziekenhuizen en gynaecologen, die vertrouwen wekte en de ware identiteit en het oogmerk van de aanbieder verborgen hielden. 

Organisatorische maatregelen

De verhandeling van de gegevens moet juist omkaderd worden, zodat de rechten van de betrokkenen maximaal gegarandeerd worden. 

Actiepunten: 

Recht om toestemming in te trekken: indien de verwerking gebaseerd is op toestemming heeft de betrokkene te allen tijde het recht haar toestemming in te trekken. 

De GBA zette in haar beslissing nogmaals uiteen dat het van belang is dat:

• Het intrekken kan op een wijze die even makkelijk is als het geven van de toestemming; 
• De mogelijkheid op een toegankelijke plaats en in begrijpelijke taal wordt geafficheerd, niet louter in de privacy policy; 
• Het intrekken van de toestemming onmiddellijk mogelijk is vanaf dat men de toestemming geeft. 
• De handelaar van persoonsgegevens ervoor zorgt dat dergelijke intrekking resulteert in de verwijdering van de gegevens, waarvoor hij ook in een systeem dient te voorzien om deze intrekking te communiceren aan de kopers/huurders van de data en ervoor te zorgen dat zij dit ook respecteren. Om dit te garanderen, zal het zeer belangrijk zijn om dit nauwkeurig op te nemen in een contract met de koper/huurder.  

Recht van bezwaar: indien de verwerking gebaseerd is op legitieme belangen heeft de betrokkene het recht om bezwaar uit te oefenen tegen de verwerking van haar gegevens voor commerciële doeleinden. Er moet voor worden gezorgd dat er gevolg wordt gegeven aan dit bezwaar en dat de partners aan wie de gegevens zouden zijn gegeven op de hoogte worden gesteld en de nodige maatregelen nemen. 

Bewaartermijn

De bewaartermijn moet proportioneel zijn ten aanzien van de oorspronkelijke toestemming en de redelijke verwachtingen. In casu werden de gegevens verwerkt totdat het kind meerderjarig werd, hetgeen disproportioneel is ten aanzien van het oorspronkelijke doel en oogpunt van de verwerking waarvoor toestemming werd gevraagd, namelijk het aanbieden van reclame over babyspullen. 

De beslissing van de GBA 

Op grond van bovenstaande schendingen heeft de GBA aan de aanbieder van de roze dozen de verplichting opgelegd om haar praktijken GDPR conform te maken binnen de 6 maanden en daarvan bewijs aan te brengen, daarenboven legt zij haar ook een boete van 50.000 EUR op. 

Meer weten? Bekijk zeker eens onze andere blog over het (ver)kopen of licentiëren van persoonsgegevens of contacteer Timelex.