Direct marketing & GDPR: toestemming toch niet altijd vereist?
Vanwege de opkomst van GDPR-wetgeving zijn bedrijven meer gaan nadenken over de privacy van de (potentiële) klanten. Door al deze nieuwe regels kan men soms echter het bos door de bomen niet meer zien. Veel marketing-gerichte ondernemingen menen dan ook (onterecht) dat de verwerking van persoonsgegevens in het kader van direct marketing nu enkel met de toestemming van de klant kan gebeuren. Mr. Franklin legt uit waarom dit niet altijd het geval is.
Algemene Verordening Gegevensbescherming (AVG of GDPR)
De Algemene Verordening Gegevensbescherming (AVG, in het Engels General Data Protection Regulation genoemd) is in werking getreden op 25 mei 2018. Met deze nieuwe GDPR-normen wilde de wetgever de beveiliging en de transparantie rond de verwerking van de persoonsgegevens bevorderen.
​
Om deze doelstellingen te behalen moeten de ondernemingen processen waarin persoonsgegevens verwerkt worden in kaart brengen, zo nodig bijstellen en informatie over het verwerkingsproces verschaffen aan de betrokkenen.
​
​
Op wie is General Data Protection Regulation van toepassing?
De GDPR-normen zijn van toepassing op iedere entiteit die de persoonsgegevens van natuurlijke personen verwerkt. Ondernemingen kunnen dus niet zomaar zelf bepalen hoe ze persoonsgegevens zullen verzamelen, behandelen en beheren.
​
​
Persoonsgegevens
Persoonsgegevens zijn gegevens over een natuurlijke persoon waarmee deze persoon direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een e-mailadres of een naam.
​
Ook informatie die niet de mogelijkheid biedt om iemand rechtstreeks te identificeren, maar wel voldoende is om dit onrechtstreeks te kunnen doen, valt onder het begrip “persoonlijke gegevens”. Een goed voorbeeld van deze situatie is de kentekenplaat op je auto.
​
​
Verwerking
Het begrip “verwerking” van persoonsgegevens wordt door de wetgever ruim ingevuld. De GDPR-Verordening definieert “verwerking” als een bewerking of een geheel van bewerkingen met betrekking tot (een geheel van) persoonsgegevens. Zo valt het louter verzamelen en opslaan van persoonsgegevens onder het concept “verwerking”, evenals het vernietigen van deze gegevens.
​
Voor meer uitgebreide uitleg over het privacyrechtelijk concept “verwerken” kan je de officiële website van de Europese Commissie raadplegen.
​
​
Remarketing
Remarketing (of retargeting) is het opnieuw benaderen van de eerdere bezoekers van jouw website met meer gerichte advertenties. Deze advertenties zijn dan ook afgestemd op het gedrag van de gebruiker tijdens zijn eerdere bezoeken aan jouw website.
​
Remarketing is een vorm van profilering waarbij je de persoonsgegevens van de potentiële klanten gebruikt om ze meer gericht te kunnen benaderen. Omdat in dit geval sprake is van de verwerking van persoonlijke gegevens zijn de GDPR-normen ook hier van toepassing.
​
​
Direct marketing
​
Direct marketing is een vorm van marketing waarbij reclameboodschappen rechtstreeks gericht worden aan geïdentificeerde of identificeerbare personen. Het gaat dus om directe promotie bij de (potentiële) klant en niet van de tussenkanalen. Denk bijvoorbeeld aan email-marketing waarbij een email gestuurd wordt naar (potentiële) klanten. Zoekmachinemarketing is ook een voorbeeld van direct marketing.
​
Direct marketing brengt verwerking van persoonsgegevens met zich mee en valt bijgevolg onder het toepassingsgebied van de Algemene Verordening Gegevensbescherming.
​
​
Rechtsgrond verwerking persoonsgegevens
​
Volgens de huidige regeling rond gegevensbescherming moet de verwerking van persoonlijke gegevens altijd gebaseerd zijn op één van de door GDPR bepaalde rechtsgronden. In de meest voorkomende gevallen zal men de expliciete toestemming van de betrokkene als rechtsgrond gebruiken. Dit is ook waarom je nu op bijna elke website een checkbox ziet verschijnen waarbij je kan aanvinken of de betrokken onderneming jou mag contacteren.
​
De uitdrukkelijke toestemming van de betrokkene is echter niet altijd de enige passende rechtsgrond. De GDPR voorziet zes rechtsgronden waarop een verwerking van persoonsgegevens gebaseerd dient te zijn, en toestemming is daar maar één van. In sommige gevallen zijn er dus nog andere mogelijkheden om het feit dat je als marketeer gegevens verwerkt te rechtvaardigen.
​
We lichten de meest frequent gebruikte rechtsgronden kort toe.
​
​
Voorafgaande toestemming
​
Een van de mogelijke rechtsgronden voor de verwerking van persoonsgegevens in het kader van direct marketing is de voorafgaande toestemming van de gebruiker. De AVG stelt 4 cumulatieve criteria voorop waaraan voldaan moet zijn opdat men van een geldige toestemming kan spreken:
​
​
Geïnformeerde keuze
​
De betrokkene moet goed begrijpen waarvoor hij zijn toestemming precies geeft. Deze voorwaarde houdt in dat de entiteit die persoonsgegevens verwerkt de betrokkene goed moet informeren over het doel, het verloop en de frequentie van deze verwerking. De informatie moet bovendien geformuleerd worden in begrijpelijke taal en moet helder en volledig zijn.
​
Het volstaat niet dat deze informatie toegankelijk is. De onderneming moet de betrokkenen ook actief informeren over de gegevensverwerking.
​
https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.-01-2020.pdf
​
​
Vrije keuze
​
De toestemming als rechtsgrond is niet geldig indien de toestemming nodig is om een bepaald nadeel te voorkomen of de toestemming niet ten alle tijden intrekbaar is. Voor de betrokkene moet er dus een reële mogelijkheid bestaan om de verwerking van zijn persoonlijke gegevens te weigeren.
​
​
Specifieke toestemming
​
De wetgever wou met deze voorwaarde de betrokkene een zekere mate van controle geven over het gebruik van de verkregen persoonsgegevens. Dit hangt ook samen met de transparantieverplichting in hoofde van de gegevensverwerker.
De toestemming moet dus gegeven worden voor een of meerdere specifieke direct marketingdoeleinden. Houdt de gegevensverwerker meerdere doeleinden voor ogen, dan moet de betrokkene uit deze doeleinden kunnen kiezen indien hij niet met ze allemaal wil instemmen.
Uitdrukkelijke toestemming: opt-in, niet opt-out
Volgens de GDPR is het geven van een actieve toestemming vereist: het akkoord van de betrokkene moet blijken uit een duidelijke, ondubbelzinnige, positieve handeling. Een vooraf aangevinkte checkbox, waarbij de betrokkene het vinkje moet wegnemen om niet akkoord te gaan met de gegevensverwerking (opt-out), is dus niet meer aan de orde. Naar de huidige GDPR-normen moet je gebruik maken van een opt-in systeem, waarbij de betrokkene zelf de checkbox moet aanvinken om zijn toestemming te geven.
​
Impliciete toestemming is dus ongeldig. De techniek waarbij een website aankondigt dat de betrokkene automatisch akkoord gaat met de gegevensverwerking door verder te surfen is daardoor nu ook verboden.
​
​
Gerechtvaardigd belang
Het is een vaak voorkomende misvatting dat voor direct marketing steeds voorafgaande toestemming vereist is van de ontvanger. De overweging 47 van de GDPR-Verordening stelt uitdrukkelijk dat gerechtvaardigd belang een geldige rechtsgrond voor de verwerking van persoonsgegevens in het kader van direct marketing kan vormen.
​
Bij het verwerken van persoonsgegevens dient dan een afweging te worden gemaakt tussen het belang van de onderneming en het recht op privacy van de betrokkene. Om gerechtvaardigd belang van de onderneming als rechtsgrond te gebruiken moet dit belang dan ook doorslaan. Dit wordt geval per geval beoordeeld.
​
Let op: de mogelijkheid om direct marketing te steunen op gerechtvaardigde belangen geldt niet voor elektronische direct marketing. In dit geval moet rekening worden gehouden met de Richtlijn betreffende privacy en elektronische communicatie (e-Privacy richtlijn).
​
​
Data Protection Officer
Een Data Protection Officer (DPO) is een onafhankelijk persoon die toeziet op de naleving van de GDPR binnen een onderneming.
​
In sommige gevallen is het aanstellen van een Data Protection Officer verplicht. In deze blogpost van Mr. Franklin kan je inschatten of een dergelijke verplichting voor jouw onderneming geldt.
​
Als gecertificeerde DPO’s staan de experts van Mr. Franklin tientallen ondernemingen bij als DPO, en dat tegen vaste prijzen. Je kan bij ons terecht voor bijstand in procedures voor de Gegevensbeschermingsautoriteit (GBA), zoals een aangifte datalek of een procedure voor de Geschillenkamer, net zoals bij procedures voor de rechtbank (bijvoorbeeld indien je de opgelegde sancties wil aanvechten).
Waarom de GDPR-experts van Mr. Franklin?
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in het aanbieden van allerhande GDPR-diensten. Wij staan in voor innovatieve, maar telkens kwalitatieve service en hechten veel belang aan continue verbetering van onze expertise. Dankzij onze ervaring en kennis is Mr. Franklin uitgekozen om een opleidingstraject rond cybersecurity en GDPR te realiseren ingevolge de oproep 539 Cybersecurity (ESF).
​
Mr. Franklin biedt onder andere all-in-one formules aan om jouw onderneming GDPR-proof te maken. Neem vrijblijvend contact op met onze experts voor meer informatie omtrent onze dienstverlening.
CONTACTEER ONS!
OOK ZIJ DEDEN EEN BEROEP OP MR. FRANKLIN
Mr. Franklin levert ons een prima ondersteuning op vlak van juridische IT bijstand, GDPR, eigendomsrecht en financiële geschillen. Gedrevenheid, snelheid, passie voor het vak, correctheid zijn slechts enkele kernwoorden die Mr. Franklin & hun team typeren.
Xavier Goegebeur / Link Optimizer
Mr. Franklin geeft altijd kwalitatief werk voor een duidelijke prijs.
Alain Carels / Carbofisc