3 minute read
BELEXA ADVOCATEN
Is uw direct marketing GDPR-proof?
In januari heeft de Gegevensbeschermingsautoriteit richtsnoeren vastgesteld voor direct marketing, als ondersteuning van de verwerkingsverantwoordelijken. Zij biedt hiermee een kader van goede praktijken. Een korte toelichting.
Het doel van de richtsnoeren is de verwerkingsverantwoordelijken die gebruik maken van direct marketingtechnieken te helpen de juiste reflexen te ontwikkelen zodat ze overeenkomstig de regels van GDPR kunnen handelen. U bent verwerkingsverantwoordelijke wanneer u, alleen of samen met anderen, de doeleinden en de middelen voor de verwer king van persoonsgegevens bepaalt. Wie beslist om persoonsgegevens en welk type van persoonsgegevens te verzamelen? Wie bepaalt waarvoor die persoonsgegevens worden gebruikt? Wie bepaalt en waarborgt de rechtsgrond om dit te doen? Etc.
DOELEINDE VOOR DE VERZAMELING VAN PERSOONSGEGEVENS Het is een cruciale verplichting van een verwerkingsverantwoordelijke om de doeleinden waarvoor persoonsgegevens verwerkt worden, te bepalen. Een correcte bepaling van uw verwerkingsdoeleinden is essentieel voor de proportionaliteitstoets van de gegevens en dus van uw verwerkingen. De mededeling “wij verwerken uw gegevens voor direct marketingdoeleinden” is meestal onvoldoende. In het licht van die proportio naliteitstoets is meestal verdere detaillering vereist, rekening houdende met de type marketingcommunicatie, de frequentie ervan, de inhoud ervan (informatie over een product, een nieuwsbrief, kortingsbonnen) of de complexiteit van de verwerking (b.v. op basis van klantenprofiel). U mag enkel persoonsgegevens verwerken voor reële en bestaande doeleinden, of indien het om potentiële doeleinden gaat, voor doel einden die in de nabije toekomst realistisch zijn in het licht van uw huidige activiteit.
VERWERKINGSOPERATIES IN KAART BRENGEN Naast de doeleinden waarvoor u persoonsgegevens verwerkt, moet u ook alle verwerkingsoperaties in kaart brengen. De regelgeving is streng wanneer op basis van een geautomatiseerde verwerking van gegevens automatisch bepaalde beslissingen worden genomen; dan is de uitdrukkelijke toestemming van de betrokken persoon immers vereist.
ENKEL DE NODIGE PERSOONSGEGEVENS VERZAMELEN Identificeer tevens de gegevens die nodig zijn om de bepaalde doeleinden na te streven. Het gaat er niet om zoveel mogelijk gegevens te verzamelen; er kunnen enkel persoons gegevens worden verzameld en opgeslaan die u echt nodig heeft. Dit impliceert ook dat de bewaartermijn voor gegevens tot het strikte minimum moet worden beperkt. U moet ook de bescherming van de gegevens waarborgen.
CONTROLEER DE RECHTSGROND VOOR HET GEBRUIK VAN PERSOONSGEGEVENS Er is geen enkel automatisch recht om persoonsgegevens te gebruiken. Wanneer u ongevraagde direct marketingberichten elektronisch verstuurt, voor commerciële doeleinden, moet u de voorafgaande toe stemming hebben gekregen. De wetgeving voorziet echter, wanneer u zich beroept op de rechtsgrond van “gerechtvaardigd belang”, in een zogenaamde “soft opt-in”-uit zondering voor elektronische post met het oog op direct marketing, gericht aan bestaande klanten van wie een organisatie de elektronische contactgegevens heeft verkre gen in het kader van de verkoop van een product of dienst op zichzelf. In dit verband kan elektronische post worden verstuurd met het oog op direct marketing van eigen soort gelijke producten of diensten, op voorwaarde dat deze klanten duidelijk en uitdrukkelijk de mogelijkheid wordt geboden om kosteloos en op een eenvoudige wijze bezwaar te maken tegen een dergelijk gebruik van elektroni sche contactgegevens op het moment dat zij worden verzameld en op het moment van elk bericht. Indien u gebruik wenst te maken van deze uitzondering, moet u zich houden aan al deze voorwaarden. Zelfs dan nog moet steeds een gerechtvaardigd belang worden nagestreefd, moet de verwerking van persoonsgegevens noodzakelijk zijn voor de verwezenlijk van dat belang, en dient dat belang in het voordeel van de verwerkings verantwoordelijke te worden afgewogen ten opzichte van de belangen, fundamentele vrij heden en grondrechten van de betrokkene. Dit laatste wordt veel strenger beoordeeld ten aanzien van minderjarigen. Met het gebruik van persoonsgegevens kan de betrokkene uiteraard ook ingestemd heb ben. De levering van producten of diensten mag daarbij niet afhankelijk worden gesteld van de aanvaarding van de verwerking van persoonsgegevens die niet noodzakelijk zijn voor die levering. De verwerkingsverant woordelijke moet kunnen aantonen dat hij de vereiste toestemming heeft ontvangen. Het is duidelijk dat de Gegevensbescher mingsautoriteit met deze richtsnoeren de bedrijven wenst te sensibiliseren. Onge twijfeld zal deze autoriteit met tijd hogere verwachtingen hebben en dus strenger optreden bij inbreuken of naar aanleiding van klachten. Benoit Beele, Managing Partner
Kwaliteitsvolle juridische ondersteuning.
De kracht van uw zaak.
advies | overeenkomsten | geschillenoplossing
