Is datahandel nu mogelijk na de KNLTB-uitspraak?

Waarom moet je gerechtvaardigde belangen hebben?

Voor het verwerken van persoonsgegevens is altijd een zogenaamde rechtsgrond nodig. In de AVG staan zes rechtsgronden op basis waarvan persoonsgegevens mogen worden gebruikt. Twee daarvan zijn de toestemming en de gerechtvaardigde belangen van de partij die de gegevens gebruikt (of die van een ander).

Als voor de verkoop van (klant)gegevens geen toestemming wordt gevraagd, kan dat in feite alleen gebeuren op basis van de rechtsgrond van het gerechtvaardigd belang. 

Wat was er in de KNLTB-zaak gebeurd? 

De KNTLB had gegevens van leden doorverkocht aan twee sponsoren (TennisDirect en de Nederlandse Loterij Organisatie BV (NLO)) zonder daar hun toestemming voor te vragen. TennisDirect verkoopt tennisproducten en de NLO is een kans- en gokspelaanbieder. De gegevens werden doorverkocht zodat deze bedrijven commerciële aanbiedingen konden doen aan de tennisleden. Tennisleden die daar niet zo gediend van waren dienden klachten in bij de Autoriteit Persoonsgegevens (AP). Deze legde voor het doorverkopen van de gegevens een boete op van 525.000 euro.

De AP en stelde daarbij dat zuiver commerciële belangen niet kunnen worden aangemerkt als gerechtvaardigde belangen. Daarmee hanteerde de privacy-toezichthouder een erg strikte uitleg van het begrip gerechtvaardigd belang. De AVG sluit commerciële belangen namelijk niet expliciet als gerechtvaardigde belangen uit. Daarin staat juist dat bijvoorbeeld direct marketing kan worden gezien als een gerechtvaardigd belang van een bedrijf om persoonsgegevens te verwerken.

Het Hof van Justitie heeft nu bevestigd dat deze uitleg van de AP te strikt was: commerciële belangen kúnnen gerechtvaardigde belangen zijn. 

Is het hebben van commerciële belangen voldoende om (klant)gegevens door te kunnen verkopen? 

Maar, het hebben van een commercieel belang op zich is niet voldoende om (klant)gegevens door te kunnen verkopen.

Om dat te doen op basis van de gerechtvaardigd belang rechtsgrond is ook nodig dat:

1. Het verkopen noodzakelijk is om die belangen te behartigen. 
2. De (privacy)rechten van de persoon om wiens gegevens het gaat niet vóór gaan. 

Dit betekent dat de partij die overweegt persoonsgegevens van klanten door te verkopen, eerst een afweging moet maken tussen zijn commerciële belangen en de belangen van de personen om wie het gaat.

Hoe moet de belangenafweging worden gemaakt? 

Hoe maak je nu die afweging? Daarvoor moet je kijken naar verschillende factoren:

• In welke context zijn de persoonsgegevens verzameld? Is dat in verband met een bepaalde commerciële actie, of gaat het bijvoorbeeld om gegevens die een klant afstaat nadat deze een bestelling heeft gedaan of om gegevens van leden van een sportvereniging?
• Welke relatie heeft de organisatie die de persoonsgegevens verzamelt met de betreffende persoon? Is dat een rechtstreekse relatie of een organisatie die zelf gegevens heeft ontvangen? 
• Om welk soort gegevens gaat het? Gaat het alleen om contactgegevens of gaat het om gevoeligere gegevens zoals financiële gegevens, uitgebreide bestelprofielen of gegevens over de gezondheid? Hoe gevoeliger de gegevens, hoe zwaarder de belangen van de betrokken personen wegen. 
• Welke gegevens worden gedeeld? Er mogen niet meer gegevens worden gedeeld dan noodzakelijk is voor de commerciële belangen. 
• Aan wie worden de persoonsgegevens doorverkocht en wat gaat die partij met de gegevens doen? Is het een partij die iets heel anders doet of zijn ze in dezelfde markt actief? Gaat die partij alleen commerciële e-mails sturen of gaat deze uitgebreide profielen opbouwen en deze weer doorverkopen, of de gegevens bijvoorbeeld gebruiken voor kredietinformatie databases?
• Is voldoende duidelijk gemaakt aan de personen dat hun gegevens worden doorverkocht?
• Hebben de personen de mogelijkheid gekregen om bezwaar te maken tegen de doorverkoop (te opt-outen)?
• Is het doorverkopen in de privacyverklaring omschreven en is daarin ook aangegeven aan welke (soorten) partijen de gegevens worden doorverkocht?
• Kortom: kunnen de personen om wiens gegevens het gaat redelijkerwijs verwachten dat hun gegevens worden doorverkocht voor commerciële doeleinden? Als de personen dat redelijkerwijs niet hoeven te verwachten dan gaan de belangen voor en mogen de persoonsgegevens niet worden doorverkocht op grond van de gerechtvaardigd belang rechtsgrond.

Mocht de KNLTB nu wel of niet de gegevens van de leden doorverkopen?

Het Hof van Justitie heeft geen antwoord gegeven op de vraag of de KNLTB nu wel of niet de gegevens van haar leden mocht doorverkopen. Dat komt omdat het Hof zich alleen mag buigen over juridische vragen en niet over feitelijke vragen. De Nederlandse rechter moet dus nog beoordelen of de KNLTB zich op de gerechtvaardigd belang rechtsgrond kon beroepen.

Daarbij laat het Hof wel enigszins doorschemeren dat het de vraag is of de leden, toen zij lid werden van een tennisvereniging, redelijkerwijs mochten verwachten dat hun gegevens zouden worden doorverkocht aan sponsoren. Zeker als het gaat om aanbieders van kansspelen en casinospelen.

Wat betekent dit voor partijen die (klant)gegevens door willen verkopen?

Het is dus niet zo dat datahandel nu zomaar is toegestaan, voorzichtigheid is nog steeds geboden.

Partijen die (klant)gegevens door willen verkopen zullen nog steeds een belangenafweging moeten maken om na te gaan of dat kan zonder toestemming van de betreffende personen. Zoals uit het bovenstaande blijkt hangt het erg af van de omstandigheden of dit mag. De belangenafweging zal, gezien de documentatieplicht van de AVG, ook ergens moeten worden vastgelegd en als het om complexe situaties gaat, kan zelfs een Data Protection Impact Assessment (DPIA) nodig zijn.