Het gebruik van aangekochte data en meer bepaald van aangekochte persoonsgegevens zoals namen, adressen, e-mailadressen met de naam blijft één van de prioriteiten van onze Gegevensbeschermingsautoriteit (GBA). Je informeert je dus best vooraf omtrent de basisregels en verplichtingen die de GDPR hieromtrent oplegt. We nemen voor jou de belangrijkste aandachtspunten door.
Wat zijn de risico’s?
Als je bijvoorbeeld commerciële e-mails stuurt naar aangekochte e-mailadressen van natuurlijke personen (inclusief werkmailadressen), dan verwerk je persoonsgegevens en ben je onderhevig aan de GDPR.
Het risico op klachten van betrokkenen is groot, dit betreft geadresseerden die niet begrijpen hoe je aan hun gegevens komt, of die niet akkoord zijn met het ontvangen van jouw (commerciële) boodschap. De boetes die uit dergelijke klachten kunnen voorkomen zijn behoorlijk hoog, dit uiteraard als je de GDPR-regels aan je laars lapt.
Wat stelt de GDPR?
- Volgens de GDPR mag je commerciële e-mails, nieuwsbrieven, … sturen naar personen en bedrijven als je onderstaande voorwaarden volgt:
Als je voorafgaande toestemming hebt van de ontvanger. Die toestemming moet vrij gegeven zijn, moet bovendien eenduidig en geïnformeerd zijn. Hier komen we nog op terug. - Als de geadresseerden bestaande klanten zijn en als de reclame of boodschap gaat over producten of diensten die gelijkaardig zijn aan wat ze al gekocht hebben, heb je geen toestemming nodig voor het versturen van marketing e-mails. Dit is de zogenaamde soft opt-in en deze vormt een uitzondering op het principe van voorafgaande toestemming. De begrippen “bestaande klant” en “gelijkaardige producten of diensten” zijn afhankelijk van de specifieke situatie en de redelijke verwachting van de ontvanger.
- De mail of nieuwsbrief moet hoe dan ook een opt-out bevatten, namelijk een eenvoudige manier om zich uit te schrijven voor betrokkenen die geen verdere mails of nieuwsbrieven wensen te ontvangen. Een link in de mail naar de privacy policy is ook aangewezen.
- Hiernaast zorg je er ook voor in orde te zijn met de basisbeginselen van de GDPR waaronder het voorzien van een rechtsgrond voor deze verwerking van persoonsgegevens, transparantie bieden via je privacy policy en de begrippen van data-minimalisatie, bewaartermijnen en gegevensbeveiliging correct toepassen.
Als je je communicatie verstuurt naar anonieme mailadressen van het type info@… of contact@…, dan zijn er geen beperkende voorwaarden want je verwerkt geen persoonsgegevens, dus val je buiten de GDPR-reglementering.
Hoe werk je dan best met gekochte of gehuurde data?
Bij gekochte of gehuurde data mogen we ervan uitgaan dat het geen gegevens van bestaande klanten betreft. Dus heb je voorafgaande toestemming nodig van de personen waar je je e-mail of nieuwsbrief naartoe stuurt.
Die toestemming hoef je niet zelf te bekomen, maar dient in elk geval door de databroker te zijn verkregen. Een goede databroker heeft in alle transparantie duidelijke toestemming bekomen van de personen van wie hij de gegevens verkoopt, om hun data door te geven aan derden van wie ze commerciële boodschappen kunnen ontvangen.
Het is aangewezen om duidelijke contractuele garanties én afspraken over de aansprakelijkheid van de databroker te bekomen en op papier te zetten om ervoor te zorgen dat je voldoet aan de geldende privacywetgeving. Volgende punten zijn hierbij belangrijk:
- Zorg ervoor dat de databroker transparant is naar klanten en betrokkenen over welke gegevens hij verkoopt, hoe hij ze heeft verkregen en wat het doel hiervan is.
- Bekom garanties dat de gegevens die je wil kopen nauwkeurig en actueel zijn.
- De databroker moet kunnen aantonen dat de betrokken personen op de hoogte zijn van het feit dat hun gegevens worden verwerkt en dat ze hun rechten kennen om inzage te bekomen in hun gegevens, correcties te kunnen uitvoeren, zich kunnen laten verwijderen uit de databank.
- Verzeker je ervan dat de databroker passende technische en organisatorische maatregelen heeft genomen om de gegevens te beschermen tegen ongeoorloofde toegang, verlies of diefstal.
- Zoals hierboven al aangeduid: verkrijg garantie dat de databroker toestemming heeft bekomen van de personen van wie hij de gegevens verkoopt, om hun data door te geven.
Als je commerciële e-mails stuurt naar aangekochte adressen ben je voor de GDPR uiteraard ook zelf verwerkingsverantwoordelijke en moet je ervoor zorgen dat de verwerking (het versturen van commerciële e-mails) voldoet aan de vereisten van de GDPR, waaronder:
- de ontvanger duidelijk informeren over wie je bent, hoe je gecontacteerd kan worden, en wat jouw doel is. Artikel 14 GDPR vereist ook dat je in de eerste mail aan de betrokkene meedeelt waar je zijn of haar gegevens hebt verkregen (met andere woorden, je moet de naam van je databroker vrijgeven aan de mensen die je mailt).
- Een duidelijk vindbare mogelijkheid tot afmelden voor verdere e-mails (opt-out) voorzien.
- Zoals hierboven al aangeduid: het voorzien van een rechtsgrond voor deze verwerking van persoonsgegevens, transparantie bieden via een link naar je privacy policy en de begrippen van data-minimalisatie, bewaartermijnen en gegevensbeveiliging correct toepassen.
Rolf Vermeulen
Privacy-expert
+32 475 96 01 18
Bart Ocket
Privacy-expert
+32 491 08 37 84
Karel Mol
Privacy-expert
+32 476 30 91 47