Transparantie is één van de basisbeginselen uit de GDPR. Als verwerkingsverantwoordelijke moet je aan de betrokkenen zowel transparante informatie als transparante communicatie bieden. Daar is niets op tegen, toch? Zijn we dat als ondernemers niet gewoon? Misschien zien we dit toch net iets té veel als een “check the box” vereiste, en houden we onvoldoende rekening met de informatienood van de betrokkenen. Dat vindt alvast de Spaanse toezichthouder, die 2 banken hiervoor meteen een boete oplegt van elk 2.000.000 EUR.
De Spaanse furie
Maakt het ons veel uit, wat de AEPD (de Spaanse gegevensbeschermingsautoriteit) heeft beslist? Best wel. De GDPR is een Europees kader, en elke lidstaat heeft zijn eigen onafhankelijke instantie die toezicht houdt op de toepassing ervan. Voor België is dat de Gegevensbeschermingsautoriteit (GBA). Belgische ondernemingen kunnen dan ook enkel op de vingers getikt worden door de GBA wanneer ze als verwerkingsverantwoordelijke in de fout gaan.
De GBA zal echter toepassing maken van dezelfde basisregels als de AEPD (of andere Europese toezichthouders zoals AP in Nederland of CNIL in Frankrijk) – het is dus zeker belangrijk om ook eens over het muurtje te kijken.
De realiteitscheck van het standpunt van de AEPD
Dat de boetes die een toezichthouder oplegt, hoog kunnen oplopen, is inmiddels geen nieuws meer. Het interessante hier is echter niet het hoge bedrag van de boetes, maar de vaststelling en motivering van de inbreuken.
Dat algemene rechtsnormen moeten geïnterpreteerd worden, is eveneens best te aanvaarden. Maar wanneer dergelijke interpretatie leidt tot het vaststellen van nieuwe en (bijna) onhaalbare normen, dan leidt dit tot grote onzekerheid. Erger nog dan de onzekerheid, is dat het draagvlak voor een privacy-bewust handelen op die manier volledig kan worden uitgehold.
Beide besluiten hebben een aantal zaken gemeen: het soort entiteit waarop de sancties betrekking hebben (grote ondernemingen, in dit geval banken); de inbreuken (transparantie en het ontbreken van een rechtsgrondslag), en de timing. De totale boetes in de 2 beslissingen bedragen overigens 5 miljoen en 6 miljoen (waarvan dus telkens 2 miljoen voor inbreuk op de transparantieverplichting).
Is dit louter toeval of moeten ondernemingen (banken of niet) zich schrap zetten voor de komende storm? Wat opvalt in beide beslissingen is hoe de AEPD de GDPR-verplichtingen interpreteert met een nooit eerder gezien striktheidsniveau, en hiermee de lat zeer hoog legt voor de ondernemingen, maar ook meteen richting geeft aan de interpretatievrijheid van andere toezichthouders.
De verduidelijking van de transparantieverplichting
De toezichthouder heeft duidelijk een punt willen maken: de beslissingen nemen telkens meer dan 150 pagina’s in beslag. Er is dan ook uitvoerig werk gemaakt van de argumentatie om aan te tonen dat de door de banken verstrekte informatie niet in overeenstemming was met het transparantiebeginsel, en dus ook niet met de minimum- en verplichte informatie die bedrijven krachtens de artikelen 13 en 14 GDPR aan personen ter beschikking moeten stellen.
Nochtans lijken de gedragingen die de toezichthouder onoorbaar vindt, zeker geen evidente inbreuken op de GDPR te zijn, en zelfs eerder een gangbare praktijk.
Onnauwkeurige en vage terminologie
Volgens de AEPD zijn de volgende bewoordingen en uitdrukkingen (die door een groot aantal bedrijven in hun privacybeleid worden gebruikt) vaag en onnauwkeurig. Zij zouden de betrokkene immers geen duidelijk inzicht verschaffen in het doel en de verwerkingsactiviteiten in kwestie:
“U beter kennen en uw ervaring verbeteren”; “U producten en diensten aanbieden … die voor u zijn gepersonaliseerd”; “De kwaliteit van producten en diensten verbeteren”; “Uw gegevens zijn van u en u hebt er controle over”; “Uw ervaring meer gepersonaliseerd maken”; “Producten en prijzen die meer op u zijn afgestemd”; “Ik wil NIET dat XXX mijn gegevens verwerkt om mij producten en diensten aan te bieden … gepersonaliseerd voor mij”; “Ik wil NIET dat XXX mijn gegevens doorgeeft aan bedrijven van de Groep, zodat zij gepersonaliseerde producten en diensten voor mij kunnen aanbieden”; “Ik wil NIET dat XXX mijn gegevens verwerkt om de kwaliteit van nieuwe en bestaande producten en diensten te verbeteren “; “Om de producten en diensten die u bij ons aanvraagt en contracteert goed te beheren”; “Om de relatie die wij met u hebben en uw financiële ontwikkeling te volgen”; “Bij XXX verwerken wij uw persoonsgegevens om u te allen tijde hetzelfde kwaliteitsniveau te kunnen bieden, zodat wij u een betere behandeling en service kunnen bieden in overeenstemming met uw status als klant”; “Als u het aanvraagproces wilt stroomlijnen, hebben wij nodig. .”; “Bij XXX willen we dat uw ervaring als cliënt zo bevredigend mogelijk is, door middel van een gepersonaliseerde relatie die het best is aangepast aan uw cliëntprofiel en uw behoeften. Om dit te realiseren moeten we u beter leren kennen…”; “Dankzij deze analyse kunnen we u beter leren kennen, nieuwe functionaliteiten voor u beoordelen… evenals gepersonaliseerde aanbiedingen met prijzen die beter bij u passen”; “We willen u graag op de hoogte houden van nieuwe XXX-producten en -diensten, maar u ook tips en aanbevelingen geven om uw financiële situatie beter te beheren. Wij kunnen u ook informatie sturen over XXX producten en diensten met prijzen die beter bij uw profiel passen, om u te informeren over wat voor u als klant interessant kan zijn”; “Als u wilt dat de bedrijven van de XXX Groep … u producten en diensten aanbieden die zijn aangepast qua kenmerken en prijs, moeten wij u toestemming vragen om gegevens met betrekking tot uw klantenprofiel door te geven …”; “Als u wilt dat de bedrijven van de XXX Groep … u producten en diensten aanbieden die zijn aangepast qua kenmerken en prijs, moeten wij u toestemming vragen om gegevens met betrekking tot uw klantenprofiel door te geven … Deze informatie zal worden verwerkt om te proberen de kenmerken en prijzen van het aanbod van producten en diensten te verbeteren”; “…zodat wij vanuit XXX beter aan uw verwachtingen kunnen voldoen en wij uw graad van tevredenheid kunnen verhogen”; “…Om als bank dicht bij u als klant te staan en u te kunnen begeleiden tijdens onze contractuele relatie, zouden wij u kunnen feliciteren met uw verjaardag, u een goede dag of prettige feestdagen kunnen wensen”; “Bij XXX zijn wij van mening dat u als klant een redelijke verwachting heeft dat uw gegevens zodat wij producten en diensten kunnen verbeteren en u als klant een betere ervaring kunt hebben”; “Daarnaast zijn wij van mening dat u ook een redelijke verwachting heeft om u te feliciteren ter gelegenheid van uw jubileum. u een goede dag of prettige feestdagen te wensen”; “om u een adequate dienstverlening te kunnen bieden en de relatie die wij met u als klant onderhouden te beheren …”; “uw ervaring te personaliseren”; “onze bedrijfsmodellen te produceren”; “het gebruik van de producten, diensten en kanalen van de onderneming te analyseren”; “statistische en classificatiemethoden toe te passen om uw profiel correct aan te passen; “statistieken, enquêtes, actuariële berekeningen, gemiddelden en/of marktstudies uit te voeren die van belang zijn voor de onderneming of voor derden”; “commerciële aanbiedingen die zijn afgestemd op uw behoeften en voorkeuren”; “het ontwerp en de bruikbaarheid van de producten verbeteren”; “informatie die wordt gegenereerd uit de producten zelf”; “analyse en studie”; “producten en diensten bestuderen”; “producten en diensten ontwerpen”; “voor ons eigen beheer”; “u een betere service bieden”; “uw gegevens meedelen aan derden met wie wij een overeenkomst hebben”; “redelijke verwachting om te ontvangen”; “beheersbehoeften”; “analyse, studie en follow-up voor het aanbod en het ontwerp van producten en diensten die zijn afgestemd op het profiel”.
Komen sommige van deze bewoording je bekend voor? Het is inderdaad bijna onmogelijk om één privacybeleid te vinden dat niet één van de bovenstaande uitdrukkingen bevat.
Verkoopspraatjes
Sommige uitdrukkingen zoals hierboven omschreven stellen volgens de toezichthouder het privacybeleid voor als een voordeel, waarbij wordt geïmpliceerd dat de niet-aanvaarding ervan voor de betrokkene tot een verlies zal leiden. Het is één ding om “amicale” en klantvriendelijke taal te gebruiken, maar het is iets anders om formuleringen te gebruiken om te proberen het aantal klanten te vergroten.
Met andere woorden: het opstellen van een privacybeleid door advocaten, om het dan te laten polijsten door een copywriter uit de marketing-afdeling, is geen goed idee.
Legalees of advocatentaal
Bovendien zijn de categorieën persoonsgegevens die door de gesanctioneerde bedrijven worden verwerkt volgens de toezichthouder zo ruim en open dat bijna elke soort persoonsgegevens (met inbegrip van gevoelige gegevens) erin zou kunnen worden opgenomen. Het is een werkwijze die men gemakkelijk in de meeste juridische teksten kan terugvinden. Zo wordt de verwerking van gegevens met betrekking tot “producten, diensten en kanalen van het bedrijf”; “rekeningtransacties”, met gebruikmaking van uitdrukkingen als “bijvoorbeeld”, “enz.”, “onder andere”; afgeleide gegevens of met betrekking tot “inkomsten” door de AEPD als niet specifiek beschouwd. Dit is volgens de toezichthouder vooral bijzonder ernstig wanneer de verwerkingsactiviteiten gebaseerd zijn op de toestemming van de betrokkene, aangezien op die manier het onmogelijk is om een correcte toestemming te geven.
Om het ook hier met andere woorden te stellen: een mooi commercieel geformuleerd privacybeleid, dat vervolgens door de advocaten onder handen werd genomen om toch in alle omstandigheden die nodige uitvalswegen te bieden, lijkt evenmin een goede oplossing.
De impact: de genese van een heus naslagwerk en vooral: méér dan boetes alleen
Het niveau van detail dat wordt vereist om volledig aan de bovengenoemde vereisten te voldoen, dreigt de omvang van het gemiddelde privacybeleid aanzienlijk te vergroten (iets wat door de gegevensbeschermingsautoriteiten eerder hevig is bekritiseerd omdat het “privacybeleidsmoeheid” veroorzaakt). In dit nieuwe scenario is het een stuk moeilijker geworden om een evenwicht te vinden tussen een “privacybeleid dat volledig aan de regels voldoet” en een “klantvriendelijk privacybeleid”.
Naast de boetes werd echter een aanvullende niet-economische sanctie opgelegd die in de praktijk op de echte sanctie neerkomt. De beslissingen verplichten beide banken immers om hun privacydocumenten, -procedures en -praktijken binnen zes maanden aan te passen aan de GDPR.
In de praktijk kan dit inhouden dat de gegevensverwerkingsactiviteiten die gebaseerd zijn op de rechtsgrondslagen en/of informatie die ongeldig of ontoereikend zijn verklaard, worden stopgezet, en dat groepsondernemingen die betrokken persoonsgegevens hebben ontvangen, worden verzocht die gegevens te wissen en de verwerking ervan stop te zetten.
Conclusie
Nu de lat voor transparantie zo hoog wordt gelegd, is het zeker raadzaam om het bestaande privacybeleid grondig te herzien om ervoor te zorgen dat aan alle wettelijke vereisten wordt voldaan. In het bijzonder moeten bedrijven (niet alleen financiële ondernemingen) zich richten op het nemen van de volgende belangrijke stappen:
- Zorg ervoor dat de privacyverklaring scherp en eenduidig geformuleerd is. Het doel moet zijn ervoor te zorgen dat de gebruikte taal niet alleen zeer duidelijk is, maar ook voldoende omvattend.
- Ontwerp duidelijke toestemmingsmechanismen , waarbij er geen ruimte is voor verwarring. Bedrijven moeten bijzonder voorzichtig zijn wanneer de toestemming betrekking heeft op profileringsactiviteiten, marketingactiviteiten en het delen van informatie met derden (ook wanneer het gaat om leden van hetzelfde concern).
- Wees oh zo voorzichtig met het rechtmatige belang. Er moet duidelijke informatie worden verstrekt over de daadwerkelijke, niet-speculatieve en specifieke legitieme belangen die door de voor de verwerking verantwoordelijke worden nagestreefd (los van de doeleinden van de verwerking) en er moet een degelijke afweging worden gemaakt waarbij rekening wordt gehouden met de redelijke verwachtingen van de betrokkenen.
Wil je je privacyverklaring laten reviseren? Ga hierover in gesprek met onze specialisten via hallo@dejuristen.be.
Geschreven door Kris Seyen, Partner deJuristen