NIET REAGEREN OP EEN VRAAG VAN EEN BETROKKENE DIE TOEGANG WENST TOT ZIJN PERSOONSGEGEVENS ? EEN UITSPRAAK VAN DE BELGISCHE GEGEVENSBESCHERMINGSAUTORITEIT BEWIJST NOGMAALS DAT DIT JE ZUUR KAN OPBREKEN!

Heel recent besliste onze Belgische GBA (Gegevensbeschermingsautoriteit) tot het opleggen van een boete van 8 000 € aan een bedrijf (een startende voetbalclub) die, na het versturen van commerciële mails, de vraag van een betrokkene tot inzage in zijn gegevens had genegeerd. Ook aan de informatieplicht en een aantal andere GDPR-verplichtingen was niet voldaan.

De feiten

Een betrokkene ontving een ongevraagde commerciële e-mail van een bedrijf (de verwerkingsverantwoordelijke) met een uitnodiging om een account aan te maken op een nieuw online ticketplatform om abonnementen en tickets te kopen. De betrokkene richtte zich tot het bedrijf met de vraag hoe zijn persoonsgegevens werden verkregen zonder zijn medeweten, aangezien hij deze nooit zelf aan het bedrijf had gegeven, en vroeg verder om inzage te verkrijgen in zijn persoonsgegevens en op welke rechtsgrond deze werden verwerkt.
In antwoord hierop meldde het bedrijf (de startende voetbalclub) aan de betrokkene dat zijn gegevens werden gewist (alhoewel dit niet was gevraagd), maar gaf geen afdoende antwoord op zijn verzoek tot inzage.
De betrokkene besloot hierop een klacht in te dienen bij de Gegevensbeschermingsautoriteit (GBA), die hierop een onderzoek startte.

Het onderzoek van de GBA

Uit het onderzoek bleek in eerste instantie dat de gegevens van de betrokkene afkomstig waren uit de database van een failliete voetbalclub (ongeveer 6000 personen) en dat betrokkene lid was van deze voetbalclub. De database werd in het kader van de faillissementsprocedure door de curator overgedragen aan het bedrijf (de verwerkingsverantwoordelijke dus) die van plan was om de failliete club opnieuw op te starten. Het bedrijf stelde dat, om die doorstart te kunnen verwezenlijken, het noodzakelijk was dat het ledenbestand mee werd overgedragen aan de overnemende club. Zonder de contactgegevens van de abonnees, in dit geval beperkt tot voornaam, familienaam en e-mailadres, konden de abonnees niet worden bereikt en zou de facto elke doorstart na een faillissement onmogelijk worden gemaakt.
De eerste vragen van de GBA waren : is er een geldige grondslag zowel voor de overdracht van de persoonsgegevens van de failliete club naar het bedrijf (de startende voetbalclub), als voor de mailing aan de abonnees van de gefailleerde club ?
Maar uit het onderzoek door de Inspectiedienst van de GBA kwamen nog andere elementen naar voor :

  • Het recht van inzage van de betrokkene in zijn persoonsgegevens was duidelijk geschonden;
  • De database bevond zich bij een tussenpersoon, een bedrijf dat in opdracht van de failliete voetbalclub de communicatie met de abonnees verzorgde, en die ook door de nieuwe voetbalclub was aangesproken om de samenwerking verder te zetten. Deze tussenpersoon was dus in dit geval een verwerker. Er was echter geen verwerkingsovereenkomst aanwezig, inbreuk tegen art. 28.3 van de GDPR;
  • De privacy- en cookieverklaringen op de websites waren niet coherent en niet opgesteld in overeenstemming met de GDPR;
  • De cookiebanner (toestemmingsvereiste), de wijze van opvragen van persoonsgegevens, en de bewaringstermijnen van cookies op de verschillende websites vormden inbreuken tegen de GDPR
  • De informatie opgenomen in het verwerkingsregister beantwoordde niet aan de GDPR-vereisten

De conclusies van de GBA

Nadat het bedrijf (de startende voetbalclub) werd gehoord, kwam de Geschillenkamer van de GBA tot beslissingen ten gronde. We vatten dit hieronder samen.

  • Met betrekking tot de doorgifte van het ledenbestand aan de curator en de overdracht aan het bedrijf (de startende voetbalclub) :
    De GBA benadrukte dat er geen duidelijke rechtsgrondslag was voor de gegevensoverdracht naar de curator en naar het bedrijf (de opstartende voetbalclub). Het oorspronkelijke doel van de gegevensverwerking van de failliete voetbalclub (registratie van het lidmaatschap van betrokkene en het voeren van alle communicatie omtrent de activiteiten van de club) was ongetwijfeld onverenigbaar met de doorgifte aan de curator en de daaropvolgende gegevensverwerking door de curator (met als doel het ten gelde maken van zoveel mogelijk activa, inclusief de leden-database). Desalniettemin viel voor de Gegevensbeschermingsautoriteit de doorgifte van activa, waaronder de database, in verband met de faillissementsprocedure binnen de reikwijdte van het gerechtvaardigd belang op grond van artikel 6, lid 1, onder f), GDPR. De gegevens van de betrokkene werden dus rechtmatig doorgegeven.
  • Met betrekking tot de commerciële mails aan de betrokkene :
    Het bedrijf (de opstartende voetbalclub) beriep zich voor de verwerking op artikel 6 (lid 1, onder f), van de GDPR, zijnde haar gerechtvaardigd belang voor direct marketing en de daaropvolgende commerciële mailing. De “gerechtvaardigd belang”-test van de GBA gaf aan dat het bedrijf als verwerkingsverantwoordelijke rechtmatig e-mail kon sturen naar voormalige leden van de failliete club (ongeveer 6.000 personen), waaronder de betrokkene. Volgens de GBA kwam het gerechtvaardigde belang dat de verwerkingsverantwoordelijke nastreefde neer op het opnieuw opstarten van de club, er was geen alternatief om de voormalige leden effectief te bereiken. Ook waren de leden op de hoogte van het faillissement van de club, dus een overname van de club lag binnen hun verwachtingen.
  • Met betrekking tot het recht van inzage van de betrokkene :
    Het bedrijf (de opstartende voetbalploeg) had als verwerkingsverantwoordelijke niet gereageerd op het verzoek om toegang tot de persoonsgegevens van de betrokkene. Het feit dat de verwerkingsverantwoordelijke de persoonsgegevens van de betrokkene verwijderde, was irrelevant. De betrokkene verwachtte te worden geïnformeerd over de herkomst van de gegevens, niet noodzakelijkerwijs over de verwijdering ervan. Het verzoek van de betrokkene werd dus niet behandeld en de verwerkingsverantwoordelijke handelde tegen GDPR-regels.
  • Met betrekking tot de overige vaststellingen :
    De e-mail die de betrokkene ontving bevatte niet alle informatie die nodig is volgens artikel 14 van de GDPR. De informatie over het recht om bezwaar te maken op grond van artikel 21 GDPR ontbrak volledig, evenals een link naar het privacybeleid. Het bedrijf voldeed hiermee niet aan haar informatieplicht en een transparante gegevensverwerking. Het feit dat het e-mailbericht onderaan de mogelijkheid bevatte tot het aanklikken van “Afmelden” was onvoldoende. Het eenvoudig aanbieden van een klik op “Afmelden” kan immers niet worden beschouwd als het uitdrukkelijk en duidelijk onder de aandacht brengen van het recht van bezwaar, waardoor de betrokkene met kennis van zaken kan inschatten welke gevolgen aan dit “Afmelden” worden gekoppeld.

De Geschillenkamer merkte wel op dat de verweerder zich coöperatief had opgesteld en naar aanleiding van de vaststellingen van de Inspectiedienst een privacyverklaring en cookieverklaring had opgemaakt in overeenstemming met de GDPR-wetgeving. Tevens werd elke toekomstige e-mail die wordt verstuurd voorzien van een link naar de privacyverklaring met het oog op afdoende informatieverstrekking.
Bijgevolg legde de GBA een boete van 8.000 euro op voor de diverse schendingen tegen de GDPR, waarna het bedrijf bevestigde zich neer te leggen bij de opgelegde boete.

Onze conclusie

Het onjuist en onvoldoende reageren op de vraag van een betrokkene kan leiden tot grote gevolgen en forse boetes !
Naast de opgelegde boete mocht het bedrijf (de opstartende voetbalploeg) nog de juridische kosten bijtellen, én diende het uiteraard toch alle inspanningen te leveren om haar GDPR-dossier op orde te krijgen.
Reageer dus snel (de wettelijke termijn is 30 dagen) op vragen van betrokkenen en zorg ervoor dat je GDPR-dossier in orde is.

Rolf Vermeulen - Ubora

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18

Bart Ocket
Privacy-expert
+32 491 08 37 84

Karel Mol
Privacy-expert
+32 476 30 91 47