GROEP GEGEVENSBESCHERMING ARTIKEL 29
00065/2010/NL WP 174
Advies 4/2010 over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing
Goedgekeurd op 13 juli 2010
De groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Het is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, waarvan de taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie) van het directoraatgeneraal Justitie van de Europese Commissie, B-1049 Brussel, België, bureau LX-46 01/190. Website: http://ec.europa.eu/justice/policies/privacy/index_en.htm
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS, opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 19951, gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van die richtlijn, gelet op haar reglement, en met name op de artikelen 12 en 14, heeft het volgende advies goedgekeurd: 1.
INLEIDING
In artikel 27, lid 3, van de richtlijn staat over communautaire gedragscodes het volgende: “De ontwerpen van communautaire codes, alsmede wijzigingen of verlengingen van bestaande communautaire codes, kunnen aan de in artikel 29 bedoelde Groep worden voorgelegd. Deze spreekt er zich met name over uit of de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst. De Commissie kan zorg dragen voor een passende bekendmaking van de gedragscodes waarover de Groep een gunstig advies heeft uitgebracht”. Teneinde deze bepaling gemakkelijker te kunnen toepassen, heeft de Groep in september 1998 een document goedgekeurd om de procedure te verduidelijken die belanghebbenden moeten volgen voor het indienen van communautaire gedragscodes en voor de daaropvolgende evaluatie door de Groep in overeenstemming met de artikelen 27 en 29 van Richtlijn 95/46/EG2. In dat document worden de belangrijkste stappen van de procedure samengevat. De Groep heeft in juni 2003 advies uitgebracht over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing. De Groep is van oordeel dat de FEDMA-gedragscode in overeenstemming is met artikel 27 van de gegevensbeschermingsrichtlijn en daaraan voldoende meerwaarde geeft omdat hij voldoende toegespitst is op de specifieke gegevensbeschermingskwesties in de directmarketingsector en voldoende duidelijke oplossingen biedt voor de problemen die aan de orde zijn3. Volgens de Groep beantwoordde de gedragscode dan ook aan de eisen die in artikel 27 van de richtlijn zijn geformuleerd. De Groep wees er niettemin op dat een algemene code zoals deze niet alle specifieke problemen die inherent zijn aan de online wereld kan oplossen en verzocht FEDMA derhalve een bijlage bij de code te maken waarin deze vraagstukken worden behandeld. In deze bijlage zou met name de bescherming van kinderen aan bod moeten komen, die op dit gebied vooral kwetsbaar zijn, zoals werd aangegeven in de bijdrage van de BEUC (de Europese consumentenorganisatie), die door de Groep was geraadpleegd. 1
2
3
Publicatieblad L 281 van 23.11.1995, blz. 31, beschikbaar op: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:HTML Toekomstige werkzaamheden op het gebied van gedragscodes: Werkdocument betreffende de procedure voor de beoordeling van communautaire gedragscodes door de Groep, goedgekeurd op 10 september 1998, WP 13. Advies 3/2003, document WP 77, te vinden op: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp77_nl.pdf
2
Bij brief van 16 december 2005 legde FEDMA aan de Groep artikel 29 een document voor dat de bijlage vormde bij de Code gegevensbescherming en direct marketing (hierna “de bijlage” genoemd). Volgens de FEDMA beoogt de bijlage specifieke vraagstukken die door online marketing worden opgeworpen, te behandelen. Zoals bij de FEDMAgedragscode is het geenszins de bedoeling dat de bijlage nationale wet- en regelgeving vervangt of op enigerlei wijze daarmee interfereert, noch dat zij aspecten behandelt die momenteel niet door de EU-wetgeving worden bestreken. Het is de bedoeling marketers die over de landsgrenzen heen werken een leidraad te geven voor online marketing. Bij brief van 8 juni 2006 heeft de voorzitter van de Groep artikel 29 FEDMA in kennis gesteld van de opmerkingen van de Groep bij het ontwerp van de onlinemarketingbijlage. Deze opmerkingen hadden betrekking op verschillende onderdelen van het document. De Groep artikel 29 vroeg FEDMA de gemaakte opmerkingen te verwerken in de bijlage om deze meer in overeenstemming te brengen met de gegevensbeschermingsvereisten van de Richtlijnen 95/46/EG en 2002/58/EG en de nationale omzettingsmaatregelen. Op 7 juni 2007 legde de directeur-generaal van FEDMA een herziene versie van de onlinemarketingbijlage bij de gedragscode aan de Groep artikel 29 voor. De nieuwe tekst was een volledig omgewerkt document dat de structuur volgt van de algemene FEDMAcode van 2003, die door de Groep artikel 29 was goedgekeurd (WP 77). De specifiek voor de gedragscode ingestelde subgroep van de Groep artikel 29 is verschillende keren bijeengekomen om de documenten van FEDMA te bekijken. De subgroep heeft ook met FEDMA vergaderd over de onlinemarketingbijlage om verduidelijking te krijgen bij verschillende door de code behandelde thema’s en vraagstukken. In aansluiting daarop diende FEDMA in februari 2010 een nieuwe versie van de onlinemarketingbijlage in. De voorzitter van de Groep artikel 29 verzocht FEDMA op 25 mei 2010 aandacht te schenken aan een laatste punt, betreffende de regels voor campagnes waarbij klanten/leden andere klanten/leden aanbrengen (zogeheten “membergets-member”-campagnes), om de Groep artikel 29 in staat te stellen een eindbesluit te nemen over de overeenstemming van de onlinemarketingbijlage met Richtlijn 95/46/EG en de momenteel toepasselijke Richtlijn 2002/58/EG4. FEDMA heeft in juni 2010 een eindversie van de onlinemarketingbijlage ingediend die in overeenstemming is met Richtlijn 95/46/EG en voldoende meerwaarde biedt. 2.
STRUCTUUR EN INHOUD VAN DE ONLINEMARKETINGBIJLAGE
Wat specifiek het aspect e-mailmarketing betreft, dat het voorwerp uitmaakt van de bijlage, kan worden gesteld dat de bijlage beantwoordt aan de twee hoofdcriteria die de Groep artikel 29 in werkdocument WP 13 aan Europese gedragscodes heeft opgelegd: ¾ een op grond van artikel 27 van Richtlijn 95/46/EG ingediende code moet in overeenstemming zijn met de richtlijn en met de nationale omzettingsmaatregelen; ¾ een dergelijke code moet van toereikende kwaliteit en intern consistent zijn en voldoende waarde toevoegen aan de richtlijnen en andere regelgeving op het 4
Richtlijn 2002/58/EG is gewijzigd bij Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009. De gewijzigde Richtlijn 2002/58 moet uiterlijk op 25 mei 2011 zijn omgezet (PB L 337 van 18.12.2009, blz. 11).
3
gebied van gegevensbescherming, en met name moet de ontwerpcode voldoende toegespitst zijn op de problemen rond gegevensbescherming in de organisatie of sector waarvoor zij is bedoeld en voor deze vragen en problemen voldoende duidelijke oplossingen bieden. Aangezien de onlinemarketingcode een bijlage is bij de Europese gedragscode voor het gebruik van persoonsgegevens in het kader van direct marketing, die een aanvulling vormt op de FEDMA-Code, gaat de Groep artikel 29 ervan uit dat de bepalingen van de algemene FEDMA-Code mutatis mutandis ook op deze bijlage van toepassing zijn. De structuur van de bijlage sluit nauw aan bij de structuur van de algemene FEDMACode en vult deze op bevredigende wijze aan. – General: Definitions (Definities) – Section 1: Law applicable (Toepasselijk recht) – Section 2: Obtaining personal data directly from the data subject (Rechtstreeks van de betrokkene verkregen persoonsgegevens) – Section 3: Obtaining personal data from other sources than the data subject (Uit andere bronnen dan de betrokkene verkregen persoonsgegevens) – Section 4: Preference service systems (Preference service-systemen) – Section 5: Privacy policy and use of cookies (Privacybeleid en gebruik van cookies) – Section 6: Specific provision for the protection of children (Specifieke bepalingen ter bescherming van kinderen) – Section 7: Specific provisions on forbidden practices (Specifieke bepalingen over verboden praktijken) – Annex: Examples of best practices and not acceptable practices of on line advertising (Voorbeelden van beste praktijken en onaanvaardbare praktijken bij online reclame) De inhoud van de bijlage verhoogt de kwaliteit van de code en verduidelijkt de kwesties die deze behandelt. Het volgende kan de toegevoegde waarde van de bijlage illustreren: Definitions De lijst van definities is grondig herzien en uitgebreid; er zijn bijvoorbeeld definities opgenomen van “unsolicited commercial communications” (ongevraagde commerciële communicatie), “processing of personal data” (verwerking van persoonsgegevens) en “consent” (toestemming). De lijst vormt een aanvulling op de definities die in de algemene code zijn gegeven. Section 2: Obtaining personal data directly from the data subject In deel 2 worden de algemene beginselen vastgesteld voor een correcte verwerking van gegevens, en de op grond van Richtlijn 95/46/EG op de voor de verwerking verantwoordelijke rustende verplichtingen. Dit deel bevat specifieke bepalingen over de verzameling van persoonsgegevens bij consumenten (o.a. over de informatieverstrekking wanneer de gegevens door de voor de verwerking verantwoordelijke zelf worden gebruikt en informatieverstrekking wanneer persoonsgegevens van de betrokkene aan derden worden meegedeeld), en van gegevens van rechtspersonen in verband met zakelijke producten en diensten. De Groep artikel 29 verheugt zich over de uitdrukkelijke bepaling dat commerciële e-mails de nodige informatie moeten bevatten die het doel van de mededeling ondubbelzinnig aangegeven, alsook over de opneming van een tekstgedeelte betreffende afmeldingsmogelijkheden waarmee een ontvanger van commerciële boodschappen op een eenvoudige, kosteloze, rechtstreekse en gemakkelijk toegankelijke wijze te kennen kan geven geen elektronische commerciële boodschappen
4
meer te willen ontvangen. Deze afmelding moet mogelijk zijn zonder opgave van redenen. Section 3: Obtaining personal data from other sources than the data subject Deel 3 bevat de informatieverstrekkingsverplichtingen voor de voor de verwerking verantwoordelijke, in het bijzonder de geïnformeerde toestemming van de betrokkene. De verplichting voor de marketer om de toestemming van de betrokkene te verkrijgen, wordt ook uitdrukkelijk vermeld met betrekking tot host-mailings. De Groep is, na een verduidelijking van de tekst om foutieve juridische interpretaties te vermijden, tevens tevreden over de regels betreffende member-gets-member-campagnes (3.2.1). Section 4: Preference Service Systems De Groep is bijzonder tevreden over het nieuwe deel 4 betreffende preference servicessystemen. Section 5: Privacy policy and use of cookies Dit deel bevat bepalingen betreffende o.a. de toegankelijkheid van privacyverklaringen, die duidelijke en volledige informatie moeten bevatten over alle gebruikte cookies. Als gevolg van het wettelijk kader dat is afgebakend door Richtlijn 2002/58/EG, zoals gewijzigd bij Richtlijn 2009/136/EG, die met ingang van 25 mei 2011 van toepassing zal zijn, kan het nodig zijn dit deel aan te passen om het in overeenstemming te brengen met de richtlijn. Section 6: Protection of children De bepalingen verwijzen naar een regeling die in de algemene FEDMA-code is vastgesteld ter bescherming van kinderen tegen nieuwe, specifieke gevaren in de onlinesector. De Groep verheugt zich bijvoorbeeld over de bepaling volgens welke het onwettig is om zonder de voorafgaande toestemming van de wettelijke vertegenwoordiger te vragen naar gevoelige gegevens over ras of etnische afkomst, politieke, religieuze of levensbeschouwelijke overtuiging of lidmaatschap van een vakbond, of gegevens te verwerken betreffende de gezondheid of het seksleven van het kind, of betreffende de financiële situatie van het kind zelf of van derden, zoals ouders of vrienden. Section 7: Forbidden practices Dit deel behandelt uitdrukkelijk verboden praktijken in verband met automatische gegevensverzameling en spyware. De Groep merkt op dat delen 5 en 7 van de bijlage worden behandeld door Richtlijn 2002/58, in het bijzonder artikel 5, lid 3, zoals gewijzigd bij Richtlijn 2009/136/EG. Beiden delen dienen te worden uitgelegd in het licht van de recente richtsnoeren die door de Groep zijn gegeven in zijn advies over online reclame op basis van surfgedrag (behavioural advertising)5. Annex: Best practices and not acceptable practices De opname van een bijlage waarin voorbeelden van beste praktijken en onaanvaardbare praktijken inzake online reclame worden gegeven, is een meerwaarde voor de praktische toepassing van de regels.
5
Advies 2/2010 over online reclame op basis van surfgedrag, goedgekeurd op 22 juni 2010, document WP 171, te raadplegen op: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_nl.pdf
5
3.
CONCLUSIE
De Groep is van oordeel dat de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens bij direct marketing in overeenstemming is met Richtlijn 95/46/EG, de momenteel toepasselijke Richtlijn 2002/58/EG en de bestaande nationale wet- en regelgeving6. De bijlage regelt een aantal wezenlijke aangelegenheden op het specifieke gebied van online marketing (bijv. member-gets-member-campagnes, bescherming van kinderen, afmelden) en geeft zo voldoende toegevoegde waarde aan de richtlijnen door duidelijke oplossingen voor de gerezen problemen aan te reiken. Zij voldoet bijgevolg aan de eisen van artikel 27 van Richtlijn 95/46/EG. De omzetting van Richtlijn 2002/58/EG, zoals gewijzigd bij Richtlijn 2009/136/EG, in de wetgeving van de lidstaten kan evenwel een aanpassing van de bijlage aan de nieuwe bepalingen vereisen, in het bijzonder wat betreft cookies en spyware. De Groep beveelt FEDMA aan te bekijken welke aanpassingen van de bijlage per 25 mei 2011 nodig zullen zijn om deze in overeenstemming te brengen met het wettelijk kader dat voortvloeit uit Richtlijn 2002/58/EG, zoals gewijzigd bij Richtlijn 2009/136/EG, en de nationale omzettingsbepalingen. Om de nationale gegevensbeschermingsautoriteiten naar behoren te informeren over het functioneren van deze code in de praktijk, dient het Data Protection Committee van FEDMA jaarlijks aan de Groep artikel 29 verslag uit te brengen over de toepassing van de code. Mocht het verslag vragen oproepen, dan zal de Groep zich in verbinding stellen met FEDMA om deze samen te bespreken. De Groep dringt er bij FEDMA op aan de toepassing van deze bijlage over online marketing bij de gedragscode proactief te promoten in de directmarketingsector, om te garanderen dat de betrokkenen over wie gegevens worden verzameld voldoende worden geïnformeerd over het bestaan en de inhoud van de code, en moedigt FEDMA aan zich te blijven inspannen om het niveau van bescherming van het individu hogerop te brengen. De Groep zal bijzondere aandacht schenken aan de door het Data Protection Committee van FEDMA te verstrekken jaarverslagen over de toepassing van de code. Bijlage: tekst van de bijlage “on direct marketing electronic communications to the European Code of Practice for the use of personal data in direct marketing” (bijlage online direct marketing).
Gedaan te Brussel, 13 juli 2010
Voor de Groep De voorzitter Jacob Kohnstamm
6
Bij nationale wet- of regelgeving kunnen aanvullende eisen zijn opgelegd.
6