AP beboet sportbond voor onrechtmatige handel persoonsgegevens | Deloitte Nederland

News

AP beboet sportbond voor onrechtmatige handel persoonsgegevens

De Autoriteit Persoonsgegevens heeft een hoge boete opgelegd aan een sportbond voor het overtreden van de AVG. De sportbond verkocht persoonsgegevens van haar leden aan twee sponsoren, die de persoonsgegevens gebruikten voor direct marketingdoeleinden.

Een Nederlandse sportbond heeft een hoge boete gekregen van de Autoriteit Persoonsgegevens voor het overtreden van de Algemene Verordening Gegevensbescherming. De sportbond verkocht persoonsgegevens van haar leden aan twee sponsoren, die de persoonsgegevens gebruikten voor direct marketingdoeleinden.

Volgens het boetebesluit bestaat de overtreding uit twee onderdelen. Een deel van de verwerkingen was in strijd met de verenigbaarheid (artikel 6 lid 4 AVG) en met het beginsel van doelbinding (artikel 5 lid 1 sub b AVG). Een ander deel van de verwerkingen vond plaats zonder rechtmatige grondslag (in dit geval: toestemming of gerechtvaardigd belang) (art 6 lid 1 AVG).

Veel organisaties verkopen persoonsgegevens aan derden voor direct marketingdoeleinden. Deze organisaties kunnen een aantal dingen leren van het boetebesluit:

  1. Leg de doeleinden van de verzameling van de persoonsgegevens zo expliciet mogelijk vast. 
  2. Wanneer de verwerking is gebaseerd op de grondslag “gerechtvaardigd belang”, dan moet dit terug te voeren zijn op een geschreven of ongeschreven rechtsregel of rechtsbeginsel.
  3. De AP kan direct een boete opleggen zonder voorafgaand(e) normoverdragend(e) gesprek of brief.

1. Leg de doeleinden van verzameling van persoonsgegevens zo expliciet mogelijk vast.

Het boetebesluit maakt onderscheid tussen verwerking van persoonsgegevens van leden die voor 2007 lid werden en leden die na 2007 lid werden.

Voor 2007

Uit de statuten van de sportbond uit 2005 volgde dat de sportbond persoonsgegevens van leden heeft verzameld ter uitvoering van de lidmaatschapsovereenkomst. Daarnaast kunnen twee andere verzameldoeleinden worden afgeleid uit de statuten:

  1. het verzamelen (en verdere gebruik) van persoonsgegevens voor zover dit noodzakelijk is voor de realisering van het doel van de sportbond, te weten het bevorderen van de beoefening van het tennisspel en de ontwikkeling van de tennissport in Nederland; en 
  2. het verzamelen van persoonsgegevens met het doel deze te verstrekken aan derden. 
 

De statuten bevatten geen informatie over de (categorie van) derden aan wie persoonsgegevens kunnen worden verstrekt en ook geen informatie waarvoor de persoonsgegevens door deze derden worden gebruikt. Volgens de AP kwalificeert de verstrekking van ledengegevens van leden die vóór 2007 lid zijn geworden aan sponsors daarom als een verdere verwerking. Daarvoor vraagt de sportbond geen toestemming aan haar leden, berust de verstrekking niet op een wettelijke bepaling en is de verwerking niet verenigbaar met het oorspronkelijke verzameldoel. Hiermee heeft de sportbond artikel 6 lid 4 AVG overtreden.

Na 2007

In 2007 heeft de sportbond een nieuw (verzamel)doeleinde geformuleerd: het gebruik van NAW-gegevens van leden voor reclameboodschappen van sponsors waarmee de sportbond extra inkomsten genereert. Omdat in dit geval sprake is van een apart geformuleerd (verzamel)doeleinde, hoeven de regels van artikel 6 lid 4 AVG niet te worden toegepast. Daarentegen heeft de AP wel getoetst of de sportbond een grondslag heeft om ledengegevens te verwerken voor dit nieuw geformuleerde (verzamel)doeleinde.

Maak het doeleinde concreet en leg dit vast voorafgaand aan de verwerking

Hieruit volgt dat verwerkingsverantwoordelijken voorafgaand aan de verwerking het doeleind van de verwerking concreet moeten formuleren. Doet de verwerkingsverantwoordelijke dit niet, dan moet de verenigbaarheidstoets (artikel 6 lid 4 AVG) worden toegepast. Ook ligt de nadruk op ‘voorafgaand’. Omdat de sportbond de nieuwe (verzamel)doeleinden pas na de nieuwe verwerking in haar privacybeleid en statuten had opgenomen, acht de AP deze niet relevant.

2. Een gerechtvaardigd belang moet terug te voeren zijn op een geschreven of ongeschreven rechtsregel of rechtsbeginsel.

Na 2007 werd het (verzamel)doeleinde ‘het gebruik van NAW-gegevens van leden voor reclameboodschappen van sponsors waarmee de sportbond extra inkomsten genereert’ bekend geacht. Volgens de sportbond verwerkt zij de ledengegevens voor dit doeleinde op grond van haar gerechtvaardigd belang.
Voor een geslaagd beroep op deze grondslag moet de verantwoordelijke kunnen aantonen dat hij (of een derde) daadwerkelijk over een gerechtvaardigd belang beschikt. Uit het boetebesluit volgt dat het belang van de verwerkingsverantwoordelijke in (algemene) wetgeving of elders in het recht moet zijn benoemd als een rechtsbelang. Het moet gaan om een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel moet worden gerespecteerd en kan worden ‘afgedwongen’. Zuiver commerciële belangen en het belang van winstmaximalisatie zijn onvoldoende specifiek en missen een dringend ‘wettelijk’ karakter zodat zij niet kunnen kwalificeren als gerechtvaardigde belangen.

3. De AP kan een boete opleggen zonder voorafgaand normoverdragend gesprek of brief.

De sportbond stelt dat de AP niet direct een boete had moeten opleggen, maar dat (eerst) een “normoverdragend” gesprek of brief had moeten worden gevoerd/gestuurd. Deze verplichting volgt volgens de sportbond uit het prioriteringsbeleid van de AP, waarin staat dat de AP een pragmatische benadering kiest waarbij zij doeltreffendheid en efficiëntie nastreeft.

De AP oordeelt echter dat het prioriteitsbeleid niet bindend is. Er rust dus geen verplichting op de AP om bij een overtreding normconform gedrag te realiseren (bijvoorbeeld door een gesprek of een brief). De AP oordeelt dat zij vrij is in haar keuze van het handhavingsinstrument, mits het gekozen instrument voldoende effectief is.

Tot slot

Organisaties die, net als deze sportbond, persoonsgegevens verkopen (of anderszins uitwisselen) voor direct marketingdoeleinden, doen er goed aan het boetebesluit nauwkeurig te bestuderen. De AP geeft namelijk aan dat, indien uit onderzoek zou blijken dat deze organisaties soortgelijke overtredingen hebben begaan, op dezelfde manier handhavend zal worden opgetreden. Daaruit kan worden afgeleid dat de AP strenger optreedt dan vaak wordt gedacht, en niet schroomt om hoge boetes op te leggen.

Meer weten over privacy en gegevensbescherming

Wilt u meer weten over privacy en gegevensbescherming? Neem dan contact op met Marloes Dankert via +31 (0)88 288 7437

Did you find this useful?