Overslaan en naar de inhoud gaan
#Data Protection

GDPR-update: 10 weetjes omtrent de Aanbeveling van GBA

dinsdag 10/03/2020

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft haar aanbeveling nr. 02/2013 geactualiseerd na een publieke consultatie. Ontdek de tien weetjes.

Wat zegt de GDPR?

De GDPR bevat in haar Recital 47 één zinnetje waar vaak naar verwezen wordt om direct marketingactiviteiten te rechtvaardigen. Deze zin stelt het volgende: “De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Deze zin is echter zo algemeen dat het tegelijk weinig houvast biedt.

De GBA heeft door deze Aanbeveling en door haar voornemen om vaak de boer op te gaan om toelichting te verschaffen over haar beleid, de ambitie om bedrijven te helpen en de juiste reflexen te ontwikkelen. De praktijkvoorbeelden die in de Aanbeveling voorkomen, geven bijkomende guidance en zijn dus zeker nuttig.

E-privacyrichtlijn

De GBA merkt terecht op dat naast de GDPR men ook de bestaande e-Privacyrichtlijn (12 juli 2002 betreffende elektronische communicatie) mee in ogenschouw moeten nemen, toch wanneer het elektronische marketing betreft. Zoals geweten is deze richtlijn in herziening maar hebben de Europese Lidstaten nog geen akkoord bereikt over een nieuwe set van regels, uiteraard omdat de economische belangen die hiermee gepaard gaan erg groot zijn. Het blijft dus onzeker of de richtlijn van 2002 zal aangepast worden en wanneer een mogelijke wijziging uitwerking zal krijgen. Momenteel zijn de regels van deze verouderde richtlijn in Belgisch recht omgezet in het Wetboek Economisch Recht (WER).

Enkele basics van deze Aanbeveling

De Aanbeveling bevat de volgende definitie van “direct marketing”: elke communicatie, in welke vorm ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan één of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

We merken graag op dat de GDPR zelf wél verwijst naar direct marketing, maar wel géén definitie geeft van deze activiteit.  Een paar vaststellingen met betrekking tot de definitie van de GBA:

  • De GBA geeft door deze definiëring aan dat het kan gaan om communicatie vanwege profit of social profit bedrijven of organisaties, dus ook fundraising, charity, tal van verenigingen, vallen onder het toepassingsgebied.

  • Banneradvertenties of andere advertenties gericht tot een willekeurig publiek vallen er niet onder.

  • Het moet gaan om promotie, maar niet noodzakelijk van goederen of diensten, het kan ook gaan om promotie van maatschappelijke projecten of opvattingen. Hierdoor vallen marktonderzoek, peilingen of tevredenheidsenquêtes niet onder het toepassingsgebied.

  • Overheidscampagnes of huishoudelijke activiteiten (verjaardagsfeestje) vallen eveneens niet onder de definitie.

  • De boodschap moet gericht zijn aan een natuurlijk, te identificeren persoon. Campagnes gericht op algemene bedrijfsmailadressen (bijv. info@) vallen er ook niet onder.

  • Het gaat om communicatie via klassieke of via alle mogelijke technologische kanalen (telefoon, mail, SMS, MMS, chatroom, pop-up).

Wat leren we bij ? 10 weetjes

  1. Deze aanbeveling is niet beperkt tot profit bedrijven, ook social profit campagnes moet hiermee rekening houden.

  2. Databrokers moeten aantonen vanwaar ze de data halen en dat de data subjecten hierover geïnformeerd werden.

  3. Bij verdere verwerking van data moet er nagegaan worden of deze verwerking verenigbaar is met de initiële verwerking en de rechtvaardigingsgrond die bij het bekomen van de data werd gebruikt.

  4. Voor geautomatiseerde verwerking is de uitdrukkelijke toestemming vereist van het data subject. Ook bij profilering moeten de klanten of de prospecten geïnformeerd worden over deze activiteit.

  5. Bij fusies of overnames (bedrijfsconcentratie) is het de verantwoordelijkheid van de verwerver van de data om de betrokken datasubjecten te informeren over het toekomstig gebruik (art. 14 GDPR).

  6. De geïnformeerde professional wist dit al, maar bij alle overnames van bestaande bestanden (klanten, leden, prospects, ingeschrevenen op nieuwsbrieven, ..) moet de overnemer zijn huiswerk goed doen.

  7. Geef voldoende toelichting over de verwerkingsdoeleinden en de verwerking. Een algemene mededeling zoals bijv. “wij verwerken uw gegevens voor direct marketingdoeleinden” is niet voldoende nauwkeurig.

  8. De initiële rechtsgrond kan niet zomaar gewijzigd worden. Wie een verwerkingsactiviteit opstart met als verwerkingsgrond “consent” (toestemming) kan niet zomaar nadien switchen naar gerechtvaardigd belang. Indien men de gegevens wil hergebruiken voor een ander doel dan datgene waarvoor initieel de gegevens werden bekompen, moet men hiervoor toestemming bekomen.

  9. De “soft opt-in” uitzondering voor elektronische post is beperkt tot bestaande klanten en abonnees van wie de data werden bekomen in het kader van de verkoop van een product of dienst. Info over soortgelijke producten of diensten kan, maar mits duidelijk de mogelijkheid tot uitschrijven wordt geboden.

  10. De rechtvaardigingsgrond “gerechtvaardigd belang” die vaak bij direct marketing wordt gehanteerd vereist een balancing test van het belang van de marketeer en van het data subject.

Call for action

Ook al trad de GDPR in werking op 25 mei 2018, veel bedrijven of organisaties zijn zich nog niet bewust van alle ins en outs. Voor de kenner valt er in deze Aanbeveling niet zoveel nieuws te rapen, maar de vele voorbeelden én verwijzingen naar beslissingen van andere Data Protection Autoriteiten (uit de andere EU landen) zijn leerrijk en nuttig. Tegelijk geven ze aan dat gelet op het vaak massale karakter van direct marketingactiviteiten, ieder bedrijf of organisatie best haar communicatie goed laat controleren alvorens ze met de wereld te delen. De boetes kunnen immers stevig aantikken (Bisnode kreeg in Polen een boete van 220 K, ID Design in Denemarken een boete van 200 K).

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/f…

Heeft u hierbij verdere vragen, aarzel niet contact op te nemen via Dylan Casaer.

Neem contact op met één van onze advocaten

Dylan Casaer

Dylan Casaer

Partner

Contacteer