Verwerken van persoonsgegevens voor eigen belangen

In een eerdere blog schreef ik al dat gegevens al heel snel “persoonsgegevens” zijn in de zin van de AVG (de privacyverordening) en dat, ook al pseudonimiseer je gegevens, ze toch persoonsgegevens blijven. Dat betekent dat het een praktische insteek is om er van uit te gaan dat, als je gegevens verwerkt, je in beginsel altijd aan de regels van de AVG moet voldoen. De AVG geeft in artikel 6 de basisregels: Verwerking is rechtmatig, als je aan één van de voorwaarden voldoet. Eén van die voorwaarden luidt:

“De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,….”

Om aan deze voorwaarde te voldoen moet je echter nog een extra controle uitvoeren en die vormt de kern van de voorwaarde:

“….., behalve wanneer de belangen of de grondrechten en fundamentele vrijheden van de betrokkene (lees: de persoon om wiens gegevens het gaat) die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen,….”

Hoe je dit moet begrijpen is nog niet direct duidelijk, reden waarom een werkgroep van de Europese Unie (al in 2014) een stuk heeft gepubliceerd waarin staat hoe je deze bepaling moet opvatten. Voor heel veel bedrijven is dit erg belangrijk, want hiermee wordt bepaald of, bijvoorbeeld,  je direct marketingactiviteiten wel door de beugel kunnen.

Van een gerechtvaardigd belang is al snel sprake. Meestal is het juist de afweging of dat belang voorgaat op de belangen van de ‘betrokkene’, waar het om gaat. De werkgroep heeft een (tamelijk groot) aantal illustratieve voorbeelden gegeven, waarvan ik er hier twee behandel. De conclusie is dat, als je maar transparant bent naar je klanten toe en ze de mogelijkheid biedt de eigen persoonsgegevens te laten verwijderen, er geen probleem is, maar als je dat niet doet, of geautomatiseerd beslissingen neemt ten aanzien van personen, je al snel over de streep zit.

Voorbeeld 1

Een pizzabedrijf stuurt aanbiedingen voor eigen producten per e-mail naar mensen die kort daarvoor een bestelling hebben geplaatst. In de reclamemail staat een mogelijkheid eenvoudig af te melden voor dergelijke e-mails, waarmee de klantgegevens ook verwijderd worden.

De EU-werkgroep vindt hiervan dat dergelijke reclame een gerechtvaardigd belang betreft. Het gebruik van de gegevens is beperkt, namelijk voor aanbieden van pizza en aanverwante producten aan iemand die dat eerder zelf al heeft besteld. Het vormt geen bijzondere inbreuk op de belangen van de betrokkenen en bovendien is er een goede voorziening om zich aan de verwerking te onttrekken. De werkgroep vindt dat in dit geval de belangen van de betrokkenen niet in de weg van deze verwerking staan.

Voorbeeld 2

Het pizzabedrijf combineert nu, via betaalgegevens van de klanten, de informatie met gegevens van een supermarktketen en van browsergeschiedenis. De informatie wordt gebruikt om gepersonaliseerde advertenties van diverse gelieerde bedrijven op de klanten te richten. Dat gebeurt op geavanceerde wijze en via pop-up boodschappen op de mobiele apparaten van de klanten. Er wordt geen uitleg gegeven aan de klanten hoe hun gegevens worden gebruikt en een eenvoudig te gebruiken opt-out is er ook niet.

De werkgroep vindt het wel een gerechtvaardigd belang van de verantwoordelijke, maar vindt de verwerking niet rechtmatig. Het is voor de klanten niet te voorzien hoe hun gegevens gebruikt worden, zij worden ongevraagd lastig gevallen met zeer actieve en persoonlijke reclame en zijn kunnen er niet eenvoudig een einde aan maken. In dit geval gaan de belangen van de betrokkenen voor op de belangen van de verwerkingsverantwoordelijken (het pizzabedrijf en de andere adverteerders).

Meer informatie?

Neem vrijblijvend contact op met onze advocaat

Geef een reactie