De inbreuk
Op 28 mei 2019 heeft de Gegevensbeschermingsautoriteit (GBA) de eerste boete uitgeschreven in toepassing van de Algemene Gegevensbeschermingsverordening (AVG).
Een burgemeester had een electoraal bericht gestuurd naar een aantal e-mailadressen ontvangen in het kader van een klacht over een verkaveling.
De GBA oordeelde dat de burgemeester de persoonsgegevens had gebruikt voor persoonlijke doeleinden, en legde een – volgens de GBA – bescheiden geldboete op van 2.000 EUR.
Waar ging de burgemeester in de fout?
De burgemeester mag persoonsgegevens die hij ontvangt in hoedanigheid van overheidsfunctionaris enkel verwerken en gebruiken voor het doel in het kader waarvan hij deze heeft verkregen (art. 5 AVG), én op voorwaarde dat hij deze verwerkt op basis van één van de toegelaten rechtsgronden (art. 6 AVG):
Uitvoering van een (voorgenomen) overeenkomst
De burgemeester mocht uiteraard de persoonsgegevens verwerken voor de uitvoering van een taak van algemeen belang, nl. de behandeling van een klacht. Het is echter ook duidelijk dat de burgemeester de persoonsgegevens heeft afgewend van het doel waarvoor hij deze ontving, aangezien hij deze niet had mogen gebruiken voor zijn persoonlijke electorale doeleinden.
De inbreuk bevond zich dus op het niveau van de aanwending van persoonsgegevens als overheidsfunctionaris in strijd met de wet.
Wat moeten we onthouden voor commerciële e-mails?
Op basis van de AVG is het nog steeds perfect mogelijk om aan (direct) marketing te doen. Er is hiervoor een rechtsgrond vereist, waarbij moet kunnen worden aangetoond dat de persoonsgegevens (bv. e-mailadressen) rechtsgeldig verkregen zijn. De mogelijke rechtsgronden voor commerciële e-mails zijn (art. 6 AVG):
Een bedrijf kan nl. een gerechtvaardigd belang hebben om een huidige klant te benaderen met commerciële e-mails voor de verkoop van producten, los van een concrete vraag of de eventuele (toekomstige of bestaande) overeenkomst.
Personen die al interesse hebben betoond in een onderneming, bv. een bestaande klant, kan zonder hiertoe expliciete toestemming te hebben gegeven ook commerciële e-mails ontvangen. Deze persoon heeft interesse in de producten van de onderneming, en het bedrijf heeft er een “gerechtvaardigd belang” bij om zijn producten te verkopen.Van deze persoon kan redelijkerwijze verwacht worden interesse te hebben in de producten van het bedrijf, door de voorgaande contacten (overweging 47 AVG – link). De verwerking van persoonsgegevens voor direct marketing wanneer er al een bepaald contact is geweest, kan dus bv. met de rechtsgrond “gerechtvaardigd belang” gebeuren (overweging 47 AVG – link).
Men zou kunnen argumenteren dat het op basis van het gerechtvaardigd belang ook mogelijk zou zijn om potentiële klanten te benaderen per e-mail, maar gezien het KB op de elektronische communicatie lijkt dat moeilijk. Sommige bedrijven vangen dit op door direct marketing via gewone post te doen.
Dit kan bereikt worden door bv. een vinkje met expliciete bevestiging op een inschrijvingspagina van de website van een onderneming, waarbij duidelijk verklaard wordt waarvoor men toestemming geeft.
Een belangrijke overweging is dat indien e-mailadressen worden aangekocht bij een commerciële organisatie, er moet kunnen worden aangetoond dat deze organisatie op rechtsgeldige wijze de e-mailadressen verkreeg, én dat betrokkenen de uitdrukkelijke toestemming gaven dat een “derde” (de finale koper van de gegevens) deze verwerkt.
De Britse gegevensbeschermingsautoriteit, het Information Commissioner’s Office (ICO), heeft bv. de Britse actiegroep Leave.EU Group Limited, een boete opgelegd van 15.000 pond voor het versturen van 300.000 politieke marketing berichten omtrent de Brexit. ICO stelde dat het niet voldoende is om bij aankoop van e-mailadressen contractueel af te dwingen dat de verkoper toestemming heeft verkregen van alle personen op de lijst; de finale koper van de persoonsgegevens moet zélf de individuele toestemming kunnen aantonen.
In elk geval: informeren
In alle hypotheses van verwerking van persoonsgegevens, zal de verzender de ontvanger/klant moeten informeren over het feit dat commerciële e-mails gestuurd zullen worden, en hiervan het bewijs moeten (kunnen) leveren.
Aandachtspunt: minderjarigen
Een belangrijk aandachtspunt is het inschrijven van minderjarigen voor ontvangst van commerciële e-mails (art. 8 AVG).
In principe kunnen minderjarigen geen overeenkomsten aangaan of toestemming geven zonder akkoord van hun ouder/voogd/… Een minderjarige wordt beschouwd als iemand minder dan 16 jaar, maar een lidstaat kan dit ook verlagen, met als ondergrens de leeftijd van 13 jaar.
Ondernemingen moeten redelijke inspanningen leveren om de leeftijd te controleren, én om in geval van inschrijving van een minderjarige te verifiëren of de persoon die de ouderlijke verantwoordelijkheid draagt daadwerkelijk toestemming of machtiging tot toestemming heeft verleend.
Dit betekent dat voor commerciële e-mails er een bepaalde mate van verificatie van leeftijd moet worden ingebouwd, waarbij de meest lichte vorm een vermelding/bevestiging in de informatie op de inschrijvingspagina inhoudt dat de inschrijver bevestigt meerderjarig te zijn, en een zwaardere vorm de expliciete bevestiging/invoering van leeftijd, zoals bv. toegepast wordt voor toegang tot websites die reclame maken omtrent alcohol.
Uiteraard, hoe “gevoeliger” hetgeen waarvoor wordt ingeschreven, hoe strenger de verificatie zal moeten zijn.