Ken je de ‘Roze Doos’? Het gaat om die geschenkdozen die aanstaande of kersverse moeders kunnen krijgen met een heleboel handige stalen van babyproducten, kortingsbonnen en informatiefiches. Via een eenvoudig formulier kunnen zij hierom verzoeken om nadien te genieten van deze voordelen. Gratis! Maar ook voor niks? Nu blijkt dat er toch een serieus prijskaartje aan verbonden is, namelijk de verhandeling van de persoonsgegevens van de mama’s én de baby’tjes. Het marketingbedrijf dat deze ‘Roze Dozen’ aanbiedt, is volgens de Gegevensbeschermingsautoriteit (GBA) als een echte ‘databroker’ wel heel ver van het paadje afgeweken.
De feiten wijzen in de richting van direct marketing
Aanstaande en jonge moeders kunnen via allerlei kanalen geschenkdozen aanvragen. In ruil voor de staaltjes en aanbiedingen in deze “Roze Doos”, geeft het bedrijf dat dit organiseert de aanvraaggegevens echter door aan haar sponsors. Het bedrijf voert met deze buitenstaanders (een “derde” in het juridisch jargon) dus een echte handel in persoonsgegevens. Op deze manier krijgen deze derden immers de mogelijkheid om aan direct marketing te doen. En laat dit nu nét één van die zaken zijn waar heel wat regels over bestaan, en die door de GBA zijn opgenomen in haar actieprioriteiten!
Eén van de moeders is niet blij met het verhuren of het verkopen van haar persoonsgegevens voor direct marketing zonder haar expliciete toestemming. In elk geval is zij ontzet om nog steeds ongewenste reclame te verkrijgen na het intrekken van de toestemming.
De GBA laat haar onderzoeksorgaan (de ‘Inspectiedienst’) de gegevensverwerkingsactiviteiten van de betrokken onderneming langs alle kanten bekijken. De inspectiedienst stelt vast dat de GDPR geschonden is, tot zelfs in verscheidene van haar fundamenten. En dit terwijl de handel in persoonsgegevens een echte kerntaak uitmaakt van de onderneming in kwestie.
Uit de vaststellingen blijkt dat het bedrijf als verwerkingsverantwoordelijke op flagrante wijze haar GDPR-verplichtingen heeft verwaarloosd.
Eén klacht, maar een waslijst van inbreuken
Naar aanleiding van de klacht, heeft de Inspectiedienst volop gebruik gemaakt van haar bevoegdheden. Dit verklaart dat de inbreuken “ruimer” zijn dat wat de klager als leek kon aangeven.
Gebrek aan transparantie en doelverschuiving
Om te beginnen, is het transparantiebeginsel geschonden. En laat nu net transparantie een hoeksteen zijn van de GDPR.
De onderneming creëert immers een onjuiste perceptie ten aanzien van betrokkenen (onder wie de klager in de zaak). Meer precies is het niet duidelijk dat het gaat om een privé-onderneming en dat die het verhandelen van persoonsgegevens als activiteit heeft.
Het gebrek aan transparantie heeft bovendien een directe invloed op de geldigheid van een toestemming die zou bekomen worden: een geïnformeerde toestemming vereist immers dat men weet waarmee in te stemmen. Door de vaagheid beseffen de betrokken echter onvoldoende waarvoor de persoonsgegevens gebruikt worden, en door wie. Een fenomeen dat ook omschreven wordt als doelverschuiving of “function creep”.
Geen geldige toestemming en complexe intrekking
Er kan bij de aanvraag van de geschenkdozen dus geen sprake zijn van een specifieke, geïnformeerde en ondubbelzinnige toestemming van de klager die vrij kan genomen worden. Het probleem situeert zich hier op twee niveaus.
Om te beginnen geeft de onderneming onvoldoende informatie over wat er juist met de persoonsgegevens van de moeders en de kinderen gebeurt. De onderneming identificeert de categorieën van partners niet aan wie de persoonsgegevens worden doorgegeven. Op die manier kan de betrokkene dus onmogelijk beschikken over alle parameters die nodig zijn om geïnformeerd toe te stemmen.
Daarnaast is er ook niet echt een vrije keuze: wanneer je als jonge moeder de Roze Doos wil aanvragen, al was het enkel omwille van de informatieve inhoud die ook wordt meegestuurd, dan kan dat niet zonder meteen ook in te stemmen met het verhandelen van je persoonsgegevens. Door geen toestemming te geven, is het echter onmogelijk om van die voordelen te genieten.
Bovendien heeft iemand wiens persoonsgegevens wordt verwerkt, het recht om op elk moment zijn of haar toestemming weer in te trekken. Dit moet, overeenkomstig de GDPR, even gemakkelijk kunnen gebeuren als het verlenen van de toestemming zelf. Ook hier was de onderneming nalatig. Het recht tot intrekking werd enkel vermeld in het online privacybeleid, maar niet bij het invulformulier wanneer de toestemming werd gegeven. Dat de toestemming kan worden ingetrokken, moet duidelijk en op eenvoudige wijze worden aangegeven op het moment van het geven van de toestemming. De intrekking was dus niet zo eenvoudig als het verlenen van de toestemming.
Gebrekkige organisatorische maatregelen en disproportionele bewaartermijn
Verder heeft de onderneming niet de passende technische en organisatorische maatregelen getroffen om ervoor te zorgen dat enkel persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Zo maakt de onderneming geen onderscheid in de doeleinden van de verwerking en is de bewaartermijn voor de gegevens 18 jaar. Dat is zonder twijfel disproportioneel, zeker aangezien de aangeboden voordelen babyspullen betreffen.
Geen gerechtvaardigd belang
Voor zover er geen sprake zou zijn van toestemming, erkent de GBA dat het commercieel belang van het bedrijf achter de Roze Doos ingeroepen zou kunnen worden als een gerechtvaardigd belang.
Dit gerechtvaardigd belang is echter geen vrijgeleide, en moet de doeltoets, de noodzakelijkheidstoets en de afwegingstoets kunnen doorstaan. Deze toetsen zijn streng, en de noodzaak lijkt onvoldoende aangetoond, terwijl de redelijke verwachtingen van de betrokkenen door het gebrek aan transparantie onvoldoende duidelijk zijn.
Geen verwerkingsovereenkomst
Tot slot schendt de onderneming de GDPR omdat er geen verwerkingsovereenkomst gesloten is met een van hun partners, terwijl deze wel aan gegevensverwerking van betrokkenen deed door formulieren op te slaan.
Conclusie
De GBA verfoeit dat de aanbieder van de “Roze Dozen” zo nalatig is geweest om in haar businessmodel in te zetten op persoonsgegevensbescherming. Hiervoor bestaat geen excuus, zeker aangezien de handel van persoonsgegevens een kerntaak van de onderneming is. Als professional moet zij zeker op de hoogte zijn geweest van de toepasselijke regels, die niet meer “nieuw” zijn en waar met betrekking tot direct marketing reeds uitgebreide richtsnoeren werden ter beschikking gesteld.
De GBA aarzelt dan ook niet om, naast haar opdracht tot verduidelijking, ook resoluut voor de toepassing te gaan, en de overtreding streng te bestraffen met een boete van 50.000 EUR.
Reeds in juni 2020 hebben we opgemerkt dat het hoogtijd is voor bedrijven om hun marketingstrategie onder de loep te nemen. Als je organisatie hierbij begeleiding nodig heeft, kan je ons altijd bereiken via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen
