Persoonsgegevens mogen alleen gebruikt (verwerkt) worden op basis van een wettelijke rechtmatigheidsgrond. Een veelgebruikte rechtmatigheidsgrond is het “gerechtvaardigd belang”. In het KNLTB-arrest oordeelt het HvJ EU dat ook commerciële belangen een “gerechtvaardigd” belang kunnen vormen in de zin van art. 6 lid 1 onder f AVG. Daarmee kunnen dus ook commerciële belangen dienen als rechtvaardiging voor het gebruik van persoonsgegevens voor bijvoorbeeld gepersonaliseerde advertenties of marketing. In dezelfde uitspraak heeft het Hof van Justitie van de Europese Unie (HvJ EU) echter de teugels stevig aangetrokken en strenge voorwaarden gesteld aan het gebruik van gerechtvaardigd belang als grond om persoonsgegevens te gebruiken. Met name online marketeers en e-commerce-ondernemers zullen merken dat het moeilijker wordt om een beroep te doen op deze rechtsgrond. Zij moeten als gevolg van de uitspraak vaker toestemming vragen en beter documenteren. Dit blog gaat in op de gevolgen van het KNLTB-arrest voor marketeers en e-commerce ondernemers.
De feiten van het KNLTB-arrest
In 2020 heeft de Autoriteit Persoonsgegevens (AP) een boete opgelegd aan de Koninklijke Nederlandse Lawn Tennisbond (KNLTB). Aanleiding daarvoor was dat de KNLTB haar ledenbestand heeft doorverkocht aan, onder meer, gokwebsites. De gegevens werden dus verwerkt voor een commercieel belang (het verspreiden van gokreclame). De Autoriteit stelde zich op het standpunt dat alleen belangen die expliciet zijn beschermd volgen het Europees of nationaal recht, gerechtvaardigd kunnen zijn. Er is geen wet die expliciet commercie beschermt, dus het commerciële belang van de KNLTB telt niet mee, aldus de AP. De Autoriteit neemt dus als uitgangspunt dat iets pas mag als het expliciet is toegestaan.
Dit standpunt van de AP was, op zijn zachtst gezegd, zeer controversieel en verstrekkend. Het commercieel belang is natuurlijk de raison d’être voor de meeste organisaties. Uiteindelijk vinden de meeste gegevensverwerkingen plaats vanwege een commercieel belang. Het standpunt van de AP betekent dus dat het eigen belang van de verwerkingsverantwoordelijke in de meeste gevallen niet meer meetelt.
Uiteindelijk heeft de KNLTB de boete aangevochten, waarna het hof Amsterdam prejudiciële vragen heeft gesteld.
Rechtmatigheidsgronden in de AVG
Het gebruiken van persoonsgegevens wordt ook wel “verwerken” genoemd. Iedere verwerking van persoonsgegevens moet rechtmatig zijn en noodzakelijk voor een welbepaald en specifiek doel (art. 5 AVG). Het KNLTB-arrest gaat over de vraag wanneer een verwerking rechtmatig is. Volgens art. 6 AVG is een verwerking alleen rechtmatig als deze gebaseerd kan worden op één van de zes gronden die in dat artikel staan.
a. Toestemming
b. Voor de uitvoering van een overeenkomst
c. Om te voldoen aan een wettelijke verplichting
d. Om de vitale belangen van de betrokkene te beschermen
e. Voor de vervulling van een taak van algemeen belang
f. Voor een gerechtvaardigd belang
Het HvJ EU verduidelijkt in het KNLTB-arrest dat uitgangspunt is dat de betrokkene toestemming moet geven voor de verwerking (a-grond). Als geen rechtsgeldige toestemming is gegeven dan moet worden gekeken of één van de andere gronden van toepassing is (b t/m f). Die andere gronden moeten wél beperkt worden uitgelegd.
(Online-)gegevensverwerkers maken liever geen gebruik van toestemming. Dat heeft twee redenen. Ten eerste is toestemming alleen geldig als deze vrij, specifiek, geïnformeerd en ondubbelzinnig wordt gegeven (art. 7 AVG). Het is niet gemakkelijk om aan al deze voorwaarden te voldoen. Ten tweede vereist toestemming een actieve handeling. Ervaring leert dat de meeste gebruikers (zeker op internet) niet de moeite nemen om die actieve handeling te verrichten Daardoor is de conversie vaak laag.
Daarom proberen marketeers vaak een andere grondslag te vinden om hun advertentie-gegevens te verwerken. Bijvoorbeeld Meta (Facebook), die stelde dat het aanbieden van gepersonaliseerde advertenties noodzakelijk was voor de uitvoering van haar overeenkomst met de gebruikers (b-grond). In 2023 oordeelde het HvJ EU dat de b-grond alleen gebruikt mag worden indien het zonder de gegevensverwerking objectief onmogelijk is om de tegenprestatie aan de betrokkene te leveren. Bijvoorbeeld een webwinkel moet adresgegevens verwerken om het product te kunnen verzenden. In het geval van Facebook zijn gepersonaliseerde advertenties waarschijnlijk niet objectief onmogelijk om een sociaal netwerk aan te bieden.
Het KNLTB-arrest gaat over de toepassing van art. 6 lid 1 onder f AVG. Wil met succes een beroep op de f-grond gedaan kunnen worden, moet aan drie voorwaarden zijn voldaan:
- Er moet sprake zijn van een gerechtvaardigd belang
- De verwerking moet noodzakelijk zijn
- De belangen van betrokkenen mogen niet zwaarder wegen dan die van de verwerkingsverantwoordelijke.
KNLTB en gerechtvaardigd belang
In het KNLTB-arrest oordeelt het HvJ EU dat in feite vrijwel ieder belang een gerechtvaardigd belang kan zijn, zolang dat belang niet expliciet verboden is. Ook commerciële belangen kunnen dus een gerechtvaardigd belang voor een verwerking zijn. In dat opzicht wordt de Autoriteit Persoonsgegevens dus in het ongelijk gesteld.
Tot zover is het KNLTB-arrest dus een behoorlijke opluchting. Het betekent dat een verwerkingsverantwoordelijke in beginsel persoonsgegevens mag verwerken om zijn eigen commerciële belang te dienen. Bijvoorbeeld voor reclame, gepersonaliseerde advertenties, online tracking, etc.
Noodzakelijkheid
Daarmee is de kous echter niet af. Het HvJ EU gaat ook in op de eis van noodzakelijkheid. Volgens het HvJ EU is een verwerking pas “noodzakelijk” als het beoogde doel niet redelijkerwijs op een andere manier kan worden bereikt. Als verwerkingsverantwoordelijke moet je dus zoeken naar alternatieven die minder bezwarend zijn. Het HvJ EU noemt in het KNLTB-arrest als alternatief dat de tennisbond ook de leden had kunnen vragen of zij willen dat hun gegevens worden doorverkocht aan de gokwebsites. Dan houden de betrokkenen de controle over hun gegevens, zo is de gedachte van het HvJ EU. In een andere casus noemt het HvJ EU als alternatieve mogelijkheid dat de verwerkingsverantwoordelijke zelf de reclame doorstuurt (in plaats van de ledenadministratie over te dragen). Het Hof verlangt dus dat de verwerkingsverantwoordelijke eerst moet kijken of toestemming mogelijk is. Voor online marketing heeft dat natuurlijk vervelende gevolgen omdat de conversie bij toestemming doorgaans veel lager is. Aan de andere kant bereikt de marketing dan natuurlijk wel alleen de partijen die daadwerkelijk geïnteresseerd zijn.
Het noodzakelijkheidsvereiste hangt bovendien nauw samen met het beginsel van gegevensminimalisatie. Volgens dat beginsel moeten de persoonsgegevens adequaat relevant en beperkt zijn tot hetgeen noodzakelijk is. Dat betekent dat er dus niet méér, maar ook niet minder gegevens verwerkt mogen worden dan noodzakelijk. In het Schrems-arrest bepaalt het HvJ EU dat de verwerkingsverantwoordelijke niet ongelimiteerd gegevens mag gebruiken voor gepersonaliseerde advertenties. De verantwoordelijke moet altijd kunnen aantonen dat hij niet meer/langer gegevens verwerkt dan strikt noodzakelijk. Dat betekent dat profielen dus niet gebaseerd mogen worden op té oude gegevens.
Belangenafweging
Tot slot moet een belangenafweging plaatsvinden. Daarbij moet de verwerkingsverantwoordelijke aantonen dat de belangen van de betrokkenen niet zwaarder wegen dan het belang dat gediend wordt met de verwerking. Volgens het HvJ EU moet bij die afweging met name rekening worden gehouden met de redelijke verwachtingen van de betrokkene ten tijde van het verzamelen van de data. Met andere woorden, had iemand die lid wordt van de tennisvereniging redelijkerwijs moeten verwachten dat zijn gegevens later voor geld worden verstrekt aan een gokbedrijf? Dat betekent ook dat als men het publiek goed informeert, de belangenafweging eerder in het voordeel van de verwerkingsverantwoordelijke valt. Het is niet duidelijk of een enkele vermelding in de privacy statement voldoende is, omdat die statement niet door iedere betrokkene even zorgvuldig gelezen wordt.
Daarnaast moet volgens het HvJ EU rekening worden gehouden met de omvang van de verwerking. Wie op grotere schaal gegevens verwerkt, moet dus een groter belang hebben.
Bewijslast en informatieplicht
Volgens art. 5 AVG heeft de verwerkingsverantwoordelijke een verantwoordingsplicht. Dat wil zeggen dat de verantwoordelijke moet kunnen aantonen dat hij voldoet aan de vereisten van de AVG. Volgens het Hof van Justitie betekent dit dat de verwerkingsverantwoordelijke in een procedure moet bewijzen dat er een rechtmatigheidsgrondslag is én dat er is voldaan aan de drie vereisten van art. 6 lid 1 onder f AVG. Als online marketeer / e-commerce ondernemer is het dus verstandig goed vast te leggen welk belang gediend wordt met de verwerking, waarom deze noodzakelijk is én waarom de belangen van de betrokkenen niet zwaarder wegen dan de gerechtvaardigde belangen.
Daarnaast benadrukt het HvJ EU dat de betrokkene ook geïnformeerd moet worden over de belangen én de redenen waarom de verwerking noodzakelijk is en de belangenafweging. Wie dus een beroep wil doen op het gerechtvaardigd belang kan niet volstaan met een enkel vinkje in de privacy statement, maar moet actief toelichten waarom.
Takeaways
- Commerciële belangen kunnen gerechtvaardigde belangen zijn. In beginsel mag je dus persoonsgegevens gebruiken voor advertentiedoeleinden.
- De grondslag gerechtvaardigd belang is breed toepasbaar, maar wel aan strenge eisen gebonden.
- De verwerking moet noodzakelijk zijn. Daarom moet worden goed toegelicht waarom alternatieven redelijkerwijs niet werken. Daarbij is het noodzakelijk om zich tot relevante data te beperken.
- De impact die de verwerking kan hebben op de betrokkenen is hier van belang. In de KNLTB-arrest oordeelt het HvJ EU dat blootstelling aan gokreclame kán leiden tot gokverslaving.
Het is van belang om goed te documenteren waarom de grondslag gerechtvaardigd belang mag worden toegepast. De betrokkene moet hierover ook geïnformeerd worden.
Dit is een artikel van mr. Stephan Mulders, advocaat bij Van Diepen Van der Kroef Advocaten te Amsterdam.
Van Diepen Van der Kroef Advocaten helpt u graag bij alle vragen omtrent de bescherming van persoonsgegevens. Neem graag contact op met Dr. Bartosz Sujecki, advocaat/Rechtsanwalt en partner IT/IE bij Van Diepen Van der Kroef Advocaten te Amsterdam, via b.sujecki@vandiepen-2023.10web.site of via 020 – 574 74 74.