INTERESSANT: RECENTE RICHTLIJNEN VAN DE EUROPEAN DATA PROTECTION BOARD OVER GERECHTVAARDIGD BELANG!
De Europese privacy toezichthouders verenigd in de EDPB (European Data Protection Board) hebben een richtlijn aangenomen over het gerechtvaardigd belang bij de verwerking van persoonlijke data. Daarbij is rekening gehouden met een recente uitspraak van het Hof van Justitie van de Europese Unie dat een commercieel belang bij de verkoop van klantgegevens in sommige gevallen een gerechtvaardigd belang kan zijn.
Over welk concreet geval gaat het?
Het gaat hier over de Nederlandse tennisbond KNLTB die in 2018 persoonsgegevens van zijn leden heeft meegedeeld aan twee van zijn sponsoren, te weten een bedrijf dat sportartikelen verkoopt en aan de Nederlandse Loterij en hiervoor van hen een vergoeding ontving. De leden van de tennisbond ontvingen vervolgens kortingsflyers van het bedrijf en werden telefonisch benaderd door callcenters ingezet door de Nationale Loterij.
Naar aanleiding van klachten van bepaalde leden oordeelde de Nederlandse Autoriteit Persoonsgegevens (de AP, vergelijkbaar met onze Belgische Gegevensbeschermingsautoriteit) dat de tennisbond de GDPR-regels had geschonden omdat de bond de persoonsgegevens van zijn leden had doorgegeven zonder dat deze leden daarvoor toestemming hadden gegeven en zonder dat er een rechtmatige grondslag voor het verstrekken van hun gegevens

bestond. Bijgevolg werd de tennisbond een boete opgelegd van 525 000 EUR.
Volgens de KNLTB had het echter een gerechtvaardigd belang, namelijk “het creëren van een sterke band tussen de tennisbond en zijn leden, en in het kunnen bieden van meerwaarde aan het lidmaatschap, in de vorm van kortingen en aanbiedingen bij partners, waardoor die leden tegen een betaalbare en toegankelijke prijs kunnen tennissen”.
De KNLTB ging in beroep bij de rechtbank Amsterdam, waarop die rechtbank aan het Europese Hof vroeg om meer uitleg te verkrijgen over de term ‘gerechtvaardigd belang’. Meer bepaald werd de vraag gesteld of elk belang een gerechtvaardigd belang kan zijn, mits dat belang niet in strijd is met de wet? Meer specifiek gesteld: is een zuiver commercieel belang, zoals het verstrekken van persoonsgegevens tegen betaling zonder toestemming van de betreffende persoon, te verdedigen als een gerechtvaardigd belang?

De uitspraak van het Europees Hof van Justitie
We proberen de uitgebreid toegelichte beantwoording van het Europees Hof op de vraag van de Amsterdamse rechtbank samen te vatten.
Het Hof stelt dat een commercieel belang van een bedrijf of organisatie, bestaande in de promotie en verkoop van advertentieruimte voor marketingdoeleinden, kan worden aangemerkt als een gerechtvaardigd belang. In deze omstandigheden kan een commercieel belang van de verwerkingsverantwoordelijke een gerechtvaardigd belang zijn, zolang dit niet in strijd is met de wet.
Vervolgens stelde het Hof dat een verwerking van persoonsgegevens bestaande in het verstrekken van persoonsgegevens van leden van een sportbond tegen betaling met het oog op de behartiging van een commercieel belang slechts noodzakelijk kan worden geacht als die verwerking strikt noodzakelijk is om het gerechtvaardigde belang te behartigen van de sportbond, en de belangen en de fundamentele vrijheden en grondrechten van die leden niet zwaarder wegen dan dat gerechtvaardigde belang.
De richtlijn van de European Data Protection Board (EDPB)
Het gerechtvaardigd belang (Artikel 6, lid 1, onder f), GDPR) is een van de zes rechtsgronden voor de rechtmatige verwerking van persoonsgegevens waarin de GDPR voorziet. De EDPB stelt dat deze rechtsgrond niet mag worden “gebruikt” als een “laatste redmiddel” voor zeldzame of onverwachte situaties waarin andere rechtsgrondslagen niet van toepassing zijn. Het mag ook niet als een automatisme worden gekozen op basis van de perceptie dat deze regel minder beperkend is dan andere rechtsgrondslagen.
De EDPB verstrekte in haar richtlijn uitgebreide uitleg over de drie cumulatieve voorwaarden waaraan moet worden voldaan om het gerechtvaardigd belang te kunnen inroepen voor een bepaalde verwerking:
- Alleen belangen die rechtmatig (niet in strijd met een Europese wet), duidelijk, nauwkeurig omschreven en reëel zijn, kunnen als legitiem worden beschouwd. Er is door de GDPR geen lijst van aanvaardbare gerechtvaardigde belangen uitgevaardigd maar ze hebben wel een aantal voorbeelden opgesomd: voorkomen van fraude, de bescherming van het eigendom, invordering van schulden. Ook de verwerking van persoonsgegevens van klanten voor direct-marketing doeleinden kan hieronder vallen.
- Het moet noodzakelijk zijn om persoonsgegevens voor dit belang te verwerken, er moet gekeken worden of er geen minder ingrijpende alternatieven voorhanden zijn.
- Als laatste moet er een afweging tussen de rechten en vrijheden van het individu en de belangen van de dataverwerker worden gemaakt. Dit is de “balancing test”, waarbij de dataverwerker rekening moet houden met de belangen van het individu, de impact van de gegevensverwerking en de redelijke verwachtingen van de betrokkene.
Om te bepalen of een bepaalde verwerking van persoonsgegevens gebaseerd kan zijn op het gerechtvaardigd belang moet er zorgvuldig beoordeeld en gedocumenteerd worden of aan deze drie cumulatieve voorwaarden is voldaan. Deze beoordeling moet worden uitgevoerd voordat de betreffende verwerkingen worden uitgevoerd.

Onze commentaar
Het is belangrijk om te beseffen dat met de uitspraak van het Europese Hof de sluizen niet zijn opengezet om het gerechtvaardigd belang te kunnen inroepen voor een resem aan commerciële belangen.
Een gerechtvaardigd belang hebben is namelijk niet genoeg, er moeten nog twee drempels genomen worden. Dat gerechtvaardigde belang moet niet alleen bestaan, de verwerking moet er noodzakelijk voor zijn. Dat betekent dat als het redelijkerwijs ook op een andere manier gedaan kan worden, het einde oefening is: dan gaat die verwerking niet door. En als die lat gehaald wordt dan moet er nog een afweging tussen de belangen van de betrokkenen en die van het bedrijf gemaakt worden, waarbij de belangen (zoals grondrechten) van de betrokkenen zwaar gewogen moet worden, en het ook een belangrijke rol speelt of het duidelijk was voor de betrokkenen dat ze dit konden verwachten.
Een laatste punt over de case van de tennisbond, iets wat ook door het Europese Hof in haar uitspraak werd vermeld: was er niet een manier die minder afbreuk doet aan de rechten van de leden? Als de tennisbond tegen betaling persoonsgegevens van zijn leden wil verstrekken aan derden, was het dan niet mogelijk geweest om de leden daarvan vooraf in kennis te stellen en hun te vragen of zij wensen dat hun persoonsgegevens aan derden worden doorgegeven met het oog op reclame of marketing? Daarmee was ook het AVG-principe van minimale gegevensverwerking beter gedekt.

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18

Bart Ocket
Privacy-expert
+32 491 08 37 84

Karel Mol
Privacy-expert
+32 476 30 91 47