Gedragscode gebruik persoonsgegevens

 

Gedragscode gebruik persoonsgegevens 1.

Inleiding

Aanleiding en doel Binnen TMG worden op een groot aantal plaatsen en op diverse wijzen persoonsgegevens Verwerkt (de definities van de woorden met een hoofdletter staan in bijlage 1). Denk aan persoonsgegevens van abonnees, van adverteerders en van deelnemers aan acties. Als gevolg hiervan heeft TMG o.a. de beschikking over meer dan 5 miljoen unieke e-mailadressen. Deze gegevens vertegenwoordigen een grote waarde. Dat noodzaakt tegelijkertijd tot voorzichtigheid omdat onjuist gebruik of onrechtmatige Verwerking van deze gegevens tot schade kan leiden. Zo kan het College Bescherming persoonsgegevens (CBP) of de Autoriteit Consument en Markt (ACM) handhavend optreden en in dat kader bijvoorbeeld een boete opleggen. Maar de schade kan ook bestaan uit negatieve publiciteit of irritatie bij de consument. Deze laatste kan bovendien een schadeclaim indienen bij de rechter. Aan de andere kant kan het feit dat TMG omzichtig omgaat met de haar ter beschikking staande persoonsgegevens een positief effect hebben op de beeldvorming over TMG. Het voorgaande is reden voor een interne gedragscode, waarin kaders worden gesteld voor de Verwerking van de aan TMG ter beschikking staande persoonsgegevens, een en ander binnen de grenzen van de geldende weten regelgeving (o.a. de Wbp, de Telecommunicatiewet en de Code Reclame via Email (opgesteld door de Dutch Dialogue Marketing Association)). Het doel van de Gedragscode gebruik persoonsgegevens is met het bovenstaande tevens gegeven: het op doordachte wijze en binnen de juridische kaders omgaan met de ons ter beschikking staande persoonsgegevens teneinde enerzijds maximaal rendement uit deze gegevens te behalen en anderzijds schade te voorkomen. Iedereen die binnen TMG omgaat met persoonsgegevens wordt geacht de Gedragscode gebruik persoonsgegevens in acht te nemen. Deze Gedragscode gebruik persoonsgegevens maakt onderdeel uit van het 1 TMG Beleidsplan Integriteit. Bij vragen of opmerkingen over de Gedragscode gebruik persoonsgegevens kun je contact opnemen met een van de juristen van Concern Juridische Zaken via [email protected]. Reikwijdte Iedere Verwerking van persoonsgegevens De Gedragscode gebruik persoonsgegevens is van toepassing op iedere Verwerking van persoonsgegevens in het kader van de uitoefening van de bedrijfsactiviteiten van alle in Nederland gevestigde werkmaatschappijen van TMG. Hieronder valt bijvoorbeeld zowel de Verwerking van persoonsgegevens voor het uitvoeren van een overeenkomst alsook het gebruik van persoonsgegevens voor Direct Marketing (waaronder E-mail Marketing). De Gedragscode Gebruik persoonsgegevens is niet van toepassing op de Verwerking van persoonsgegevens van (ex-) werknemers van TMG. Direct Marketing en E-mail Marketing De Gedragscode gebruik persoonsgegevens is van toepassing op het gebruik van persoonsgegevens voor alle geschreven berichten die, via welk kanaal dan ook (e-mail, post, sms) worden verstuurd. De Gedragscode gebruik persoonsgegevens is niet van toepassing op telemarketing. B2C/B2B De Gedragscode gebruik persoonsgegevens is van toepassing op zowel B2C als B2B gebruik van persoonsgegevens.

1

Het TMG Beleidsplan Integriteit en de overige reglementen waarnaar in dit document wordt verwezen zijn te vinden via https://circuit.tmg.nl/integriteit/.

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 1 van 7

 

2.

Algemeen

2.1

De regels die van toepassing zijn op het Verwerken van persoonsgegevens zijn vastgelegd in de Wbp. Op grond van de Wbp is TMG verplicht om de Betrokkene onder andere te informeren over het Verwerken van diens persoonsgegevens en de doeleinden waarvoor dat gebeurt. Naast deze wettelijke verplichtingen wil TMG zelf ook transparantie uitdragen.

2.2

De Wbp kent verschillende grondslagen waarop persoonsgegevens mogen worden Verwerkt. Voor TMG zijn de belangrijkste grondslagen de volgende: (i)

De Verwerking is noodzakelijk voor de uitvoering van een overeenkomst. Bijvoorbeeld het Verwerken van de NAW-gegevens van abonnees om ervoor te zorgen dat zij de betreffende titel op het juiste adres ontvangen;

(ii)

De Verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van TMG of van een derde aan wie de persoonsgegevens worden verstrekt. Deze grondslag vormt binnen TMG de basis voor een groot deel van het commerciële gebruik van persoonsgegevens, zoals het gebruik van persoonsgegevens voor Direct Marketing en voor het samenstellen van klantprofielen;

(iii)

De Verwerking geschiedt op basis van ondubbelzinnige toestemming van de Betrokkene. Indien het gebruik van persoonsgegevens niet op basis van de grondslagen genoemd onder a) of b) kan plaatsvinden dan kan de Verwerking worden gebaseerd op ondubbelzinnige toestemming van de Betrokkene. Bijvoorbeeld voor het verstrekken aan, of gebruik van persoonsgegevens door derden voor Direct Marketing doeleinden, moet de Betrokkene altijd zijn ondubbelzinnige toestemming geven. Indien de Betrokkene om toestemming wordt gevraagd, moet het voor hem precies duidelijk zijn waarvoor hij toestemming geeft, en wat daarvan de gevolgen zijn.

2.3

De regels die van toepassing zijn op E-mail Marketing zijn neergelegd in de Telecommunicatiewet. In beginsel kunnen personen alleen ongevraagde boodschappen per e-mail ontvangen indien zij daartoe vooraf toestemming hebben gegeven. Aan Klanten mogen onder voorwaarden wel ongevraagd commerciële boodschappen worden verstuurd, mits die boodschappen betrekking hebben op “eigen gelijksoortige producten of diensten”. Ook met deze regels wordt in deze gedragscode uiteraard rekening gehouden.

2.4

Daar waar de Gedragscode gebruik persoonsgegevens geen antwoord geeft op bepaalde vragen, of niet voorziet in bepaalde situaties, dienen deze vragen/situaties altijd vanuit voornoemde transparantiegedachte te worden benaderd. Neem bij twijfel contact op met Concern Juridische Zaken, via [email protected].

3.

Het verzamelen van persoonsgegevens

3.1

Wanneer iemand wordt verzocht persoonsgegevens te verstrekken moet daarbij altijd duidelijk verwezen worden naar de TMG Privacy verklaring. Daarbij moet steeds worden vermeld dat de TMG Privacy verklaring te raadplegen is op www.tmg.nl/privacy. Als de gegevensverzameling online geschiedt moet de TMG Privacy verklaring ter plekke opvraagbaar zijn door middel van een link (en dus niet alleen in de footer van de website).

3.2

Op het moment dat een Betrokkene persoonsgegevens verstrekt, moet steeds de volgende informatie worden medegedeeld: (i) (ii) (iii) (iv) (v)

welke persoonsgegevens er worden Verwerkt; door wie; voor welke doeleinden de gegevens worden Verwerkt; met welke gevolgen; en aan welke derden de gegevens eventueel zullen worden verstrekt en voor welke doeleinden.

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 2 van 7

 

Alle onder (i) t/m (v) genoemde informatie is opgenomen in de TMG Privacy verklaring en hoeft, mits de onder 3.1 genoemde verwijzing naar de TMG Privacy verklaring is gemaakt, niet nogmaals te worden vermeld. Echter, indien van de in de TMG Privacy verklaring gegeven informatie wordt afgeweken, bijvoorbeeld als de persoonsgegevens voor een ander doel zullen worden Verwerkt dan in de TMG Privacy verklaring genoemd, dan dient dit expliciet te worden vermeld. 3.3

Persoonsgegevens die zijn verkregen van een partij die geen onderdeel uitmaakt van het TMG concern mogen alleen worden Verwerkt met de zekerheid en garantie van deze derde partij dat de Betrokkenen hun toestemming hebben gegeven voor het verstrekken van hun persoonsgegevens, ten behoeve van het beoogde gebruik door TMG.

4.

Het (laten) Verwerken van persoonsgegevens

4.1

Persoonsgegevens kunnen worden Verwerkt voor de doeleinden zoals genoemd in de TMG Privacy verklaring. Hieronder vallen onder andere: (i) (ii) (iii) (iv)

Uitvoering van de overeenkomst; Het versturen van informatie over nieuwe producten en/of diensten (Direct Marketing); Het versturen van nieuwsbrieven, gebruikersinformatie en serviceberichten; Het tonen van gerichte advertenties.

4.2

Indien persoonsgegevens worden Verwerkt voor een ander doel dan genoemd in de TMG Privacy verklaring dient dit doel bij het verzamelen van de persoonsgegevens uitdrukkelijk te worden vermeld.

4.3

Het Verwerken van persoonsgegevens moet worden gebaseerd op één van de onder 2.2 genoemde grondslagen.

4.4

Ten aanzien van het Verwerken van persoonsgegevens voor Direct Marketing geldt dat de Betrokkene op algemene wijze de mogelijkheid moet worden geboden zich tegen deze vorm van Verwerking te verzetten. Hierin is voorzien in de TMG Privacy verklaring.

4.5

Ten aanzien van het Verwerken van persoonsgegevens voor E-mail Marketing gelden op grond van de Telecommunicatiewet de volgende aanvullende regels: (i)

Als het e-mailadres verkregen is in het kader van een “verkooptransactie” (dat wil zeggen de afname van een betaald product of een betaalde dienst) dan dient de Klant op het moment dat hij zijn gegevens verstrekt, de mogelijkheid te krijgen bezwaar te maken tegen gebruik van zijn e-mailadres voor E-mail Marketing. Hiertoe moet hem bij het verstrekken van zijn e-mailadres een expliciete Optout mogelijkheid worden geboden. Bijvoorbeeld door het plaatsen van een vinkje bij de tekst “ik maak bezwaar tegen het gebruik van mijn gegevens voor direct marketing”. Daarnaast moet iedere verstuurde e-mail een Opt-out mogelijkheid bevatten (zie hiervoor verder onder 8.4).

(ii)

Als er geen “verkooptransactie” heeft plaatsgevonden maar de persoonsgegevens zijn verzameld bijvoorbeeld doordat iemand zich op een digitale nieuwsbrief heeft geabonneerd of deel heeft genomen aan een prijsvraag, dan dient de Betrokkene op het moment dat hij zijn persoonsgegevens verstrekt toe te stemmen met het ontvangen E-mail Marketing berichten (Opt-in). Bijvoorbeeld door het plaatsen van een vinkje bij de tekst “ik ga akkoord met het gebruik van mijn e-mailadres voor het ontvangen van commerciële e-mails”.

4.6

De verkregen Opt-ins moeten worden opgeslagen zodat zo nodig kan worden aangetoond dat de Betrokkene de vereiste toestemming heeft gegeven.

4.7

Als Verwerkte persoonsgegevens niet worden opgenomen in een bestaande database dan moet de Verwerking worden gemeld bij Concern Juridische Zaken zodat kan worden bekeken of deze bij het College Bescherming persoonsgegevens moet worden aangemeld.

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 3 van 7

 

4.8

Wanneer het Verwerken van persoonsgegevens gebruik wordt gemaakt van een derde partij die ten behoeve van TMG persoonsgegevens Verwerkt, dan dient met deze partij (de Bewerker) een bewerkersovereenkomst te worden afgesloten. Een model bewerkersovereenkomst is op te vragen bij Concern Juridische Zaken.

5.

Het verstrekken van persoonsgegevens aan derden

5.1

Het is niet toegestaan om persoonsgegevens aan derden (anders dan Bewerkers) zoals listbrokers of sponsors van een bepaalde actie te verstrekken, tenzij de Betrokkene zijn toestemming heeft gegeven voor het verstrekken van zijn persoonsgegevens aan de met naam genoemde derde(n) (Derden Opt-in). Een hele brede en algemene machtiging tot het verstrekken van persoonsgegevens aan willekeurige derden voldoet niet en zal niet als een rechtsgeldige toestemming worden aangemerkt. De toestemming kan niet worden verstopt in algemene voorwaarden of een privacy statement. o

Voorbeeld 1: “[ ] ik ga akkoord met het verstrekken van mijn gegevens aan zorgvuldig geselecteerde partners van De Telegraaf”: niet voldoende specifiek en dus niet toegestaan.

o

Voorbeeld 2: “[ ] door deelname aan deze prijsvraag ga ik ermee akkoord dat mijn gegevens ter beschikking worden gesteld aan Parfumerie Douglas voor het verzenden van commerciële emails”: voldoende specifiek, dus toegestaan.

5.2

Het is mogelijk deelname aan een actie afhankelijk te stellen van toestemming voor het ontvangen van Email Marketing berichten of derdenverstrekking. De deelnemer kan dan worden medegedeeld dat hij alleen aan de betreffende actie kan deelnemen indien hij toestemming geeft voor het gebruik van zijn persoonsgegevens voor E-mail Marketing doeleinden of het verstrekken van zijn persoonsgegevens aan de met naam genoemde derde. Let er wel op dat in dit geval goede (contractuele) afspraken worden gemaakt met de derde partij (in het voorbeeld Parfumerie Douglas) over het toegestane gebruik van de ter beschikking gestelde persoonsgegevens.

5.3

Alle Derden Opt-ins moeten worden opgeslagen zodat zo nodig kan worden aangetoond dat de Betrokkene de vereiste toestemming heeft gegeven.

6.

Het gebruiken van persoonsgegevens van een andere Titel of werkmaatschappij

6.1

Indien een Titel of werkmaatschappij de persoonsgegevens die door een andere Titel of werkmaatschappij zijn verzameld wil gebruiken, moeten de Betrokkenen steeds door laatstgenoemde, de Gegevenseigenaar, benaderd worden. Daarbij moet de relatie met de eerstgenoemde, de Gebruiker, worden toegelicht, waarbij de grootste gemene deler tussen de twee Titels steeds helder moet zijn.

6.2

De Gegevenseigenaar moet de Gebruiker altijd voorafgaand toestemming geven voor het benaderen van zijn abonnees/klanten. o

Voorbeeld 1: als Classic FM de abonnees op de DFT-nieuwsbrief wil benaderen, moet de communicatie vanuit DFT plaatsvinden. Dat betekent vanaf het DFT mailadres en in DFT look & feel. Uit de inhoud van de boodschap moet blijken dat de abonnees de mailing ontvangen omdat zij zich hebben geabonneerd op de DFT nieuwsbrief en dat DFT en Classic FM beiden tot het TMG concern behoren (TMG is grootste gemene deler).

o

Voorbeeld 2: als Classic FM de relaties van Sky Radio wil benaderen, moet de communicatie vanuit Sky Radio plaatsvinden. Dat betekent vanaf het Sky Radio mailadres en in Sky Radio look & feel. Uit de inhoud van de boodschap moet blijken dat de abonnees de mailing ontvangen omdat zij zich hebben geabonneerd op de Sky Radio nieuwsbrief en dat Sky Radio en Classic FM beiden tot de Sky Radio Group behoren (Sky Radio Group is grootste gemene deler).

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 4 van 7

 

7.

Het bewaren van persoonsgegevens

7.1

Persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de Betrokkene te identificeren, dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of vervolgens zijn Verwerkt. In de praktijk zijn gaandeweg een aantal termijnen ontstaan die geacht worden redelijk te zijn. Zo mogen bijvoorbeeld persoonsgegevens van abonnees maximaal twee jaar nadat het abonnement is geëindigd worden bewaard.

7.2

Het voorgaande laat onverlet dat op grond van andere wetgeving afwijkende bewaartermijnen kunnen gelden, op grond waarvan bepaalde gegevens op niet identificeerbare wijze langer bewaard moeten worden. Neem bij twijfel over de toepasselijke bewaartermijn contact op met Concern Juridische Zaken.

8.

De inhoud van te versturen berichten

8.1

Alle berichten moeten een duidelijke afzender hebben, waarbij tenminste de statutaire of handelsnaam en het vestigingsadres van de betreffende vennootschap wordt genoemd. Dit kan bijvoorbeeld in de voet van het bericht.

8.2

De afzender moet altijd de Titel of werkmaatschappij zijn die de persoonsgegevens oorspronkelijk heeft verkregen (de Gegevenseigenaar). Bij e-mails moet uit het “Van”, ”Alias” of “Reply to” veld moet blijken welke Titel of werkmaatschappij de afzender is.

8.3

E-mails moeten een werkend “Reply to” veld hebben waarop reacties kunnen worden ontvangen. Als emails van een “No Reply” e-mailadres afkomstig zijn moeten lezers die een reply sturen een automatisch antwoord krijgen, waarin staat waar ze met hun vragen of opmerkingen terecht kunnen.

8.4

Alle berichten dienen voorzien te zijn van een Opt-out mogelijkheid, tenzij sprake is van een bericht dat uitsluitend betrekking heeft op de uitvoering van de overeenkomst, bijvoorbeeld een servicebericht. Dergelijke berichten mogen dan geen enkele commerciële boodschap of uiting bevatten. Bij e-mails dient de Opt-out door middel van een link direct te kunnen plaatsvinden. Bij andersoortige berichten moet worden gemeld hoe men zich kan afmelden van het ontvangen van dergelijke berichten.

8.5

Commerciële berichten (reclame) moeten als zodanig herkenbaar zijn (bijvoorbeeld door de opmaak, presentatie of inhoud). Dergelijke berichten mogen niet ten onrechte de indruk wekken dat deze niet commercieel van aard of persoonlijk zijn.

8.6

E-mail berichten mogen maximaal 100 KB groot zijn.

8.7

Commerciële e-mails mogen geen bijlagen bevatten, maar moeten gebruik maken van hyperlinks. Indien een URL naar een rechtstreeks te downloaden bestand wordt opgenomen moet in de e-mail de omvang en het type bestand worden aangegeven.

9.

(Elektronische) Tell-a-friend constructies

Tell-a-friend constructies zijn toegestaan onder de volgende voorwaarden: (i)

de communicatie via tell-a-friend vindt plaats op eigen initiatief van de verzender, zonder dat hiertegenover een beloning, zoals een extra winkans, staat;

(ii)

het moet duidelijk zijn dat de e-mail via een website is verstuurd;

(iii)

de naam van de verzender moet in het “Van”-veld worden vermeld, zodat de ontvanger naar deze persoon kan antwoorden, bijvoorbeeld om hem te vragen geen e-mails meer te (laten) versturen;

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 5 van 7

 

(iv) de verzender moet vóór verzending het volledige bericht kunnen bekijken, zodat hij verantwoordelijkheid kan nemen voor de inhoud ervan; (v)

degene die tell-a-friend aanbiedt mag de namen en e-mailadressen van geadresseerden niet bewaren en/of gebruiken voor andere doeleinden; het gebruik moet beperkt blijven tot het versturen van de eenmalige mail; en

(vi) degene die tell-a-friend aanbiedt moet het systeem beveiligen tegen misbruik, zoals geautomatiseerd verzenden van direct e-mails. 10.

De TMG Privacy verklaring

10.1

De TMG Privacy verklaring is bindend voor alle Nederlandse Titels en werkmaatschappijen van TMG die persoonsgegevens Verwerken en zij dienen zich daar aan te houden. Het is niet toegestaan een eigen privacy verklaring te hanteren, behalve indien daarvoor specifieke aanleiding is en dit is afgestemd met Concern Juridische Zaken.

10.2

Altijd wanneer persoonsgegevens van iemand worden gevraagd dient een rechtstreekse verwijzing, indien online met link, naar de TMG Privacy verklaring te worden gemaakt. Zie ook onder 3.1.

10.3

In de footer van elke website van alle Nederlandse Titels en werkmaatschappijen van TMG dient een rechtstreekse link naar de TMG Privacy verklaring te zijn opgenomen.

11.

Klachten

11.1

Klachten over het gebruik van persoonsgegevens moeten, ongeacht de wijze waarop en door wie deze zijn ontvangen, altijd correct en op korte termijn (binnen 3 weken) worden afgehandeld, zo nodig in samenwerking met de Gebruiker.

11.2

Denk vanuit transparantie en klantvriendelijkheid en gebruik iemands persoonsgegevens niet tegen zijn of haar wil.

12.

Inwerkingtreding

Deze Gedragscode treedt in werking op 1 augustus 2015 en vervangt de voorgaande gedragscode van 4 november 2011.

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 6 van 7

 

Bijlage 1: Begrippenlijst In aanvulling op de begrippen zoals gedefinieerd in de begrippenlijst behorende bij het TMG Beleidsplan Cultuur en Integriteit hebben de onderstaande begrippen de volgende betekenis: Betrokkene: degene om wiens persoonsgegevens het gaat (bijvoorbeeld abonnee, deelnemer aan prijsvraag); Bewerker: degene die in opdracht en ten behoeve van TMG persoonsgegevens Verwerkt; Derden Opt-in: de toestemming van een Betrokkene tot het verstrekken van zijn persoonsgegevens aan (een) derde(n) (niet behorende tot het TMG concern) voor Direct Marketing doeleinden; Direct Marketing: het versturen van persoonlijke commerciële boodschappen; E-mail Marketing: Direct Marketing per e-mail; Gebruiker: de werkmaatschappij of Titel die bepaalde persoonsgegevens, waarvan zij geen Gegevenseigenaar is, gebruikt; Gegevenseigenaar: de werkmaatschappij of Titel die bepaalde persoonsgegevens heeft verzameld; Klant: Betrokkene met wie een verkooprelatie bestaat (bijvoorbeeld betaald abonnement); Opt-in: toestemming van een Betrokkene tot gebruik van zijn persoonsgegevens voor een bepaald, omschreven doel; Opt-out: de mededeling van een Betrokkene dat hij zich wenst af te melden van een bepaalde verzendlijst; Titel: een merk van TMG (bijvoorbeeld “De Telegraaf”, spitsnieuws.nl of jaap.nl); TMG Privacy verklaring: de TMG-brede privacy verklaring, waarvan de meest actuele versie te vinden is op www.tmg.nl/privacy; Verwerken: alles wat men in de praktijk met persoonsgegevens kan doen, zoals het verzamelen, opslaan, bewaren, bijwerken, verrijken, wijzigen, opvragen, raadplegen, gebruiken en verstrekken van persoonsgegevens; Wbp: Wet bescherming persoonsgegevens.

Gedragscode gebruik persoonsgegevens – augustus 2015

Pagina 7 van 7