De Autoriteit Persoonsgegevens (AP) heeft op 20 december 2019 een boete van € 525.000 opgelegd aan de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB). Het boetebesluit van de AP levert interessante gezichtspunten op die de normen uit de Algemene Verordening Gegevensbescherming (AVG) verduidelijkt. Wij zetten de interessante gezichtspunten uit het boetebesluit op een rij.
Om extra inkomsten te genereren heeft de KNLTB samengevat persoonsgegevens van meer dan 300.000 van haar leden verkocht aan twee van haar sponsoren: TennisDirect en de Nederlandse Loterij. De sponsoren hebben de persoonsgegevens vervolgens gebruikt voor het uitvoeren van direct marketingactiviteiten, zoals het sturen van een flyer per post en het houden van een belactie. De KNLTB had op voorhand wel toestemming aan haar ledenraad gevraagd (en verkregen), haar leden geïnformeerd over het delen van persoonsgegevens voor commerciële doeleinden en een opt-out mogelijkheid aangeboden.
De beslissing van de Autoriteit Persoonsgegevens
De AP heeft naar aanleiding van klachten van betrokkenen onderzoek gedaan naar de gang van zaken en komt tot de conclusie dat de KNLTB de AVG heeft overtreden. In haar boetebesluit stipt de AP enkele interessante punten aan.
Wie is verwerkingsverantwoordelijke?
Het zal weinig mensen verbazen dat de KNLTB verwerkingsverantwoordelijk is voor het verstrekken van de persoonsgegevens. De KNLTB wordt echter ook gezien wordt als mede verwerkingsverantwoordelijke voor de direct marketingactiviteiten van de sponsoren, omdat zij voorwaarden heeft verbonden aan de wijze waarop de persoonsgegevens worden gedeeld en dus (mede) de middelen voor verwerking heeft vastgesteld. Dus, indien een bedrijf persoonsgegevens met een derde deelt en voorwaarden stelt aan het gebruik daarvan, loopt zij het risico dat zij voor de verwerking door de derde mede als verwerkingsverantwoordelijke wordt aangemerkt. Dit is iets om rekening mee te houden.
Mag de AP direct overgaan tot een onderzoek en het opleggen van een boete?
De AP is in deze kwestie direct een onderzoek gestart en legt naar aanleiding van het onderzoek een boete op. Bedrijven gaan er doorgaans vanuit dat de AP eerst contact met het bedrijf in kwestie opneemt om te bewerkstelligen dat de overtreding wordt beëindigd. Pas indien daarop niet adequaat wordt gereageerd, neemt de AP stappen ter verdere handhaving. De AP lijkt in dit geval met deze lijn te breken. De AP geeft hier concreet aan dat zij vrij is in het te kiezen handhavingsinstrument en ze dus ook direct een onderzoek mag starten en een boete mag opleggen, zonder eerst de dialoog te zoeken. Het is van belang dat bedrijven zich hiervan bewust zijn, omdat zij er niet meer zomaar vanuit kunnen gaan dat de AP eerst nog kans tot herstel biedt.
Gegevens verwerken voor andere doeleinden dan het oorspronkelijke doel
De KNLTB had de gedeelde persoonsgegevens verwerkt in het kader van haar ledenadministratie, om uitvoering te geven aan de ledenovereenkomst die met het betreffende lid is gesloten. Het voor commerciële doeleinden doorverkopen van gegevens is een ander verwerkingsdoeleinde. De AP stelt dat het niet toegestaan is om persoonsgegevens voor een ander verwerkingsdoeleinde te verwerken dan waarvoor zij oorspronkelijk zijn verzameld, tenzij:
Ten aanzien van het laatste punt merkt de AP op dat het treffen van waarborgen kan dienen als compensatie voor het verder verwerken van persoonsgegevens. Oftewel, naarmate meer waarborgen zijn getroffen om de belangen van de betrokkene te beschermen is het nieuwe verwerkingsdoeleinde sneller verenigbaar met het doeleinde van de oorspronkelijke verwerking. Bij waarborgen kan men denken aan het strikt volgen van het beginsel van minimale gegevensverwerking, het bieden van opt-out en het volledig en juist informeren van betrokkenen.
Ondanks de maatregelen die de KNLTB had getroffen, zoals hierboven onder de feiten geschetst, kon de KNLTB zich volgens de AP niet op deze uitzondering beroepen. De KNLTB had voor het delen van persoonsgegevens voor commerciële doeleinden op voorhand toestemming aan de betrokkene moeten vragen, omdat leden niet redelijkerwijs hoefden te verwachten dat de KNLTB hun persoonsgegevens voor commerciële doeleinden zou delen met sponsors. Overigens merkt de AP nog op dat toestemming van de ledenraad niet hetzelfde is als toestemming van de betrokkene.
Het gerechtvaardigd belang
De KNLTB voerde als verwerkingsgrondslag ‘het gerechtvaardigd belang’ aan. Het verwerven van extra inkomsten was nodig omdat het ledenaantal de afgelopen tien jaar sterk is gedaald. De reden voor de daling is dat leden weinig meerwaarde zien in een lidmaatschap van de KNLTB.
De AP is het niet eens met de gekozen verwerkingsgrondslag en stelt samengevat dat een commercieel belang geen gerechtvaardigd belang kan zijn. Volgens de AP moet een gerechtvaardigd belang ‘een min of meer dringend en specifiek karakter hebben dat uit een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel voortvloeit; het moet in zekere zin onontkoombaar zijn dat deze gerechtvaardigde belangen worden behartigd.’ Daarnaast merkt de AP op dat ‘de gedachte dat het in beginsel toegestaan zou zijn om geld te verdienen door op eigen gezag inbreuk te maken op andermans grondrechten’ haaks staat ‘op het uitgangspunt dat betrokkene - optreden van de wetgever daargelaten - grip op zijn gegevens zou moeten hebben’.
Wij kunnen ons vinden in de achterliggende gedachte van de AP. Een lid van een non-profit tennisorganisatie hoeft naar onze mening niet te verwachten dat haar gegevens doorverkocht worden aan een sponsor voor direct marketing doeleinden. Gelet daarop moet uiterst voorzichtig worden omgegaan met het scharen van commerciële doeleinden onder het gerechtvaardigd belang.
Naar onze mening legt de AP het begrip ‘gerechtvaardigd belang’ hier echter te beperkt uit. Niet alle gerechtvaardigde belangen van bedrijven vloeien immers voort uit rechtsregels of rechtsbeginselen en zijn in zekere zin ‘onontkoombaar’ om te behartigen. Denk alleen al aan het gebruik van minimale persoonsgegevens om de eigen dienstverlening te verbeteren (zoals goed ingestelde analytische cookies). Dat is naar onze mening een goed voorbeeld van een gerechtvaardigd belang indien de juiste waarborgen zijn getroffen. Het is echter geen belang dat voortvloeit uit een rechtsregel of rechtsbeginsel dat in zekere zin onontkoombaar is om te behartigen. Om de AVG praktisch werkbaar te houden en recht te kunnen doen aan de omstandigheden van het geval, heeft het onze voorkeur om het ‘gerechtvaardigd belang’ ruimer uit te leggen en ruimte te geven aan bedrijven om belangenafwegingen te maken.
Vervolg
De KNLTB heeft aangegeven het niet eens te zijn met het besluit van de AP en heeft al aangekondigd in bezwaar te gaan. Wij zijn benieuwd welke interessante gezichtspunten het bezwaar gaat opleveren. Laten we in ieder geval hopen dat de AP de scherpe kantjes van het besluit afhaalt en bedrijven meer duidelijkheid biedt over hoe zij met de AVG moeten omgaan.
Indien u meer wilt weten over dit onderwerp kunt u contact opnemen met Dewi Harkink of met één van onze advocaten uit de sectie Intellectueel Eigendom & IT.
Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer).
