Op 17 januari 2020 heeft de Gegevensbeschermingsautoriteit ("GBA") haar aanbeveling nr. 01/2020 betreffende de verwerking van persoonsgegevens voor direct marketing doeleinden gepubliceerd. De GBA legt hierin de spelregels uit met betrekking tot direct marketing onder de GDPR. De aanbeveling beantwoordt de meest gestelde vragen en bevat tal van nuttige voorbeelden voor al wie zich bezighoudt met direct marketing. De aanbeveling kadert in de uitvoering van het strategisch plan 2019-2025, waarin direct marketing werd aangemerkt als één van de prioriteiten van de GBA.
De aanbeveling van de GBA is behoorlijk omvangrijk (79 blz.) en behandelt zowat alle GDPR-aspecten van direct marketing. De voornaamste punten zijn de volgende:
- Bij gebrek aan wettelijke definitie, omschrijft de GBA het begrip "direct marketing" als:
"Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan één of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt."Het gaat bijgevolg niet alleen om boodschappen met een commercieel oogmerk of lucratieve doeleinden. Ook communicaties van niet-commerciële organisaties (zoals bv. politieke partijen, belangenverenigingen) kunnen bijgevolg direct marketing uitmaken. De GBA bevestigt ook dat strikt persoonlijke communicaties, nieuwjaarsgroeten, peilingen of tevredenheidsenquêtes in principe geen direct marketing uitmaken.
- Direct marketing zoals gedefinieerd door de GBA brengt steeds de verwerking van persoonsgegevens met zich mee en is bijgevolg enkel mogelijk op basis van een geldige rechtsgrond onder de GDPR. In de praktijk zullen organisaties zich ofwel baseren op de uitdrukkelijke GDPR-conforme toestemming van de betrokkenen, ofwel op hun gerechtvaardigde belangen. Bij elektronische ongevraagde directe marketingberichten voor commerciële doeleinden zal onder de e-privacy wetgeving toestemming in principe verplicht zijn, al kan hiervan voor bestaande klanten onder bepaalde voorwaarden worden afgeweken. De GBA licht uitvoerig toe hoe de toepasselijke rechtsgrond moet worden bepaald en hoe desgevallend een geldige toestemming moet worden verkregen. Een toestemming voor direct marketing zal bijvoorbeeld niet vrij zijn als deze geldt als voorwaarde voor het gebruik van een dienst of het bekomen van voordelen en kortingen.
- Aan de ontvangers van direct marketing moet op duidelijke en eenvoudige wijze de mogelijkheid worden geboden om hun recht van bezwaar (bij gerechtvaardigd belang) of intrekking (bij toestemming) uit te oefenen. In voorkomend geval zullen de gegevens niet meer voor deze doeleinden mogen worden verwerkt. Verder moeten ook alle andere verzoeken tot uitoefening van rechten (bv. het recht op inzage of kopie, verbetering enz.) correct worden opgevolgd.
- Voor alle betrokken natuurlijke of rechtspersonen moet worden bepaald of zij kwalificeren als afzonderlijke verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken (bv. in geval van een gemeenschappelijk internetplatform voor het inzamelen en delen van klantgegevens) of als verwerkers (bv. voor de levering van marketing- en reclamecommunicatieservices). Met verwerkers moet een zgn. verwerkersovereenkomst worden gesloten en gezamenlijke verwerkingsverantwoordelijken moeten een onderlinge regeling treffen om hun respectievelijke verantwoordelijkheden onder de GDPR vast te leggen.
- Bijzondere aandacht moet worden gegeven aan organisaties gespecialiseerd in het aggregeren, doorverkopen, verhuren of verhandelen van gegevens (bv. zogenaamde "data brokers"). Voor deze verwerkingen zal in principe de voorafgaande geïnformeerde toestemming van de betrokkenen vereist zijn. Ondernemingen die beroep doen op dergelijke partners moeten de betrokkenen ook zelf informeren en hebben de verplichting om na te gaan of de gegevens door de partner op GDPR-conforme wijze werden verzameld en verwerkt. Zo niet kunnen ook zij gesanctioneerd worden wegens niet-naleving van de GDPR.
- De betrokkenen moeten gedetailleerde informatie ontvangen met daarin alle verplichte gegevens vermeld in de GDPR. Deze informatie moet worden verstrekt in duidelijke, eenvoudige en toegankelijke bewoordingen. De verwerkingsdoeleinden moeten nauwkeurig worden beschreven in de privacy kennisgeving, alsook in het (intern) register van de verwerkingsactiviteiten. De loutere verwijzing naar "direct marketingdoeleinden" zal in de meeste gevallen niet volstaan. Bij hergebruik van gegevens voor direct marketing moet worden nagegaan of dit wel in overeenstemming is met het doel waarvoor deze oorspronkelijk worden verzameld en of hiervoor een geldige rechtsgrond bestaat.
- De kennisgeving en het register zullen niet enkel informatie moeten bevatten over de verwerkingsdoeleinden, maar ook over de verwerkingsoperaties (bv. een profiel opstellen van bepaalde personen door gegevens over hen te combineren, gebruik maken van de berichtendienst van een sociaal netwerk om berichten te sturen enz.).
- Bijzondere voorzichtigheid is geboden bij het opstellen van profielen ("profilering"), gezien dit voor de betrokkenen mogelijk negatieve gevolgen kan hebben. Als direct marketing beslissingen voortbrengt met rechtsgevolgen of een aanmerkelijke impact en deze beslissingen uitsluitend gebaseerd zijn op een geautomatiseerde verwerking (bv. het aanbieden van producten onder andere voorwaarden in functie van profielen) gelden specifieke regels. Zo zal hiervoor de uitdrukkelijke toestemming van de betrokkenen vereist zijn.
- Als cookies worden geplaatst met het oog op direct marketing zal hiervoor een geldige toestemming moeten worden verkregen. De GBA geeft voorbeelden van formuleringen die in de informatiebanner kunnen worden opgenomen.
- Enkel gegevens die strikt noodzakelijk zijn voor de direct marketing doeleinden kunnen worden verwerkt. Deze gegevens mogen bovendien niet langer worden bewaard dan nodig (de GBA beveelt geen standaard bewaartermijn aangezien dit geval per geval zal moeten worden beoordeeld).
Actiepunt
Ga na of het direct marketingbeleid van uw onderneming voldoet aan de wetgeving inzake gegevensbescherming, de e-privacy wetgeving en de recente aanbevelingen van de GBA. Ons data protection team kan u hierbij uiteraard bijstaan.