Direct marketing en bescherming van persoonsgegevens
A. Definitie De wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens 1 , hierna de WVP genoemd, definieert het begrip direct marketing niet. In het licht van de Europese regelgeving kan daaronder evenwel worden verstaan 2 "alle activiteiten die het mogelijk maken om goederen en diensten aan te
bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enige daarmee verband houdende dienst".
Toepassingen De toepassing die in het kader van deze verwerking het meest voorkomt, is de reclameboodschap die een persoon op naam wordt toegestuurd. Die boodschap wordt bezorgd door middel van diverse dragers die de evolutie van de nieuwe technologieën volgen. Voor het overbrengen van reclameboodschappen wordt thans gebruik gemaakt van een breed spectrum van middelen, met name brievenpost, fax, email, vaste telefoon, sms berichten op mobiele telefoons, en apparaten die automatisch een telefoonoproep genereren op basis van willekeurig gevormde nummers.
1
Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, zoals gewijzigd door de wet van 11 december 1998, B.S. 3 februari 1999, en door de wet van 26 februari 2003, B.S. 26 juni 2003. 2
Aanbeveling R(85) 20 van 25 oktober 1985 van het Comité van Ministers aan de lidstaten inzake de bescherming van persoonsgegevens aangewend voor direct marketing; Europese Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publicatieblad, nr. L281/31 van 23 november 1995.
Hoogstraat 139 | B1000 Brussel | T +32 (0)2 213 85 40 | F +32 (0)2 213 85 56 | Email
[email protected] | Website www.privacycommission.be
2/36
Direct marketing kent evenwel een ruimere toepassing dan de voormelde situaties. Andere gevallen zijn: a) zowel direct marketing door een bedrijf voor haar eigen producten of diensten, als “externe” direct marketing d.w.z. transfers van persoonsgegevens door een bedrijf aan derden of verwerking van persoonsgegevens in opdracht van derden voor al dan niet soortgelijke producten of diensten;
b) commerciële verwerkingen verricht door professionele tussenpersonen om er hun hoofdactiviteit of nevenactiviteit 3 mee te ontplooien, zoals de adressenhandel (uitwisseling, verkoop of verhuur van bestanden), de verrijking van bestanden, het gebruik van privacyinvasieve technologieën met het oog op direct marketing waaronder het gebruik van intelligente chipkaarten, de opslag van biometrische gegevens en RFIDgegevens 4 , informatiemijnbouw (“data mining”), het creëren van een gegevenswarenhuis (“data warehousing”), profilering,…;
c) nietcommerciële verwerkingen, zoals de promotie van de activiteiten van een vereniging met caritatieve doelstellingen of van andere verenigingen en stichtingen 5 , bijvoorbeeld van politieke aard; d) reclame zoals gedefinieerd in artikel 2, 7° van de Wet elektronische handel 6 of artikel 93, 3° van de Wet handelspraktijken 7 , op voorwaarde dat deze reclame is gepersonaliseerd en dus een verwerking van persoonsgegevens inhoudt (een “affiche” in het stadsbeeld waarbij geen persoonsgegevens worden verwerkt, valt niet onder de WVP).
3
Een elektriciteitsleverancier kan zich bijvoorbeeld toeleggen op de handel in persoonsgegevens, op basis van de persoonsgegevens die hij via zijn normale diensten heeft verkregen. Deze nevenactiviteit wordt dus uitgeoefend naast de traditionele diensten. 4
Radiofrequentie identificatie van bepaalde (consumenten)goederen. Zie het werkdocument WP 105 dd. 19 januari 2005 van de Artikel 29 Werkgroep gegevensbescherming, "Working document on data protection issues related to RFID technology", te consulteren op: http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp105_en.pdf
5
Voorbeelden: schriftelijke acties met het oog op geldinzameling, briefschrijfacties, kettingbrieven, ….
6
De wet van 11 maart 2003 betreffende sommige juridische aspecten van de diensten van de informatiemaatschappij definieert reclame als “elke vorm van communicatie bestemd voor het direct of indirect
promoten van de goederen, diensten of het imago van een onderneming, organisatie of persoon die een commerciële, industriële of ambachtelijke activiteit of een gereglementeerd beroep uitoefent” . 7
De wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument definieert reclame als “elke mededeling die rechtstreeks of onrechtstreeks ten doel heeft de verkoop van producten of diensten te bevorderen, ongeacht de plaats of de aangewende communicatiemiddelen".
3/36
B. Toepasselijke wetgeving Elke verwerking 8 van persoonsgegevens 9 met het oog op direct marketing is onderworpen aan de WVP. Daarnaast genieten consumenten ook bescherming door de Wet elektronische handel 10 en de Wet handelspraktijken 11 , die een interpretatie hebben van de notie reclame die licht afwijkt van het begrip direct marketing.
C. Grondbeginselen van de WVP toegepast op direct marketing. Verwerkingen van persoonsgegevens met het oog op direct marketing zijn enkel toegelaten indien de WVP in acht wordt genomen.
C.1. De rechtmatigheid van de verwerking.
Een verwerking van persoonsgegevens moet steeds zijn grondslag vinden in één van de limitatief in art. 5 WVP opgesomde gevallen. Zo is een gegevensverwerking met het oog op direct marketing toelaatbaar in een van de volgende gevallen :
Direct Marketing met toestemming van de betrokkene; (artikel 5 a) WVP).
Direct marketing bij een directe (pre)contractuele relatie met de klant of prospect; "voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen" (artikel 5 b) WVP);
Direct Marketing met afgewogen belang : "voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde
8
In artikel 1, §2 WVP is verwerking omschreven als « elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens». 9
In artikel 1, §1 WVP zijn persoonsgegevens gedefinieerd als “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit». 10
Artikel 2, 7° van de Wet van 11 maart 2003 betreffende sommige juridische aspecten van de diensten van de informatiemaatschappij, B.S. 17 maart 2003 (2° editie), hierna “Wet elektronische handel”. 11
Artikel 93,3° van de Wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument, B.S. 29 augustus 1991, hierna “Wet handelspraktijken”.
4/36
aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen" (artikel 5 f) WVP).
C.1.1. Direct Marketing met toestemming van de betrokkene
In het kader van direct marketing vormt de ondubbelzinnige toestemming van de betrokkene (art. 5, a WVP) een wettelijke grondslag voor marketingactiviteiten. Deze toestemming dient vrij 12 te zijn, specifiek 13 te zijn en op voorafgaande informatie te berusten (artikel 1 § 8 WVP). Van belang is ook dat zij op elk ogenblik kan worden ingetrokken.
De toestemming van de betrokken persoon is steeds vereist:
a) wanneer bepaalde communicatiemiddelen worden gebruikt;
Bij het toesturen van gepersonaliseerde boodschappen per email, SMS/MMS, fax of door middel van geautomatiseerde oproepsystemen wordt in bijzondere wetgeving ervan uitgegaan dat dit enkel kan gebeuren mits de toestemming van de betrokkene (“optin”). De Richtlijn 2002/58/EG 14 gaat uit van het idee dat geen evenwicht bestaat tussen het gerechtvaardigde belang van een verantwoordelijke om persoonsgegevens met het oog op direct marketing te verwerken en dat van de betrokken persoon om niet te worden gestoord. Artikel 14, § 1 van de Wet elektronische handel 15 en artikel 94/17, § 1 van de Wet handelspraktijken 16 hebben
12
Er is geen sprake van vrije toestemming, wanneer een persoon die zijn recht van verzet wenst uit te oefenen, geen toegang kan krijgen tot een product, een dienst, een kortingsbon, een geschenk, enz (vaak bij toetredingscontracten). Veronderstellen dat toestemming werd verleend bij gebrek aan reactie binnen een gestelde termijn, kan ook niet als vrij worden beschouwd. 13 De toestemming moet rechtstreeks van de betrokken persoon komen, maar moet ook specifiek te maken hebben met verwerkingen met het oog op direct marketing. De informatie enkel vermelden in algemene voorwaarden verhindert ook het geven van een vrije toestemming. 14 Art. 13.1 van de Europese richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie luidt als volgt : ”Het gebruik
van automatische oproepsystemen zonder menselijke tussenkomst (automatische oproepapparaten), fax of email met het oog op direct marketing kan alleen worden toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd” . 15
Art. 14, § 1 van de wet van 11 maart 2003 betreffende sommige juridische aspecten van de diensten van de informatiemaatschappij bepaalt het volgende: "Het gebruik van elektronische post voor reclame is verboden zonder
de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen. Op de gezamenlijke voordracht van de Minister bevoegd voor Justitie en van de Minister bevoegd voor Economische Zaken, kan de Koning voorzien in uitzonderingen op het verbod als bepaald in het eerste lid". Het begrip elektronische post wordt gedefinieerd in art. 2, 2° van de Wet van 11 maart 2003 als “tekst, spraak, geluids of beeldbericht dat over een openbaar communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden opgeslagen tot het door de afnemer wordt opgehaald". 16
De vereiste van optin werd met ingang van 1 januari 2006 ook voorzien in de Wet handelspraktijken zowel voor de oproepsystemen zonder menselijke tussenkomst, als voor faxen met specifiek aan de persoon gerichte reclame. Art. 94/17, § 1 van de wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument, stelt het volgende: "Het gebruik van geautomatiseerde oproepsystemen zonder menselijke
tussenkomst en het gebruik van faxen voor specifiek aan de persoon gerichte reclame is verboden zonder de
5/36
dit principe inmiddels vertaald naar het gebruik van email, fax en geautomatiseerde oproepsystemen voor reclame. De FOD Economie is bevoegd om de naleving van deze wetten te onderzoeken.
Niettemin is een dergelijke optin in het kader van de Wet elektronische handel niet altijd vereist, vermits in art. 14, § 1, 2° lid van deze wet is bepaald dat een koninklijk besluit 17 uitzonderingen kan voorzien. In een aantal gevallen moet immers geen voorafgaande toestemming worden gevraagd en kan de betrokkene zich enkel nadien verzetten (optout). De FOD Economie heeft voor deze problematiek de brochure “de spamming in 24 vragen en antwoorden opgesteld” uitgebracht, die kan worden geraadpleegd op haar website 18 .
b) wanneer men gevoelige gegevens verwerkt; Ingeval de verwerkte gegevens gevoelige gegevens zijn 19 in de zin van de artikelen 6 en 7 WVP, is de schriftelijke toestemming van de betrokken persoon vereist.
voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen. Bij een besluit, vastgesteld na overleg in de Ministerraad, kan de Koning dit verbod uitbreiden tot andere communicatietechnieken, rekening houdend met de evolutie ervan". 17
Zie o.a. het K.B. van 4 april 2003 tot reglementering van het verzenden van reclame per elektronische post, dat in art. 1, 1° voorziet dat "In afwijking van artikel 14, § 1, eerste lid van de wet van 11 maart 2003 betreffende
bepaalde juridische aspecten van de diensten van de informatiemaatschappij, en onverminderd hetgeen bepaald is in artikel 2 van dit besluit, elke dienstverlener ervan [is] vrijgesteld de voorafgaande toestemming te vragen om reclame per elektronische post te ontvangen : 1° bij zijn klanten, natuurlijke of rechtspersonen, indien elk van de volgende voorwaarden vervuld is : a) hij heeft rechtstreeks hun elektronische contactgegevens verkregen in het kader van de verkoop van een product of een dienst, mits de wettelijke en reglementaire voorwaarden betreffende de bescherming van de private levenssfeer nageleefd zijn; b) hij gebruikt de beschouwde elektronische contactgegevens uitsluitend voor gelijkaardige producten of diensten die hijzelf levert; c) hij geeft aan de klanten, op het ogenblik waarop hun elektronische contactgegevens worden verzameld, de mogelijkheid om zich kosteloos en op gemakkelijke wijze tegen de uitbating te verzetten." 18 19
Zie http://economie.fgov.be/information_society/spamming/spamming_brochure_nl.pdf Gevoelige gegevens zijn:
a) de persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen (artikel 6, §1 WVP); b) de persoonsgegevens die de gezondheid betreffen (artikel 7, §1 WVP); c) de persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen (art. 8 WVP). De toestemming kan niettemin een verwerking van gerechtelijke gegevens (art. 8 WVP) nooit rechtvaardigen. Gerechtelijke gegevens mogen dus geenszins worden gebruikt voor direct marketing.
6/36
c) wanneer de betrokken persoon minderjarig is.
Als de betrokken persoon een minderjarige is zonder onderscheidingsvermogen, is de toestemming van zijn wettelijke vertegenwoordigers vereist alvorens tot de verwerking van zijn persoonsgegevens mag worden overgegaan 20 .
d) wanneer de beoogde direct marketingactiviteit niet verenigbaar is met het oorspronkelijke doeleinde waarvoor de gegevens werden ingezameld (zie verder onder punt C.2.);
e) wanneer er sprake is van "virale marketing"
Op het internet zijn voorbeelden bekend waarbij men wordt aangespoord om de persoonsgegevens van vrienden of kennissen vrij te geven, vaak voor direct marketingacties, dit is de zogenaamde “virale marketing”. Bij gebrek aan passende waarborgen ten aanzien van de betrokken personen lijkt het mededelen aan derden van persoonsgegevens van vrienden en kennissen voor direct marketingdoeleinden onvoldoende legitimiteit te genieten in het licht van de WVP. De betrokken vrienden/kennissen zijn immers doorgaans niet vooraf geïnformeerd, noch hebben zij daartoe hun toestemming gegeven, waardoor zij geen controle hebben op de verwerking van hun persoonsgegevens. Indien het reclame via email of SMS betreft, heeft de FOD Economie voor deze problematiek ook een nota opgesteld met de titel “Hoe wettelijk is de virale marketing ?” 21 .
f) wanneer er sprake is van handel in persoonsgegevens met het oog op direct marketing of het aanleggen en gebruik van persoonsprofielen met het oog op direct marketing 22 . Dergelijke verwerkingen beschouwt de Commissie steeds als verwerkingen voor aparte, onverenigbare finaliteiten, die niet kunnen kaderen in het eigen klantenbeheer (artikel 5 b) WVP). Gelet op hun privacyinvasieve aard 20
Zie in dit kader het door de Commissie uitgebrachte advies nr. 38/2002 van 16 september 2002 betreffende de bescherming van de persoonlijke levenssfeer van minderjarigen op internet. De Commissie adviseerde hierbij om hetzij de toestemming te vragen van de ouders, hetzij van de minderjarige die beschikt over afdoende onderscheidingsvermogen. Hoewel dit criterium kan variëren naargelang de praktische en juridische context, wordt deze niettemin meestal gesitueerd op een leeftijd tussen 12 en 14 jaar. 21 http://economie.fgov.be/information_society/spamming/marketingviral_note_nl.pdf 22
Uit een bevraging van de Europese Privacycommissies blijkt dat dergelijke verwerkingen met het oog op direct marketing in toenemende mate onder discussie staan en derhalve door de privacycommisies aan de toestemming van de betrokkenen worden onderworpen. In Bulgarije, Italie en Noorwegen bestaat zelfs bijzondere reglementering in die zin.
7/36
en oogmerk, verbreken zij ook het belangenevenwicht dat vereist is voor beroep op het afgewogen belang als residuaire grond (artikel 5 f) WVP).
Een profiel kan worden gedefinieerd als een geïnformatiseerde methode die beroep doet op technieken van de aanleg van een gegevenswarenhuis (“data warehousing”) en informatiemijnbouw (“data mining”), die kunnen toelaten om, met een bepaalde graad van waarschijnlijkheid en derhalve een bepaald niveau aan fouten, een bepaalde persoon in een bepaalde categorie te plaatsen, teneinde individuele beslissingen te nemen ten aanzien van die persoon 23 .
C.1.2. Direct marketing bij een directe (pre)contractuele relatie met de klant of prospect (artikel 5 b) WVP)
In de praktijk is er vaak sprake van het sturen van aanbiedingen over producten en diensten door een verantwoordelijke waarbij men reeds klant is, of waarbij de betrokkene zelf heeft gevraagd klant te worden. Een normaal, goed klantenbeheer (zgn. “customer relationship management”) omvat meer dan enkel de contractuele opvolging (facturatie van het product en/of de dienst, eventuele ingebrekestellingen en dergelijke meer). Ook het contacteren van de bestaande klanten om na te gaan of deze klant tevreden is over de bestaande producten of diensten en/of de klant een contractverlenging wenst aan te gaan, dient te worden beschouwd als een “normaal” klantenbeheer. De gebruikelijke contactnames bij een dergelijk normaal klantenbeheer door de commerciële diensten van de onderneming voor dezelfde of soortgelijke producten of diensten lijken niet op zich strijdig met de redelijke verwachtingen van de klant en houden normaal geen gevaar in voor de inbreuken van de rechten en vrijheden van de betrokken klanten en de doeleinden van de verwerkingen. Dit is bijvoorbeeld het geval indien een bankverzekeraar of een telecombedrijf de klant aanschrijft met aanbiedingen voor nieuwe tariefformules voor een reeds afgenomen dienst, of indien een gasleverancier een potentiële klant op diens verzoek een toetredingsformulier toestuurt voor een nieuwe dienst.
Een aantal voorwaarden moet wel zijn voldaan, opdat de redelijke verwachtingen van de klant niet zouden zijn geschonden (artikel 4 §1, 2° WVP). Het moet gaan om
a) aanbiedingen van dezelfde of soortgelijke producten of diensten.
23
Definitie vermeld in het expertverslag voor het raadgevend bureau van het verdrag nr 108; DINANT, J.M. e.a., L'application de la Convention 108 au mécanisme de profilage, TPDBUR , augustus 2007
8/36
Bijvoorbeeld
:
Een
bankverzekeraar
die
dezelfde
of
soortgelijke
bankverzekeringsproducten aanbiedt als degene waarvoor de betrokkene reeds klant is bij deze bankverzekeraar. Valt hier niet onder: een grootwarenhuis die klanten aanbiedingen voor reizen en verzekeringen verstuurt. In de praktijk is wel vaak een verschuiving merkbaar in het pakket aan producten of diensten die een onderneming
gewoonlijk
aanbiedt
aan
haar
klanten,
zoals
een
telecomonderneming die niet enkel telecommunicatiediensten aanbiedt, maar ook mediadiensten (digitale TV), een bankier die evolueert naar een bankverzekeraar. In de mate dat deze verschuivingen ook duidelijk en publiekelijk merkbaar zijn, zullen de verwachtingen van de klanten uiteraard mee evolueren.
b) door dezelfde aanbieder
Er mag geen sprake zijn van transfer, hergebruik of handel in persoonsgegevens. Aanbiedingen door derden of "verwante vennootschappen" waarmee een aanbieder contractueel verbonden is, vallen normaal dus niet langer onder het eigen klantenbeheer.
Het geval van uitbesteding (outsourcing) van marketingacties aan een externe onderneming (vaak een professionele direct marketing onderneming) is echter een bijzondere situatie. Hierbij kan nog steeds sprake zijn van eigen klantenbeheer. Er is evenwel in die situatie steeds sprake van hogere beveiligingsrisico's voor de betrokkenen, die dienen te worden opgevangen door de vereiste beveiligingsmaatregelen (artikel 16 § 2 WVP), en het afsluiten van een verwerkersovereenkomst (artikel 16 § 1 WVP). Deze overeenkomst zal afdoende clausules en controletechnieken moeten voorzien opdat de klantgegevens niet verder zullen worden verhandeld of gebruikt door de ontvanger voor eigen doeleinden. Een vaak gebruikte techniek is hiertoe dat de gegevensleverancier controleadressen kan toevoegen, om eventueel hergebruik en bestandsvermenging te detecteren.
c) de betrokkene is reeds klant of heeft zich zelf als prospect gemeld.
Volgens artikel 5 b) WVP moet er sprake zijn van aanbiedingen waarbij de betrokkene reeds klant is of aanbiedingen voor een bijzondere product of dienst die worden gestuurd door een dienstenaanbieder omdat de betrokkene hierom zelf heeft gevraagd. Aanbiedingen op basis van algemene "enquêtes naar
9/36
consumentenvoorkeuren" van direct marketing ondernemingen vallen hier niet onder, omdat deze enquêtes niet zijn afgenomen door dezelfde aanbieder.
C.1.3. Direct Marketing met afgewogen belang (artikel 5 f) WVP)
Een andere grond voor toelaatbaarheid van direct marketing, die in de praktijk nog te vaak onterecht als een evidente rechtsbasis wordt ingeroepen, is de mogelijkheid om persoonsgegevens voor direct marketingdoeleinden wanneer "de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking 24 of van de derde aan wie de gegevens worden verstrekt".
Van belang is dat het hierbij gaat om een residuaire rechtsgrond (hierna onder a), en dat deze rechtsgrond gekoppeld is aan de naleving van bijkomende voorwaarden (hierna onder b) en d) door de verantwoordelijke voor de verwerking. In een aantal situaties is er echter nooit sprake van een afgewogen belang (hierna onder c).
C.1.3.1. Het afgewogen belang is een residuaire rechtsgrond
Uit een bevraging van de Europese privacycommissies eind 2007 blijkt dat een beroep op artikel 7 f) uit de Richtlijn 95/46/EG (omgezet in artikel 5 f) van de WVP) door de meerderheid van de landen als een residuaire categorie wordt beschouwd. Dit betekent dat zij enkel kan worden ingeroepen indien noch de toestemming van de betrokkene (artikel 5 a) WVP), noch een directe (pre)contractuele relatie met betrokkene (artikel 5 b) WVP) voorhanden zijn.
C.1.3.2. Het afgewogen belang vereist de naleving van een aantal voorwaarden
Voorwaarde is volgens de WVP dat "het belang of de fundamentele rechten en vrijheden van de persoon op wie de gegevens betrekking hebben niet in het gedrang worden gebracht (art. 5, f WVP) . Artikel 5, f WVP bevat dus geen vermoeden dat het gerechtvaardigde commerciële belang van de verantwoordelijke voor de verwerking of van de derde steeds zwaarder zou wegen dan de rechten en vrijheden van de betrokken persoon 25 .
24
Art. 1, § 4 WVP. Onder "verantwoordelijke voor de verwerking" wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. 25
Hierop werd reeds gewezen door zowel de Raad van State, als de Commissie in het door haar uit eigen beweging uitgebrachte advies nr. 34/2000 van 22 november 2000 betreffende de bescherming van de persoonlijke levenssfeer in het kader van de elektronische handel waaruit bleek dat een eenvoudig beroep door de verantwoordelijke op artikel 5 f WVP niet
10/36
De wetgever of de Koning hebben echter tot op heden niet de voorwaarden verwoord onder dewelke direct marketeers op legitieme wijze beroep kunnen doen op artikel 5 f) van de WVP. Omdat dit gebrek aan objectieve maatstaven voor vragen en klachten zorgde, stelde de Commissie eind 2007 de Europese Privacycommissies de vraag wat de voorwaarden zijn die men in de andere landen van de EU doorgaans oplegt om het analoge artikel 7 f) uit de Richtlijn 95/46/EG 26 toe te passen. In drie landen 27 is voor verwerkingen met het oog op direct marketing een beroep op artikel 7 f) van de Richtlijn volledig uitgesloten. De Commissie is geen voorstander voor een dergelijk totaalverbod. Zij is eerder voorstander voor het opsommen van de voorwaarden die dienen te worden nageleefd voor een correct beroep op artikel 5 f) WVP.
C.1.3.3. In een aantal situaties is er geen sprake van een belangenevenwicht en kan artikel 5 f) WVP niet meer worden ingeroepen
Uit de bevraging en herhaalde vragen om informatie en klachten bij de Commissie blijkt dat in volgende situaties steeds het belangenevenwicht verbroken is. In dat geval kan enkel tot direct marketing worden overgegaan indien de ondubbelzinnige toestemming van de betrokkene werd verkregen:
a) als de direct marketingactiviteiten ertoe zouden leiden dat de betrokken persoon het recht op controle op zijn persoonsgegevens verliest 28 . Volgende situaties vallen hieronder : een verwerking voor een onverenigbaar doel zoals bij de handel in persoonsgegevens met het oog op direct marketing van klant of personeelsgegevens (artikel 4 § 1, 2° WVP); de betrokkene werd niet of niet duidelijk geïnformeerd (art. 9 WVP); de betrokkene heeft niet de gelegenheid gehad om zijn recht van verzet uit te oefenen (art. 12 WVP; art. 34 en 35 K.B. 13 februari 2001 29 );
volstond om de nieuwe verwerking (het hergebruik van de bestaande klantgegevens) te legitimeren. 26
Dat de rechtsgrond vormt voor het artikel 5 f) WVP; Ierland, Litouwen en Slovenië 28 Bijvoorbeeld in geval van externe direct marketing (zie A.1. a) beschikt de betrokkene niet over enig zicht op de verwerking van zijn persoonsgegevens, indien hij niet vooraf werd ingelicht over de doorgifte van zijn gegevens aan een derdeonderneming en hem voorafgaand aan de doorgifte niet de mogelijkheid werd gegeven zich daartegen te verzetten. 27
29
Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, B.S. 13 maart 2001.
11/36
het verzet van de betrokkene heeft de weigering van het beloofde voordeel tot gevolg. Bijvoorbeeld : een krantenbon waarbij het verzet tegen gebruik met het oog op direct marketing tot gevolg heeft dat men geen korting, of geen "gratis" product of dienst krijgt;
b) als de verantwoordelijke een gewijzigde rol heeft aangenomen tussen het eerste contact met de betrokkene en het latere hergebruik van de persoonsgegevens 30 . Bijvoorbeeld : een bankier die zich heeft geherorienteerd als
bankverzekeraar
en
alle
klantgegevens
herbruikt
voor
bankverzekeringsdoeleinden, een telecomonderneming die zich heroriënteert door het aanbieden van mediadiensten (digitale TV);
c) bij het centraliseren of consolideren van de informatie in een database die voor meer doelstellingen wordt gebruikt dan waarvoor de informatie initieel werd verkregen, bijvoorbeeld in het kader van een fusie of een overname;
d) in geval van virale marketing (zie hiervoor).
C.1.3.4. Voorwaarden voor een geldig beroep op artikel 5 f) WVP.
In afwachting van enige reglementaire verduidelijking onder artikel 5 f) WVP, is de Commissie van oordeel dat elk beroep op artikel 5 f) van de WVP voor alle verwerkingen met het oog op direct marketing steeds moet worden gekoppeld aan de naleving van volgende voorwaarden, die eveneens worden opgelegd door een meerderheid van de privacycommissies in de EU. a. de verantwoordelijke respecteert het eerlijkheidsbeginsel (artikel 4 § 1, 1° WVP). Uit voormelde Europese bevraging blijkt dat dit onder meer wil zeggen dat de verantwoordelijke zijn informatieplicht naleeft, zijn adres of identiteit niet verbergt, het uitoefenen van de rechten van toegang of verzet niet bemoeilijkt door een kostprijs of bijzondere procedure (bvb aangetekende brief) op te leggen, een eerdere optout of gebrek aan toestemming van betrokkene respecteert, en geen inbreuk pleegt op overige rechten zoals het recht op vertrouwelijkheid en bescherming van gevoelige persoonsgegevens. Het is eveneens vereist dat alle ontvangers (en ingeval van doorgifte, de ontvangers in tweede orde) of ten minste alle categorieën van ontvangers van de commerciële bestanden worden geïdentificeerd, zulks zodra de gegevens bij de
30
Bijvoorbeeld: een bankinstelling die zich in de loop van enkele jaren heroriënteert als bankverzekeringsinstelling en bankklanten bankverzekeringsproducten aanbiedt zonder vrije en specifieke toestemming of contractuele basis voor de marketingactiviteiten van de verantwoordelijke voor de verwerking, in casu de bankinstelling.
12/36
betrokkene worden verzameld, zodanig dat de betrokkene weet tot wie hij zich voor de uitoefening van zijn recht dient te richten.
b. het individu werd op duidelijke en individuele wijze in de mogelijkheid gesteld om zich te verzetten tegen verwerkingen met het oog op direct marketing.
c. er worden geen gevoelige persoonsgegevens verwerkt;
d. er is geen sprake van inbreuk op andere rechtsregels waaraan de verantwoordelijke zich moet houden zoals de overige verplichtingen onder de WVP,
e. de verantwoordelijke heeft het bestaan van optout gecontroleerd voor elk gebruik met het oog op direct marketing
f. de bron van de gegevens van betrokkene automatisch wordt meegedeeld (dus zonder expliciet verzoek van de betrokkene via zijn recht van toegang), indien de verantwoordelijke de gegevens niet rechtstreeks bij de betrokkene heeft verkregen
C.2. Het doeleinde van de verwerking.
Persoonsgegevens
mogen
enkel
voor
welbepaalde,
uitdrukkelijk
omschreven
en
gerechtvaardigde doeleinden worden verkregen en niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden. De verenigbaarheid van dergelijke verdere verwerking met de eerste verwerking moet worden beoordeeld rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen (art. 4, § 1, 2° WVP).
In concreto houdt dit in dat bij de beoordeling van het al dan niet geoorloofd karakter van de beoogde direct marketingactiviteit dient te worden nagegaan of deze verdere verwerking al dan niet verenigbaar is met het oorspronkelijke doeleinde waarvoor de gegevens werden ingezameld, hetgeen een precieze bepaling van het initiële doeleinde vooronderstelt.
De Commissie is van oordeel dat elke handel van persoonsgegevens steeds een verwerking voor een nieuwe verwerking creërt die onverenigbaar is met de bronverwerking, en dus strijdig is met artikel 4 § 1, 2° WVP. In dit geval acht zij de
13/36
toestemming van de betrokkenene vereist en hogere beveiligingsmaatregelen, gelet op de hogere risico's voor de betrokkenen.
Na bevraging van de Europese Privacycommissies werden bovendien een aantal bijkomende criteria aangehaald om onverenigbaar gebruik met het oog op direct marketing concreet te beoordelen, bijvoorbeeld in een bestaande klantrelatie met de verantwoordelijke. Deze criteria zijn de volgende : a. verschilt het aangeboden product of de dienst van het beoogde gebruik wezenlijk ten opzichte van het oorspronkelijke gebruik van de gegevens ? b. verschilt de sector waarin de persoonsgegevens zullen worden gebruikt wezenlijk ten opzichte van het oorspronkelijke gebruik van de gegevens ? c. heeft de verantwoordelijke reeds een klantrelatie met de betrokken persoon opgebouwd ?
De eventuele onverenigbaarheid van de verdere verwerking kan enkel worden opgeheven wanneer de betrokken persoon instemt met de verdere verwerking (art. 5, a WVP), zulks nog vóór de aanvang van de beoogde verdere verwerking (art. 9 WVP).
De onverenigbare aanwending van persoonsgegevens wordt bovendien strafrechtelijk bestraft (artikel 39, 1° WVP).
Voorbeelden van onverenigbare verwerkingen:
a) Elke handel in persoonsgegevens (zie hiervoor).
b) Elk hergebruik van openbare gegevensbronnen met het oog op direct marketing.
Een ander voorbeeld van onverenigbaarheid van de verdere verwerking – die direct marketing tot doel heeft – met de initiële gegevensverwerking is dat sommige marketingbedrijven of diensten zich wenden tot een openbare bron en op die wijze gegevens verzamelen die zij op hun beurt gebruiken voor publicitaire doeleinden. Dergelijke bronnen kunnen zijn: berichten in de geschreven media (advertenties in weekbladen, geboortekaartjes, huwelijksaankondigingen en doodsberichten), informatie beschikbaar op het internet (blogs, discussiefora, website van werkgevers met professionele coördinaten van natuurlijke personen) of databases in overheidsbeheer (het kadaster van de onroerende goederen, kruispuntbank van ondernemingen, dienst inschrijving voertuigen, BTW register,…).
14/36
Bepaalde ondernemingen menen verkeerdelijk dat dergelijke gegevens, gelet op de publieke aard ervan, niet ressorteren onder het toepassingsgebied van de WVP, omdat de betrokken persoon die persoonsgegevens zelf heeft bekendgemaakt, dan wel omdat de openbaarheid ervan wettelijk is verplicht. Daarvan
uitgaande
gebruiken
zij
dergelijke
gegevens
voor
direct
marketingdoeleinden.
De WVP geldt echter ook voor de gegevens openbaar gemaakt door de betrokkenen en voor de gegevens in de registers die krachtens de wet openbaar moeten zijn 31 . Het finaliteitsbeginsel (art. 4, § 1, 2° WVP) moet bijgevolg ook in deze gevallen worden nageleefd. In bedoeld geval staat vast dat de personen de gegevens openbaar maken in het kader van een welbepaald doeleinde dat geenszins het gebruik ervan door derden voor direct marketing beoogt.
C.3. De evenredigheid van de verwerking.
De verzamelde en verwerkte persoonsgegevens moeten toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt (art. 4, § 1, 3° WVP). Dit principe heeft een impact op zowel de verantwoordelijke voor de verwerking die als doeleinde direct marketing vooropstelt, als de verantwoordelijke voor de verwerking die andere doeleinden dan direct marketing nastreeft.
Dit betekent dat de verantwoordelijke voor de verwerking met het oog op direct marketing enkel
de
persoonsgegevens
mag
verwerken
die
strikt
noodzakelijk
zijn
om
reclameboodschappen te verzenden.
De verantwoordelijke voor de verwerking die geenszins direct marketing beoogt, dient zich te onthouden van het opvragen en verwerken van gegevens die in het licht van het door hem beoogde doel overmatig zijn en dewelke zouden toelaten over te gaan tot direct marketing. Een persoon heeft het recht om verzet aan te tekenen op
31
Krachtens de Europese richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens zijn er met betrekking tot wettelijk openbare registers, geen uitzonderingen meer mogelijk op de toepassing van de wetten op de bescherming van persoonsgegevens, zodanig dat de wet van 11 december 1998 houdende omzetting van de richtlijn art. 3, § 2, 2° van de oude WVP zoals gepubliceerd in het Belgisch Staatsblad van 18 maart 1993, heeft opgeheven. De openbaarheid van de gegevens leidt dus niet langer tot de ontkrachting van de toepassing van de gewijzigde wet en de verantwoordelijke voor de verwerking moet inzonderheid rekening houden met het doeleinde van een register van persoonsgegevens, ongeacht het bestaan van een wettelijke bepaling inzake openbaarheid.
15/36
het document aan de hand waarvan de gegevens worden verzameld (art. 34, lid 1 van het uitvoeringsbesluit). Indien hij dit recht bijvoorbeeld uitoefent op een deelnemingsformulier voor een wedstrijd, kan hij niet worden uitgesloten van deelname aan die wedstrijd omdat hij zich heeft verzet. De nietnaleving van artikel 4, § 1, 3° WVP wordt strafrechtelijk bestraft (art. 39, 1° WVP).
C.4. Een dataretentietermijn voor massabestanden en bestandsverrijking met het oog op direct marketing
Op basis van de WVP geldt een beperkte bewaartermijn (zgn. "dataretentietermijn") voor verwerkingen die enkel worden verricht met het oog op direct marketing, zonder enig (recent) direct contact met betrokkene (artikel 4 § 1, 4° en 4 § 1, 5° WVP).
Een probleem in de praktijk is vaak dat na een fysieke of virtuele verhuis het adresgegeven, emailadres, telefoonnummer edm in klantenbestanden niet langer correct zijn, waardoor verwerkingen met het oog op direct marketing inefficiënter worden.
De direct marketing sector heeft op basis van deze nood diverse diensten ontwikkeld, die bestaan uit de aanleg van gegevenswarenhuizen en het aanbieden van diensten van bestandsverrijking 32 en ontdubbeling van bestanden 33 . Dergelijke verwerkingen hebben actueel een dusdanige verwerkingskracht en privacyinvasief potentieel gekregen, dat zij het Rijksregister onrechtstreeks (via hun techniek) benaderen en (door hun inhoud) overstijgen 34 .
Gegevenswarenhuizen die met het oog op direct marketing worden aangelegd zijn onder meer de private consumenten en verhuisbestanden, naast de klassieke adressenlijsten 35 . Bij dergelijke massabestanden is de bron voor de betrokkenen vaak onbekend of totaal ontransparant geworden, zonder dat er nog sprake is van enig contact met en duidelijke informatie aan de betrokkene. Indien er geen sprake (meer) is van een directe contractuele relatie met de betrokken klant, stelt zich de vraag of persoonsgegevens nog 32
Het technische proces om via een omweg toch de actuele persoonsgegevens te "restaureren" of bij te voegen
in een bestaand klantenbestand, noemt men "bestandsverrijking". 33
Een dienst die naast het verwijderen van dubbels ook standaardisering van adressen en het wegduwen van de verzetslijst en van verhuisde personen omvat. 34 Een voorbeeld vormt de samenwerking tussen een bestandseigenaar en een online aanbieder van een lowbudget telecomdienst, waarbij de aanmeldingen van nieuwe abonnees continu worden vergeleken met het bestand van de bestandseigenaar. Houders van afwijkende gegevens, worden gevraagd zich te identifceren. Dergelijk systeem poogt de correctheid van het rijksregister te benaderen. Anderzijds bevatten private gegevenswarenhuizen persoonsgegevens die niet kunnen worden opgenomen in verwerkingen die door overheidsdiensten worden beheerd. 35 Bijvoorbeeld : de bestanden Select Post en Mutapost (De Post), ConsuData en Sophie's Shopping Club (Wegener DM)
16/36
voor onbepaalde duur kunnen blijven worden verzameld 36 , en gekoppeld kunnen worden aan externe databanken met verhuisgegevens.
Ter legitimering van dergelijke massabestanden wijzen direct marketeers er soms op dat zij op basis van de WVP een verbeteringsplicht zouden hebben.
Artikel 4, § 1, 4° WVP stelt dat persoonsgegevens dienen "nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren. Uit de bewoording "uitwissen of verbeteren" kan dus geen eenvoudige verbeteringsplicht worden afgeleid door bestandseigenaren.
Indien het gaat om verwerkingen met het oog op direct marketing, dient ook rekening te worden gehouden met het feit dat de betrokkene een recht op vergetelheid ("droit à l'oubli") heeft. Het niet melden van een gewijzigd adres is nog steeds een van de beste strategieën om spam en ongewenste communicaties te verminderen. Artikel 4 § 1 5° WVP stelt dat persoonsgegevens, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer (dienen) te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is".
De Commissie is van oordeel dat de opname in massabestanden en continue dataverrijkingsoperaties zonder concrete einddatum, zonder afdoende transparant contact met de betrokkene verboden is op basis van het proportionaliteitsbeginsel, het recht op vergetelheid en de informatieplicht (artikel 4 § 1, 3°, 5 en 9 WVP). Zij is van oordeel
dat
een
schrappingsverplichting
bestaat
bij
bestandseigenaren
die
persoonsgegevens blijven verrijken zonder enige aantoonbaar recent contact met de betrokkene (artikelen 4 § 1, 4° en 4 § 1, 5° WVP).
De Commissie roept de sector (BDMV) op een redelijke dataretentietermijn te bepalen, vanaf het ogenblik van laatste directe contact met de betrokkene. Bij gebrek aan dergelijke termijn heeft elke betrokkene overigens het recht om zijn gegevens volledig te laten verwijderen uit dergelijke massabestanden (artikel 12 § 1 WVP in fine) , naast de klassieke verzetsmogelijkheid onder artikel 12 § 1 WVP tegen verwerkingen met het oog op direct marketing (artikel 12 § 1, 3 lid WVP).
36
Cf. databanken die zogenaamde verhuis of "NPAI" codes verzamelen ("n'habite plus à l'adresse indiquée")
17/36
C.5. Correcte en voorafgaande informatie aan de betrokken persoon tijdens de verzameling
of doorgifte van de gegevens. Teneinde te voorkomen dat persoonsgegevens worden verzameld of doorgegeven buiten medeweten van de betrokkenen, is de inhoud van de informatie die hen moet worden verstrekt, omschreven in artikel 9 WVP, en is de wijze waarop het recht van verzet moet worden meegedeeld aan de betrokkene, nader bepaald in de artikelen 34 37 en 35 38 van het K.B. van 13 februari 2001, hierna het uitvoeringsbesluit genoemd.
Krachtens art. 9 WVP moet de verantwoordelijke voor de verwerking de personen van wie de gegevens worden verwerkt met het oog op direct marketing altijd op voorhand 39 en persoonlijk informeren, dus nog voor een verwerking voor het eerst plaatsvindt. De informatie moet op duidelijke en begrijpelijke wijze worden meegedeeld, op een welbepaalde en onderscheiden plaats (dus niet verborgen of omslachtig door de informatie bijvoorbeeld enkel in de algemene voorwaarden te vermelden).
Art. 9 WVP behandelt de twee mogelijke gevallen: 1. de verzameling van persoonsgegevens bij de betrokken persoon; 2. de verzameling van persoonsgegevens die niet bij de betrokkene zijn verkregen.
De nietnaleving van de informatieverplichting wordt strafrechtelijk bestraft (artikel 39, 4° WVP).
C.5.1. Verzameling van de persoonsgegevens bij de betrokken persoon (art. 9, § 1 WVP)
De gegevens kunnen door de verantwoordelijke voor de verwerking rechtstreeks bij de betrokkene zijn verzameld 40 . 37
Art. 34. Ingeval persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking op het document aan de hand waarvan de gegevens bij betrokkene worden verzameld aan deze laatste of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. Ingeval de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze worden verzameld, vraagt de verantwoordelijke aan die persoon of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. De betrokkene kan zulks doen op een document dat de verantwoordelijke voor de verwerking hem bezorgt ten laatste twee maanden nadat de persoonsgegevens zijn verzameld of aan de hand van enig technisch middel op grond waarvan kan worden aangetoond dat hem de mogelijkheid is geboden voornoemd recht uit te oefenen. 38 Art. 35. Ingeval de persoonsgegevens niet bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking, die onderworpen is aan artikel 9, § 2, c), van de wet, aan die persoon schriftelijk of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. 39 De Commissie was reeds in het advies nr. 25/1999 van 23 juli 1999 van oordeel dat de vrijstelling in artikel 9 § 2 WVP niet kan worden toegepast voor verwerkingen met het oog op direct marketing 40 Bijvoorbeeld: wanneer de betrokken persoon klant is bij de onderneming en deze onderneming aan de betrokkene in de toekomst gepersonaliseerde reclame zal toesturen.
18/36
1. Inhoud van de informatie
De verantwoordelijke voor de verwerking moet de persoon op wie de persoonsgegevens betrekking hebben en die rechtstreeks bij deze persoon worden verkregen uiterlijk op het moment dat de gegevens worden verkregen ten minste de hierna volgende informatie verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is: a) de naam en het adres van de verantwoordelijke voor de verwerking 41 ;
b) de doeleinden van de verwerking;
c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking 42 van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing;
d) andere bijkomende informatie, met name:
de ontvangers of de categorieën ontvangers van de gegevens 43 ;
het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van nietbeantwoording;
het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben;
behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.
Hieronder bevindt zich een voorbeeld van beknopte informatieverstrekking, die een onderdeel kan zijn van een meer volledige Privacyverklaring. De Commissie wijst er evenwel op dat dergelijke "privacytemplates" en "privacy policy generators" niet voor alle situaties geschikt zijn. Men dient voor ogen te houden dat zij dienen te kaderen in een privacybeleid dat moeten worden aangepast aan de omstandigheden, dat duidelijk moet zijn opgesteld en dat alle informatie
41
De loutere vermelding van een referte naar een product of dienst, een website of een contactadres per email volstaat niet. 42
De doorgifte aan derden vormt een verwerking.
43
Een verwijzing naar een “mededeling aan derden of onze handelspartners” is ontoereikend.
19/36
dient te hebben bevatten. Een zorgvuldige analyse van de precieze situatie is dus steeds vereist, met een oplossing op maat.
Onderneming X Beknopte privacyverklaring Een volledige privacyverklaring is op verzoek verkrijgbaar • Wij bewaren de persoonsgegevens die u ons geeft om u te helpen met het verkrijgen van de door u gewenste producten en diensten. Indien u dit niet wenst, kunt u het onderstaande vakje aanvinken : 0 • Mogen wij uw gegevens ook gebruiken met het oog op direct marketing voor producten en diensten van derden (inz. doorgifte aan derden, samenwerking met derden)? Indien u akkoord gaat, kruis dan dit vakje aan : 0 Voor de volledige privacyverklaring of voor toegang tot of correctie van uw gegevens kunt u zich wenden tot: • afdeling ***
Onderneming X************************** • Tel. 00 ***************** • Of ga naar de privacyverklaring op onze website op x.com
Als de invulling van een formulier gekoppeld wordt aan de verkrijging van bepaalde voordelen 44 , wordt de verantwoordelijke voor de verwerking overigens aanbevolen te vermelden of de betrokkene al dan niet is verplicht te antwoorden op alle vragen die het kenbaar maken van persoonsinformatie impliceren – m.a.w. opgave te doen van de gevolgen van het niet verstrekken van een antwoord – enerzijds, alsmede de ontvangers van de gegevens 45 te vermelden anderzijds.
2. Informatie omtrent het recht van verzet 44
Bijvoorbeeld de formulieren die moeten worden ingevuld om in de supermarkten kaarten te krijgen die verschillende voordelen bieden. 45
Ingeval een persoon van oordeel is dat een gegeven dat de verantwoordelijke voor de verwerking verplicht moet vragen niet ter zake dienend is, kan hij zich bij laatstgenoemde informeren over de relevantie van het gegeven en in voorkomend geval, in geval van onenigheid, aan de Commissie vragen tussenbeide te komen in het kader van haar bemiddelingsopdracht. Bij gebrek aan duidelijkheid over de verplichte aard van de antwoorden en op grond van het proportionaliteitsbeginsel, kan een persoon weigeren een persoonsgegeven te vermelden op een deelnemingsformulier aan een wedstrijd omdat hij van oordeel is dat het niet terzake dienend is, waarbij zijn deelneming aan de wedstrijd evenwel niet kan worden geweigerd.
20/36
Indien de persoonsgegevens bij de betrokkene worden verzameld met het oog op direct marketing (bv. door een werkgever of dienstenleverancier die gegevens van zijn personeel resp. klanten later wenst te hergebruiken met het oog op direct marketing), regelt artikel 34 van het uitvoeringsbesluit de wijze waarop de informatie omtrent het recht van verzet moet worden meegedeeld.
Indien de persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld (b.v. antwoordcoupon gepubliceerd in een krant of tijdschrift, een formulier ingevuld naar aanleiding van een bestelling of een inschrijving voor een abonnement, enz.), is de verantwoordelijke voor de verwerking verplicht om aan de betrokkene de mogelijkheid tot de uitoefening van het recht op verzet aan te bieden op het document aan de hand waarvan de gegevens worden verzameld (art. 34, lid 1 van het uitvoeringsbesluit). Indien de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke
wijze zijn verkregen (b.v. via een telefoongesprek met de betrokkene of via zijn persoonlijke blog of website, enz.), moet de verantwoordelijke ofwel een technisch middel voorzien dat de verzetsmogelijkheid aanbiedt, ofwel schriftelijk contact opnemen met de betrokken persoon binnen twee maanden te rekenen van de verkrijging van de persoonsgegevens om hem de gelegenheid te bieden zijn recht op verzet uit te oefenen op het document dat hem door de verantwoordelijke voor de verwerking wordt bezorgd (art. 34, lid 2 van het uitvoeringsbesluit).
In voorkomend geval beveelt de Commissie aan om, bij het aanbieden van de verzetsmogelijkheid, het onderscheid te maken tussen:
direct marketing door een bedrijf voor haar eigen producten of diensten;
“externe” direct marketing (d.w.z. de handel in persoonsgegevens);
3. Tijdstip van informatie
De nadruk wordt gelegd op de verplichting om de betrokken personen uiterlijk op het
moment van de verkrijging van hun gegevens te informeren, inzonderheid over hun recht zich te verzetten tegen de verwerking 46 van hun persoonsgegevens voor reclamedoeleinden.
46
Daaronder begrepen de mededeling van hun gegevens aan derden.
21/36
Opdat de betrokkenen hun recht op verzet doeltreffend zouden kunnen uitoefenen, moeten zij op de hoogte worden gebracht van de eventuele doorgiften (of van de daaropvolgende doorgiften) van hun gegevens aan een onderneming met het oog op direct marketing.
C.5.2. De persoonsgegevens worden niet bij de betrokkene verzameld (art. 9, § 2 WVP)
De gegevens kunnen door de verantwoordelijke voor de verwerking worden verzameld bij een derde of via gepubliceerde gegevens (bijvoorbeeld via mediaberichten in de geschreven pers of op internet, een consumentenenquête, een spaarkaart of wedstrijdformulier, …). Vaak is er sprake van de handel in persoonsgegevens door ondernemingen die optreden als bestandseigenaren (“listmakers”)
en
adressenmakelaars (“listbrokers”),
soms door
ondernemingen of overheidsdiensten die meer gekend zijn voor de levering van een hoofddienst (Dienst Inschrijving Voertuigen 47 , Kruispuntbank van Ondernemingen 48 , telecomdienst, postdienst, gas of elektriciteitsleveranciers, …), dan voor het feit dat zij daarnaast soms ook de gegevens van hun klanten verhandelen.
1. Inhoud van de informatie
Indien de verantwoordelijke voor de verwerking de persoonsgegevens niet rechtstreeks bij de betrokkene verzamelt, moet hij ten minste de volgende informatie verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is:
a) de naam en het adres van de verantwoordelijke voor de verwerking;
b) de doeleinden van de verwerking;
c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing 49 ;
d) andere bijkomende informatie, met name :
47
Op basis van een protocolakkoord tussen DIV en FEBIAC worden actueel persoonsgegevens ter beschikking gesteld aan FEBIAC leden. In de praktijk gebruiken deze leden de gegevens met het oog op direct marketing zonder duidelijke garanties voor de betrokkenen. 48 Artikel 20 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (“WKBO”) 49 Krachtens art. 35 van het uitvoeringsbesluit moet deze mogelijkheid schriftelijk aan de betrokken persoon aangeboden worden.
22/36
de betrokken gegevenscategorieën; de ontvangers of de categorieën ontvangers; het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben;
behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de gegevens verwerkt worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.
proactieve meldingsplicht van de gegevensbron
Als de gegevens niet bij de betrokkene werden bekomen, acht de Commissie op basis van het eerlijkheidsbeginsel (art. 4, § 1, 1° WVP) dat de verantwoordelijke voor de verwerking steeds proactief informatie dient te verstrekken over de herkomst van de gegevens, d.w.z. zonder een uitdrukkelijk vraag daartoe vanwege de betrokkene via zijn recht op toegang (art. 10 WVP) af te wachten.
De Commissie is van oordeel dat dergelijke proactieve melding van de gegevensbron kan worden verricht op elke reclamemailing en/of een aankondiging op de website van de verantwoordelijke.
Tal van bedrijven menen dat zij de informatieplicht niet moeten naleven wanneer zij een lijst van persoonsgegevens verkrijgen van of via een andere vennootschap (een adressenleverancier/bestandseigenaar of tussenpersoon/listbroker) met het oog op het eenmalig versturen van reclame op naam. Dit standpunt moet echter worden genuanceerd. Deze bedrijven bepalen het doel en de middelen van hun marketingacties (na advies bestellen zij de acties en betalen ervoor), en hebben derhalve ingevolge art. 1, § 4 WVP de hoedanigheid van verantwoordelijke voor de verwerking , zelfs als deze verwerking slechts een enkele keer wordt verricht.
2. Informatie omtrent het recht van verzet
Indien de persoonsgegevens niet bij de betrokken persoon worden verzameld, neemt de verantwoordelijke voor de verwerking contact op met de betrokken persoon teneinde hem de door artikel 9, § 2 WVP vereiste informatie mee te delen 50 . De verantwoordelijke dient dit contact via een geschrift te organiseren, omdat deze vraag
50
Verslag aan de Koning bij artikel 35 uitvoeringsbesluit.
23/36
schriftelijk aan de betrokkene moet worden gesteld (artikel 35 van het uitvoeringsbesluit).
Bij dat contact moet de betrokken persoon overeenkomstig artikel 9, § 2, c) WVP in kennis worden gesteld van zijn recht om zich tegen de verwerking van hem betreffende persoonsgegevens voor direct marketingdoeleinden te verzetten. De betrokkene moet zijn verzet op het hem door de verantwoordelijke voor de verwerking ter beschikking gestelde document kunnen doen. De verantwoordelijke voor de verwerking dient hem die mogelijkheid te bieden aan de hand van een duidelijke, gemakkelijk te beantwoorden vraag.
3. Tijdstip van informatie
Indien de persoonsgegevens niet bij de betrokkene zijn verkregen, moet de verantwoordelijke voor de verwerking of zijn vertegenwoordiger, op het moment van de registratie van de gegevens of wanneer mededeling van de gegevens aan een derde wordt overwogen, uiterlijk op het moment van de eerste mededeling van de gegevens, de informatie verstrekken, tenzij de betrokkene daarvan reeds op de hoogte zou zijn (artikel 9, § 2 WVP). Ingeval van direct marketing wordt dit tijdstip gepreciseerd in art. 9, § 2, c) WVP waarin is bepaald dat de betrokkene in kennis dient te worden gesteld vooraleer de persoonsgegevens voor de eerste keer aan een derde worden
verstrekt of voor rekening van derden worden gebruikt voor direct marketing. C.6. Grensoverschrijdend gegevensverkeer
In het kader van de doorgifte van persoonsgegevens naar landen buiten de Europese Unie, moet het land van bestemming een passend beschermingsniveau waarborgen 51 . De vraag of het beschermingsniveau passend is, wordt beoordeeld rekening houdend met diverse omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn, zoals de aard van de gegevens, het doeleinde en de duur van de voorgenomen verwerking(en), het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd (art. 21, § 1, tweede lid WVP).
51
De Europese Commissie is van oordeel dat (onder meer) de volgende landen een passend beschermingsniveau bieden : Zwitserland, Argentinië, Canada en bepaalde delen van de Verenigde Staten voor de bedrijven die de beginselen van de “Safe Harbor” hebben goedgekeurd. Meer informatie is beschikbaar op de site van de Europese Commissie, Directoraatgeneraal, Binnenlandse Markt: http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
24/36
Bij gebrek aan een passende bescherming van de persoonsgegevens, kan de doorgifte niettemin toch plaatsvinden, inzonderheid als:
a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven (art. 22, § 1, 1° WVP); b) de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen 52 (art. 22, § 1, 2° WVP); c) waarborgen zijn geboden door middel van passende contractuele bepalingen goedgekeurd door de uitvoerder en door de invoerder van de gegevens 53 (art. 22, § 2 WVP).
Voor meer informatie over grensoverschrijdend verkeer kan de nota van de Commissie “privacy
algemeen” worden geraadpleegd op de site van de Commissie : www.privacycommission.be (“In praktijk”, “Privacy algemeen”, “nota privacy algemeen”).
D. Rechten van de betrokkene Naast het recht te worden geïnformeerd (art. 9 WVP), heeft de persoon van wie de gegevens worden verwerkt de volgende rechten: recht op toegang tot de op hem betrekking hebbende gegevens (art. 10 WVP), het recht op verbetering en op verzet tegen de verwerking ervan (art. 12 WVP).
Teneinde de naleving van deze rechten te verkrijgen, kan de betrokkene zich wenden tot de Commissie die bemiddelend zal optreden (art. 31 WVP). De betrokkene beschikt tevens over de mogelijkheid zich te richten tot de voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kort geding (art. 14, § 1 WVP), indien de verantwoordelijke voor de verwerking geen gevolg geeft aan een eenvoudig verzoek daartoe.
D.1. Recht op informatie
Het hierboven onder punt C.4. omschreven beginsel inzake informatieverstrekking dient in hoofde van de betrokken persoon wiens gegevens worden verwerkt, te worden beschouwd als een recht op informatie.
52 53
Bijvoorbeeld de gegevens inzake de betrokken persoon of het nummer van zijn bankrekening.
Modellen van contractuele bepalingen voor de doorgifte van persoonsgegevens naar derde landen die niet voorzien in een passend beschermingsniveau voor de verwerking van persoonsgegevens: http://ec.europa.eu/justice_home/fsj/privacy
25/36
D.2. Recht op toegang
Overeenkomstig artikel 10 WVP kan iedere persoon van wie de gegevens worden verwerkt vanwege de verantwoordelijke voor de verwerking kosteloos verkrijgen:
bevestiging dat gegevens die op hem betrekking hebben worden verwerkt, informatie over het doeleinde van de verwerking, de categorieën van verwerkte gegevens en de categorieën ontvangers;
verstrekking in begrijpelijke vorm van de verwerkte gegevens, alsmede informatie over de oorsprong van die gegevens.
Om dat recht uit te oefenen, richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een van zijn gemachtigden/aangestelden of aan de verwerker dat ter plaatse wordt overhandigd 54 , of over de post of met een telecommunicatiemiddel 55 wordt toegezonden (art. 32 van het uitvoeringsbesluit). De aanvraag moet vergezeld zijn van een bewijs van de identiteit van de verzoeker (b.v. kopie van de identiteitskaart).
De inlichtingen moeten ten laatste binnen vijfenveertig dagen na ontvangst van het verzoek worden meegedeeld.
De nietnaleving van deze verplichting wordt strafrechtelijk bestraft (artikel 39, 5° WVP).
D.3. Recht op verzet
Hoewel art. 12, § 1, tweede lid WVP erkent dat iedere persoon wegens zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie, zich ertegen kan verzetten dat hem betreffende gegevens worden verwerkt (behalve wanneer de rechtmatigheid van de verwerking gegrond is op een wet of noodzakelijk is voor de uitvoering van een contract of van precontractuele bepalingen), gaat de WVP op het vlak van direct marketing veel verder.
In artikel 12, § 1, derde lid WVP is gesteld dat indien de persoonsgegevens verkregen worden met het oog op direct marketing de betrokkene zich kosteloos en zonder enige motivering
54
Ingeval het verzoek ter plaatse geschiedt, dient een gedagtekend en ondertekend ontvangbewijs te worden afgegeven (art. 32, tweede lid van het uitvoeringsbesluit). 55
Gelet op de verplichte handtekening, moet daaronder worden verstaan een brief, een fax of een elektronisch bericht , gewaarmerkt met een gekwalificeerde elektronische handtekening, zoals mogelijk met de elektronische identiteitskaart in België.
26/36
tegen de voorgenomen verwerking van hem betreffende persoonsgegevens mag verzetten (“optout”).
Om dat recht uit te oefenen, richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een van zijn gemachtigden/aangestelden of aan de verwerker dat ter plaatse wordt overhandigd 56 , of over de post of met een telecommunicatiemiddel 57 wordt toegezonden (art. 33 van het uitvoeringsbesluit). De aanvraag moet vergezeld zijn van een bewijs van de identiteit van de verzoeker (b.v. kopie van de identiteitskaart).
De verantwoordelijke voor de verwerking moet binnen een maand na de indiening van het verzoekschrift meedelen welk gevolg eraan is gegeven.
Indien gegevens enkel voor direct marketing zouden worden verwerkt en deze na een verzet (art. 12, § 1, lid 4 WVP 58 ) of adreswijziging van de betrokkene (art. 12, § 1, lid 5 WVP 59 ) niet langer hiervoor kunnen worden aangewend, heeft de betrokkene de mogelijkheid om te verkrijgen dat die gegevens worden geschrapt uit de verwerking. In de praktijk kunnen gegevens nog wel ter zake dienend zijn indien een dienstencontract met de betrokken persoon werd afgesloten of indien de persoon ervoor heeft gekozen om zijn gegevens te bewaren op een van de Robinsonlijsten, teneinde in de toekomst niet bij elke verantwoordelijke afzonderlijk zijn recht op verzet te moeten uitoefenen.
De verzetsmogelijkheid zoals voorzien in artikel 12 WVP is te onderscheiden van de inschrijving op de zogenaamde Robinsonlijsten (zie hieronder F.1.), omdat enerzijds het verzet kan worden uitgeoefend ten aanzien van elke verantwoordelijke voor de verwerking met het oog op direct marketing (dus ook als zij geen lid zijn van het Belgische Direct Marketing Verbond), en anderzijds het verzet is gericht aan een welbepaalde verantwoordelijke voor de verwerking en dus niet de volledige sector betreft.
D.4. Recht op verbetering
56
Ingeval het verzoek ter plaatse geschiedt, dient een gedagtekend en ondertekend ontvangbewijs te worden afgegeven (art. 32, tweede lid van het uitvoeringsbesluit). 57
Gelet op de verplichte handtekening, moet daaronder worden verstaan een brief, een fax of een elektronisch bericht, gewaarmerkt met een gekwalificeerde elektronische handtekening, zoals mogelijk met de elektronische identiteitskaart in België. 58
Art. 12, § 1, lid 4 WVP. In geval van gerechtvaardigd verzet mag de door de verantwoordelijke voor de verwerking verrichte verwerking niet langer op deze persoonsgegevens betrekking hebben. 59
Art. 12, § 1, lid 5 WVP. Eenieder is tevens gerechtigd kosteloos de verwijdering van of het verbod op de aanwending van alle hem betreffende persoonsgegevens te bekomen die gelet op het doel van de verwerking, onvolledig of niet ter zake dienend zijn, of waarvan de registratie, de mededeling of de bewaring verboden zijn, of die na verloop van de toegestane duur zijn bewaard.
27/36
Eenieder is gerechtigd alle onjuiste persoonsgegevens die op hem betrekking hebben kosteloos te doen verbeteren op grond van artikel 12, §1, 1 e lid WVP.
Om dat recht uit te oefenen, richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een van zijn gemachtigden/aangestelden of aan de verwerker dat ter plaatse wordt overhandigd 60 , of over de post of met een telecommunicatiemiddel 61 wordt toegezonden (art. 33 van het uitvoeringsbesluit). De aanvraag moet vergezeld zijn van een bewijs van de identiteit van de verzoeker (b.v. kopie van de identiteitskaart).
Binnen een maand te rekenen van het tijdstip van indiening van het verzoek deelt de verantwoordelijke voor de verwerking de verbeteringen of verwijderingen van gegevens mee aan de betrokkene zelf, alsmede aan de personen aan wie de onjuiste, onvolledige of niet ter zake dienende gegevens zijn meegedeeld, voor zover hij nog kennis heeft van de ontvangers van de mededeling en de kennisgeving aan deze ontvangers niet onmogelijk blijkt of onevenredig veel moeite kost (art. 12, § 3 WVP).
E. Verplichtingen van de verantwoordelijke voor de verwerking Naast de verplichting de betrokken persoon te informeren (art. 9 WVP), moet de verantwoordelijke voor de verwerking de volgende verplichtingen nakomen: aangifte van de verwerking doen bij de Commissie (art. 17 WVP) en de beveiliging van de persoonsgegevens garanderen (art. 16 WVP).
E.1. Recht op informatie
Het hierboven onder punt C.4. omschreven beginsel inzake informatieverstrekking dient in hoofde van de verantwoordelijke voor de verwerking te worden beschouwd als een verplichting tot het verstrekken van informatie aan de betrokkenen.
E.2. Aangifte van de verwerking aan de Commissie
Het bedrijf moet van de verwerking vooraf aangifte doen bij de Commissie (art. 17 WVP). De naleving van die verplichting en het naar aanleiding daarvan door de Commissie verstrekte ontvangbewijs, betekent niet dat de verwerking volledig in overeenstemming is met de WVP.
60
Ingeval het verzoek ter plaatse geschiedt, dient een gedagtekend en ondertekend ontvangbewijs te worden afgegeven (art. 32, tweede lid van het uitvoeringsbesluit). 61
Gelet op de verplichte handtekening, moet daaronder worden verstaan een brief, een fax of een elektronisch bericht waarvan de handtekening is gewaarmerkt.
28/36
Aan de Commissie moet tevens kennis worden gegeven van substantiële wijzigingen in de verwerking (bijvoorbeeld ingeval bestanden worden doorgegeven) waardoor de informatie vermeld in de eerder ingediende aangifte wijzigt (art. 17, § 3 WVP), alsook van de beëindiging van de verwerking (art. 17, § 7 WVP).
De aangifte kan worden gedaan of aangevuld door middel van een formulier (papier) dat aan de Commissie wordt gericht 62 of via haar website 63 .
De administratieve kosten bedragen 125Î voor de aangifte door middel van een formulier (papier) en 25Î ingeval aangifte wordt gedaan via de internetsite van de Commissie. Voor wijzigingen in de aangifte wordt een bedrag van 20Î aangerekend.
De nietnaleving van deze verplichting wordt strafrechtelijk bestraft (art. 39, 8° WVP).
Het uitvoeringsbesluit voorziet een aantal uitzonderingen op de aangifteplicht, o.a. voor “klantenbeheer” (art. 55 64 ). Voor een dergelijke verwerking zal een aangifte echter toch verplicht zijn van zodra er sprake is van een uitwisseling, verkoop of verhuur van een bestand aan derden. Dezelfde aangifteverplichting zal gelden indien er sprake is van een verwerking van gevoelige gegevens.
E.3. Veiligheid van de verwerking
De verantwoordelijke voor de verwerking moet de vertrouwelijkheid en de veiligheid van de verwerking waarborgen (art. 16, §§ 2 en 4 WVP).
De verantwoordelijke voor de verwerking moet:
a) nauwlettend erover waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet ter zake dienende gegevens worden verbeterd of verwijderd; 62
Commissie voor de bescherming van de persoonlijke levenssfeer, Hoogstraat 139 te 1000 Brussel, tel : 02/213.85.40, fax : 02/213.85.65 of email:
[email protected]. 63 64
http://www.privacycommission.be
Art. 55. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag alleen betrekking hebben op potentiële, bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op persoonsgegevens betreffende de gezondheid van de betrokken persoon of op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet. In het kader van de klantenadministratie, mogen geen personen in de verwerking worden geregistreerd op grond van gegevens verkregen van derden. De gegevens mogen niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld.
29/36
b) ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst;
c) aan alle personen die onder zijn gezag handelen, kennis geven van de bepalingen van de wet 65 en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;
d) zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte en wederrechtelijk gebruik ervan voorkomen.
Ingeval de verantwoordelijke voor de verwerking een beroep doet op een verwerker, moeten in de verwerkingsovereenkomst specifieke waarborgen worden voorzien die zijn beschreven in art. 16, §§ 1 en 3 WVP.
De verantwoordelijke voor de verwerking moet:
a) een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerking;
Een veiligheidsmaatregel zou onder meer kunnen bestaan uit: het inloggen van de toegang tot de persoonsgegevens teneinde een bewijs ervan te bewaren dat zij zijn geraadpleegd, het dragen van een badge waaruit blijkt dat aan iemand toegang is verleend tot de gegevens, of het gebruik van een paswoord.
b) toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
c) de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst;
65
De informatie betreft de WVP en in voorkomend geval elke andere wetgeving gelet op de activiteitensector.
30/36
d) met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking, behalve in geval van een verplichting opgelegd door of krachtens een wet, een decreet of een ordonnantie, en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke is gehouden;
e) in een geschrift of op een elektronische drager de elementen van de overeenkomst bedoeld in c) en d) inzake de bescherming van de persoonlijke levenssfeer vaststellen.
De nietnaleving van de verplichting inzake de veiligheid wordt strafrechtelijk bestraft (art. 38 WVP).
F. Initiatieven van de sector Gelet op de snelle toename van de reclame op naam, die gedeeltelijk is te wijten aan de verkoop van gegevensbestanden tussen bedrijven onderling met het oog op direct marketing 66 , zijn binnen de sector initiatieven genomen ter bescherming van personen tegen direct marketing.
Hieronder enkele initiatieven :
F.1. het Belgische Direct Marketing Verbond
a) Deontologische Code Het Belgische Direct Marketing Verbond of "BDMV" 67 heeft een deontologische code opgesteld die kan worden geraadpleegd op haar website www.bdma.be (rubriek "over het BDMV")
Deze Deontologische Code vervangt de WVP niet, en is ondergeschikt aan de WVP. Alle BDMVleden dienen dus eerst de WVP na te leven, en bijkomend de Gedragscode. In geval van strijdige bepalingen tussen beide, heeft de wettelijke regeling (WVP) steeds voorrang. 66
Aangezien de doeleinden overeenstemmen, is de verwerking verenigbaar. De vennootschappen moeten de andere bepalingen van de WVP evenwel naleven, onder meer de informatie van de persoon van wie de gegevens worden verwerkt. 67
Zie de volgende websites: www.bdma.be en www.robinsonlist.be
31/36
b) Het BeCommerce label (zie hierna) Het BDMV ontwikkelde BeCommerce als een kwaliteitslabel voor door haar gecertificeerde webwinkels. De eerste labels werden uitgereikt vanaf november 2006. Meer informatie over dit label is te vinden op http://www.becommerce.be/ c) De Robinsonlijsten
Het BDMV heeft verder vier zogenaamde “Robinsonlijsten" ontwikkeld waarop iedereen die geen gepersonaliseerde reclame wenst te ontvangen vanwege de bedrijven die aangesloten zijn bij het BDMV, zich kan laten inschrijven. Volgende lijsten werden voorzien : · Robinson eMail, indien men geen reclame per email wenst te ontvangen;
· Robinson SMS, indien men geen reclame via SMS wil ontvangen; · Robinson Phone, indien men geen reclameaanbiedingen per telefoon wenst; · Robinson Mail, indien men geen reclame op naam per wil ontvangen. Indien personen zich op één van de "Robinsonlijsten" wensen in te schrijven, kunnen zij kiezen in welke van de voormelde Robinsonlijsten (eMail, SMS, Phone of Mail) zij wensen te worden opgenomen en daartoe kosteloos een verzoek indienen:
· Ofwel via het internet via www.robinson.be (volg de instructies door te klikken in het menu op het icoontje dat met uw keuze overeenkomt); · Ofwel door middel van een schriftelijk verzoek aan het Belgische Direct Marketing Verbond, Buro&Design Center, Heizel Esplanade, bus 46, 1020 Brussel.
Alle leden van het BDMV, bestaande uit een 400tal bedrijven, verplichten zich ertoe de persoonsgegevens van de personen die voorkomen op de "Robinsonlijsten" uit hun bestanden te schrappen. De ledenlijst van het BDMV is te raadplegen op de volgende website: www.bdma.be. Een termijn van één tot drie maanden dient evenwel, omwille van technische redenen, in acht te worden genomen vooraleer de gegevens daadwerkelijk zijn verwijderd uit de bestanden van de bij het BDMV aangesloten bedrijven. Een particulier die bij het BDMV een dergelijk verzoek indient, wordt in de lijst(en) opgenomen voor een periode van drie jaar, die op verzoek kan worden verlengd.
32/36
De inschrijving op de Robinsonlijsten garandeert evenwel niet dat men nooit meer gepersonaliseerde reclame zal ontvangen van om het even welk bedrijf. Deze lijsten hebben een aantal nadelen omdat: · de Robinsonlijsten doorgaans niet worden gebruikt om de “business to business” marketing te filteren. Soms blijft men dus als “professional” toch gepersonaliseerde reclame ontvangen, ondanks het feit dat men als "consument" op de Robinsonlijsten is ingeschreven; · enkel de bedrijven die lid zijn van het BDMV de lijsten in acht moeten nemen op grond van een deontologische code; sowieso vallen misbruiken door ondernemingen zoals via spam, pogingen tot oplichting (phishing, … ) buiten de werking van de Robinsonlijsten; · de Robinsonlijsten niet gelden voor reclame per fax; · de Robinsonlijsten enkel het eindresultaat (de mailings) wegfilteren, doch de betrokkene niet volledig verwijderen uit de bestandswarenhuizen, en de operaties van bestandsverrijking, gegevensontdubbeling en profilering via persoonsprofielen van de leden van het BDMV.
De recente toename van het aantal Robinsonlijsten toont de problemen aan waarmee de sector wordt geconfronteerd. Aan de hand van deze lijsten pogen de leden van het BDMV de legitimiteit van hun direct marketingverwerkingen a posteriori te verzekeren.
De Commissie is van oordeel dat de Robinsonlijsten slechts een beperkte verzetsmogelijkheid bieden tegen het "topje van de direct marketingijsberg". De betrokkene blijft sowieso het recht hebben om zich tegen elke operatie van adressenhandel, bestandsverrijking, gegevensontdubbeling, profilering,… met het oog op direct marketing te verzetten (artikel 12 § 1 lid 3 WVP), zij het dat dergelijk verzoek steeds individueel dient te worden geformuleerd. Zij roept de sector op om op een efficiënte wijze (bvb extra Robinsonlijst) de verzetsmogelijkheid tegen voormelde verwerkingen met het oog op direct marketing (adressenhandel,…) in te voeren.
Meer informatie omtrent de Robinsonlijsten is terug te vinden op http://www.robinsonlist.be/faq_nl.htm
F.2. Mogelijkheden voor klanten van Belgacom
Een toenemend aantal ondernemingen heeft één of meerdere interne wegduwbestanden aangelegd die moeten voorkomen dat zij personen blijven aanschrijven voor gepersonaliseerde aanbiedingen of die het verzet van de klanten noteren tegen het verhandelen van hun persoonsgegevens.
33/36
Zo biedt Belgacom haar abonnees vier praktische wijzen om het recht van verzet met het oog op direct marketing uit te oefenen. Het betreft volgende mogelijkheden:
· het vermelden van de klant op de interne Belgacom antimarketinglijst waardoor de verzending van reclame wordt geblokkeerd. Deze lijst heeft betrekking op mailings, e mails, telemarketing, … namens Belgacom; ®
· het inschrijven van de klant op de Restrictel lijst van Belgacom, een lijst die Belgacom verbiedt om de gegevens die in de telefoongids worden gepubliceerd voor commerciële doeleinden te gebruiken. Deze lijst verhindert dus het gebruik van klantgegevens voor telemarketingacties van derden, doch niet voor andere acties (mailing, email, …); · het nemen van een gratis geheim nummer. Hierbij wordt de klant meteen ook op de voormelde Restrictellijst geplaatst; · de inschrijving van de betrokkene op één van de vier Robinsonlijsten. Deze opname blokkeert het gebruik van bestanden met het oog op direct marketing door leden van het BDMV, doch niet door ondernemingen die geen lid zijn van het BDMV.
F.3. Private kwaliteitslabels voor ecommerce
De laatste jaren werden diverse private kwaliteitslabels opgesteld voor de handel via websites (ecommerce). Naast het hiervoor reeds genoemde label van het BDMV, werden ook recent ingevoerd :
·
het UNIZO ecommerce label (www.unizo.be/ecommercelabel);
·
het Beshops keurmerk (www.beshops.org)
De Commissie volgt de recente wildgroei aan private kwaliteitslabels op. Zij stelt vast dat elk label pretendeert de consument zekerheid aan te bieden, vooral als het gaat om de veiligheid van de verwerking van de persoonsgegevens van de klant, met nadruk op de betalingsgegevens. Anderzijds is het onduidelijk of het beleid in verband met direct marketing van de bij het label aangesloten shops wel steeds voldoet aan de WVP. De Commissie stelt zich dan ook vragen naar de kwaliteit, betrouwbaarheid (objectiviteit) 68 en samenhang van de diverse nieuwe labels, en de aard van de schijnbare waarborgen die door de diverse labels worden geboden.
68
Kan er sprake zijn van objectiviteit als het verkrijgen van een label ettelijke duizenden Euro's kost ?
34/36
G. Bevoegde instanties
G.1. De Commissie voor de bescherming van de persoonlijke levenssfeer
De Commissie is bevoegd om vragen of klachten te behandelen die betrekking hebben op verwerkingen van persoonsgegevens met het oog op direct marketing.
Voor een vlotte behandeling van de klacht is het noodzakelijk dat de klager: · zijn volledige naam en contactgegevens meedeelt in een gedagtekende en ondertekende brief of bericht (art. 31, § 1 WVP); · zijn klacht bewijst, door een kopie van zijn mailing bij te voegen of minstens de klacht gedetailleerd omschrijft (bijvoorbeeld: ik ben benaderd per telefoon op dag x voor product y,…); · zijn recht van toegang, verzet of verbetering reeds bij de verantwoordelijke voor de verwerking heeft uitgeoefend (indien deze gekend is) en de Commissie kopie van deze correspondentie bezorgt; · duidelijk meedeelt dat hij klacht wenst in te dienen, zodat vaststaat dat hij niet enkel een vraag wenst te stellen of informatie wil mededelen; · in de contacten met de Commissie steeds het dossiernummer vermeldt dat wordt toegekend na ontvangst van een klacht.
G.2. De Algemene Directie Controle en Bemiddeling van de FOD Economie
Indien men het slachtoffer is van oneerlijke handelspraktijken of indien de toestemming voor reclame per email of fax niet werd gevraagd, heeft men het recht om klacht in te dienen bij de Algemene Directie Controle en Bemiddeling van de Federale Overheidsdienst Economie 69 .
Voor een vlotte behandeling wordt het aanbevolen om meldingen van inbreuken op of via het internet te verrichten op het meldpunt www.ecops.be.
Indien u niet over internet beschikt of indien het geen inbreuken op of via het internet betreft, kan men deze dienst bereiken op het volgende adres:
Algemene Directie Controle en Bemiddeling Centrale Diensten
69
Zie http://economie.fgov.be/protection_consumer/complaints/complaints_nl_001.htm
35/36
FO WTC III, Simon Bolivarlaan 30 B 1000 Brussel email:
[email protected] Tel. : 32 (0) 2 277 54 84 Fax : 32 (0) 2 277 54 52
G.3. De Federal Computer Crime Unit FCCU
Ingeval van poging tot oplichting via email (“scam” / “phishing” / valse loterijen,…) is het aan te raden om de bevoegde dienst bij de federale politie rechtsreeks te contacteren en nooit de vermoedelijke afzender van deze boodschappen.
Voor een vlotte behandeling wordt het aanbevolen om meldingen van inbreuken op of via het internet te verrichten op het meldpunt www.ecops.be.
Indien u niet over internet beschikt, of indien het geen inbreuken op of via het internet betreft, kan men deze dienst contacteren op het volgende adres:
Federale politie DGJ/DJF/FCCU Computer Crime Unit Notelaarsstraat 211 B 1000 Brussel mail:
[email protected] Tel. +32 (0)2 743 74 74 Tel. +32 (0)2 743 73 84 (permanentie)
G.4. Het Comité van Toezicht van het BDMV
Wanneer een bedrijf dat lid is van het Belgisch Direct Marketing Verbond (BDMV) doorgaat met het toezenden van gepersonaliseerde reclame, ondanks het feit dat men is ingeschreven op één van de Robinsonlijsten, of indien dit bedrijf de gedragscode van het BDMV schendt, dan kan dit worden gemeld aan het Comité van Toezicht van het BDMV. Het Comité van Toezicht bemiddelt in geschillen tussen direct marketingbedrijven en consumenten. Het Comité van Toezicht behandelt ook klachten omtrent direct marketing die werden ingediend bij de Jury voor Ethische Praktijken inzake reclame (JEP). De beslissingen
36/36
van het Comité zijn bindend voor alle leden. Sancties gaan van waarschuwingen of geldboetes tot en met schorsing van het lidmaatschap. Elke klacht moet schriftelijk worden ingediend op het volgend adres: BDMV Comité van Toezicht Buro&Design Center Heizel Esplanade B46 1020 Brussel
Versie dd. 28 mei 2008