Hoewel de Algemene Verordening Gegevensbescherming (“AVG” of “GDPR” in het Engels) op 25 mei 2018 in werking trad, blijft de naleving hiervan nog steeds een uitdaging voor veel bedrijven, met name voor franchisenetwerken. Deze commerciële samenwerking tussen bedrijven gaat uiteraard gepaard met de verwerking van persoonsgegevens waarop de AVG van toepassing is, of het nu gaat om gegevens van klanten, personeel of leveranciers.
De persoonlijke gegevens van klanten zijn van aanzienlijke commerciële waarde voor zowel franchisegever als franchisenemer en worden vaak massaal verzameld. Deze klantgegevens kunnen contactgegevens, betalings- en betaalkaartgegevens, geolocatie-informatie, aankooptrends, enz. omvatten. Al deze gegevens, gecombineerd met statistische of analytische software of algoritmen, kunnen worden gebruikt om gepersonaliseerde loyaliteitsprogramma’s op te zetten, om de interesses van klanten beter te identificeren, om nieuwe producten te ontwikkelen, enzovoort.
Deze gegevensverwerking heeft ongetwijfeld voordelen, maar is niet zonder risico wat betreft de AVG.
Ten eerste kunnen nationale toezichthoudende autoriteiten inbreuken op de belangrijkste bepalingen van de AVG bestraffen met administratieve boetes, waarvan de hoogste bedragen kunnen oplopen tot 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet. Naast een aanzienlijke geldboete kan het niet naleven van de regels voor gegevensbescherming en privacy de reputatie van het hele franchisenetwerk schaden. De GBA heeft inmiddels boetes kunnen opleggen tot 30.000 euro (besluit 77/2023) of zelfs 100.000 euro (besluit 56/2021).
Franchisenetwerken: de rol van elke partij met betrekking tot de AVG
Om aan de AVG te voldoen, is het noodzakelijk om eerst de verantwoordelijke voor de verwerking te identificeren: het is inderdaad hij die aan de bepalingen van de AVG moet voldoen en die moet aantonen dat zijn activiteiten voldoen aan de AVG (artikelen 5.2[1] en 24[2] van de AVG).[3] De identificatie van de verantwoordelijke persoon (of de gezamenlijke verantwoordelijken) is daarom essentieel in een franchisenetwerk, waar doorgaans meerdere spelers aanwezig zijn. We hebben gemerkt dat er in de praktijk veel verwarring bestaat.
Hoe identificeert u de verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijken die betrokken zijn bij een franchisenetwerk? Volgens de AVG is de verwerkingsverantwoordelijke de persoon (rechtspersoon, natuurlijke persoon of enige andere entiteit) die het doel van en de middelen voor de verwerking vaststelt (artikel 4.7 van de AVG). Meerdere personen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken wanneer dezelfde doeleinden en middelen gezamenlijk en tegelijkertijd zijn vastgesteld. De verwerker is de partij die namens en in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens zal verwerken (artikel 4.8 AVG).
Er bestaat dus geen pasklaar en adequaat antwoord voor alle franchisenetwerken. Het begrip verantwoordelijke is inderdaad een functioneel begrip en de AVG vereist de identificatie van de verantwoordelijke persoon of personen op basis van feitelijke elementen. Het is daarom niet mogelijk om te stellen dat alle franchisegevers verwerkingsverantwoordelijke zijn en alle franchisenemers verwerkers (of omgekeerd).
Het is ook niet mogelijk om de rol van “verwerkingsverantwoordelijke” op contractuele wijze op te leggen in hoofde van de persoon die is aangewezen als verwerkingsverantwoordelijke wanneer feitelijk niet aan de criteria is voldaan. Partijen moeten daarom een analyse per geval uitvoeren.
De eerste vraag die gesteld moet worden is: wie heeft de beslissingsbevoegdheid of invloed over de gegevensverwerking? Met andere woorden: wie heeft de gegevensverwerking geïnitieerd? Waarom worden de gegevens verwerkt?
Voorbeeld 1: Een distributienetwerk is van plan nieuwe producten of diensten te ontwikkelen. Hiervoor wil het graag statistieken hebben over het klantenbestand van zijn merk(en). Het geeft aan al zijn franchisenemers een vragenlijst die hun klanten moeten invullen, met instructies over de te verzamelen informatie. Elke franchisenemer voert vervolgens de enquête uit en stuurt de statistische resultaten door naar het hoofd van het netwerk (franchisegever). De gegevensverwerking bestaat in dit geval uit het verzamelen van gegevens en het maken van statistische evaluaties met behulp van deze gegevens. De statistische resultaten kunnen pseudo-geanonimiseerde of geanonimiseerde gegevens zijn. Hoewel de franchisegever enkel statistische gegevens en strikt genomen geen persoonsgegevens heeft ontvangen, blijft hij verantwoordelijk voor de die worden uitgevoerd om de analyses te doen. Immers, het is de franchisegever die het doel en de middelen van deze verwerking heeft vastgesteld en zijn franchisenemers instructies heeft gegeven over de uit te voeren verwerking. Het feit dat hij geen toegang heeft tot de verwerkte gegevens is niet doorslaggevend.[4]
Het tweede criterium heeft betrekking op het voorwerp van de beslissingsbevoegdheid: wie bepaalt het doel van en de middelen voor de verwerking? De doeleinden en middelen duiden respectievelijk het “waarom” en het “hoe” van de verwerking aan.[5] Er bestaat ook een hiërarchie tussen doeleinden en middelen: het feit dat het doel wordt bepaald, brengt automatisch de kwalificatie van verwerkingsverantwoordelijke met zich mee. De verwerker heeft echter enige speelruimte bij het kiezen van de manier waarop de gegevensverwerking wordt geïmplementeerd.
Ten derde is de speelruimte van de verwerker niet onbeperkt. De kwalificatie van “verwerkingsverantwoordelijke” kan ook worden toegepast wanneer een partij de essentiële middelen voor de gegevensverwerking bepaalt. Over het algemeen worden het doel, de gegevenscategorieën en de bewaartermijn als essentiële elementen van de verwerking beschouwd. Wat niet-essentiële middelen betreft, hebben we het over de keuze van software, hardware en concrete beveiligingsmaatregelen.
Voorbeeld 2: In een franchisenetwerk stelt de franchisegever zijn franchisenemers een database ter beschikking die bedoeld is om de gegevens van de klanten van het merk te verzamelen en op te slaan. Deze database wordt gehost op de servers van de franchisegever. Elke franchisenemer voert de gegevens van zijn klanten in, voor zijn eigen doeleinden, en kiest geheel zelfstandig de bewaartermijnen, inzage, rectificatie en verwijdering van klantgegevens. Een franchisenemer heeft geen toegang tot, noch recht op gebruik van de gegevens van andere franchisenemers, en de franchisegever heeft geen toegang tot gegevens die door franchisenemers zijn ingevoerd. In een dergelijk scenario is de franchisegever een verwerker voor alle franchisenemers aangezien hij slechts niet-essentiële middelen ter beschikking heeft gesteld, dat wil zeggen een IT-tool waarbij de modaliteiten aan de keuze van de franchisenemers worden overgelaten, terwijl elke franchisenemer zelfstandig verantwoordelijk is voor het gebruik dat van de database wordt gemaakt. De bepalende factor in dit geval is de onafhankelijkheid van de franchisenemers bij de keuze van het doel, de soorten gegevens en de kenmerken van de gegevensverwerking.
Eenzelfde partij kan twee verschillende rollen vervullen: Een franchisenemer kan gegevens verwerken namens de franchisegever, als verwerker, en kan ook, buiten de instructies van de franchisegever en voor eigen doeleinden, gegevens verwerken als verwerkingsverantwoordelijke. Eén partij kan echter niet verschillende rollen cumuleren voor dezelfde reeks verwerkingen.
Voorbeeld 3: In voorbeeld 1 zijn franchisenemers verwerkers voor de gegevensanalyse. Deze gegevens hadden echter ook door franchisenemers, bij hun klanten, kunnen worden verzameld met het oog op de ontwikkeling van nieuwe diensten of producten, en dus voor andere doeleinden dan analyse, zoals het opzetten van een eigen getrouwheidssysteem. In dit geval zijn franchisenemers verwerkingsverantwoordelijke in verband met het getrouwheidssysteem.
De analyse van de genoemde criteria moet ook worden uitgevoerd in het licht van andere factoren, zoals de onderhandelingsmacht van elke partij, de mate van onafhankelijkheid van de franchisenemers, de inhoud van de contractuele verplichtingen van de franchiseovereenkomst, enz.
Kortom, om de gegevens van het hele netwerk te beschermen, zal de voorzichtige franchisegever een analyse maken van de gegevensstromen die binnen zijn netwerk circuleren (rekening houdend met toekomstige projecten) en, rekening houdend met de complexiteit van de toewijzingen van verantwoordelijkheden zoals hierboven geïllustreerd, heeft hij er belang bij om de nodige maatregelen te treffen om aan de AVG te voldoen. Anders zal het hele netwerk blindelings navigeren en risico lopen wat betreft de toepassing van de AVG.
Enkele aandachtspunten specifiek voor franchisenetwerken en adviezen.
Schriftelijke afspraken tussen verantwoordelijken en verwerkers
In het kader van verwerking vereist de AVG dat zowel de verwerkingsverantwoordelijke als de verwerker een schriftelijke overeenkomst opstellen met betrekking tot deze verwerking (artikel 28 van de AVG). Deze overeenkomst heeft tot doel de verplichtingen en rechten van elke partij te definiëren, maar ook om bepaalde informatie te bevatten zoals opgesomd in artikel 28 van de AVG.
Zoals we eerder hebben gezien, kunnen bepaalde partijen verschillende rollen vervullen voor verschillende verwerkingen. In realiteit kan deze verplichting daarom moeilijk na te leven en te implementeren blijken, gezien de veelheid aan spelers en acties die binnen een franchisenetwerk worden nagestreefd.
Gezien de contractuele relatie die hen bindt, moet de franchisegever, wanneer hij verantwoordelijk is voor de verwerking – en ook uit zorg voor de reputatie van zijn netwerk – ervoor zorgen dat zijn franchisenemers de geldende regelgeving naleven. Om dit te doen is het sterk aanbevolen om in het franchisecontract de wederzijdse verplichtingen van de franchisenemer en de franchisegever op te nemen. In de praktijk worden richtlijnen opgenomen in een specifieke bijlage bij het franchisecontract, maar al te vaak zijn de rollen van elke persoon, in elk scenario, niet voldoende gespecificeerd. In geval van een schending van de AVG door een franchisenemer-verwerker, is het bestaan van een dergelijke clausule echter niet voldoende om de franchisegever van zijn verantwoordelijkheid te ontslaan: hij moet een dergelijke clausule nog steeds ten uitvoer leggen, effectief toezicht houden op de acties van zijn verwerkers en de nodige vrijwaringsmaatregelen nemen.
Bijstand van de franchisegever conform de AVG
Een franchiseovereenkomst voorziet doorgaans in de verplichting in hoofde van de franchisegever om zijn franchisenemers bij te staan door het ter beschikking stellen van technische hulpmiddelen. De franchisegever zal zijn franchisenemers IT-tools kunnen aanbieden die voldoen aan de AVG (met inachtneming van bijvoorbeeld het principe van gegevensminimalisatie), maar ook hulpmiddelen (modeldocumentatie over gegevensbescherming, audit, risico-impactanalyse, procedure voor het reageren op verzoeken van betrokkenen, register van verwerkingsactiviteiten, enz.).
De franchisegever zou zijn franchisenemers ter ondersteuning ook de diensten van een Data Protection Officer (DPO) kunnen aanbieden. De diensten van een interne DPO (d.w.z. een lid of werknemer van de franchisegever) die aan franchisenemers worden aangeboden, kunnen echter problematisch blijken. Een DPO moet volledig onafhankelijk kunnen optreden en dus zonder belangenconflicten met de opdrachten die hij bij de franchisegever uitvoert. Om ervoor te zorgen dat franchisenemers het meest geschikte advies kunnen krijgen, vrij van belangenconflicten, raden wij aan om gebruik te maken van de diensten van een externe DPO.
Respect voor de rechten van betrokkenen
Op grond van de AVG hebben de betrokken personen een bepaald aantal rechten die zij moeten uitoefenen bij de verwerkingsverantwoordelijke (recht op toegang, recht op rectificatie, recht op verwijdering, recht op beperking, recht op overdraagbaarheid, recht op bezwaar, recht op bezwaar tegen profilering – artikelen 15 tot en met 22 van de AVG). Verwerkers hebben de plicht om de verwerkingsverantwoordelijke te helpen bij het respecteren van de uitoefening van deze rechten.
In een franchisenetwerk is het waarschijnlijk dat klanten hun rechten rechtstreeks bij franchisenemers uitoefenen, doorgaans zonder medeweten van de franchisegever. Het is dan aan de franchisegever om procedures op te zetten met zijn franchisenemers, zodat verzoeken van klanten – die betrekking hebben op de verwerking waarvoor hij verantwoordelijk is – tijdig aan hem worden doorgegeven.
De verwerkingsverantwoordelijke heeft eveneens de plicht om informatie te verstrekken aan betrokkenen (artikelen 13 en 14 van de AVG) en om de uitoefening van de rechten van betrokkenen te vergemakkelijken (artikel 12.2 van de AVG). Zo is het ondermeer verplicht om de betrokkenen duidelijk te informeren over de identiteit van de verwerkingsverantwoordelijke, zodat zij hun rechten effectief kunnen uitoefenen. Aangezien franchisenemers over het algemeen rechtstreeks contact hebben met klanten, zou de franchisegever van hen kunnen eisen dat zij de door de AVG vereiste informatie aan klanten doorgeven. De franchisegever zorgt er tevens voor dat hij communiceert via zijn website(s) en alle andere gepaste middelen.
Het belang van geldige of ongeldige toestemming?
Het kan voorkomen dat de franchisegever en zijn franchisenemers hetzelfde klantenbestand delen en dat dit bestand door de franchisegever en/of de franchisenemer wordt gebruikt voor directe marketingdoeleinden.
Het is algemeen aanvaard dat direct marketing gebaseerd is op toestemming van de klant of op legitiem zakelijke belangen. Hoewel er geen voorrang bestaat tussen de rechtsgrondslagen die zijn toegestaan door de AVG, vertrouwen veel bedrijven op toestemming om reclamecampagnes uit te voeren.[6]
Als gevolg hiervan moeten alle partijen in een franchisenetwerk voorzichtig zijn met de rechtvaardiging voor het verwerken van klantgegevens voor direct-marketingdoeleinden, vooral wanneer dit is gebaseerd op toestemming van de klant. Als een franchisegever/franchisenemer de regels met betrekking tot de toestemming om gegevens te verzamelen niet respecteert, kan de toestemming niet als geldig worden beschouwd en is het waarschijnlijk dat de franchisegever/franchisenemer die deze gegevens gebruikt de AVG schendt. Ter herinnering: toestemming moet geïnformeerd, vrij, specifiek en ondubbelzinnig zijn en worden geïllustreerd door een duidelijke positieve handeling. De verwerverwerkingsverantwoordelijke moet ook de geldigheid van de toestemming van de betrokken personen kunnen aantonen.
Ten slotte is het soms efficiënter om een andere rechtsgrondslag dan toestemming te gebruiken, aangezien het vervelend en absurd zou zijn om te proberen de toestemming van elke klant te verkrijgen[7]
Het naleven van de AVG kan daarom een hachelijke oefening zijn in een franchisenetwerk. Daarom is het belangrijk dat elk franchisenetwerk een goede kennis heeft van de gegevensstromen binnen zijn netwerk, zijn contractuele systeem met zijn partners regelmatig aanpast en vooral een systeem opzet voor waarschuwingen, het ontvangen van veelvoorkomende klachten en het monitoren en evalueren van de acties van franchisenemers. De sancties die door de GBA kunnen worden opgelegd en de risico’s op reputatieschade van het netwerk zullen de franchisegever ertoe aanzetten de controle over deze problematiek te behouden en zich te blijven inspannen om het bewustzijn op dit gebied te vergroten.
***
[1] De verwerkingsverantwoordelijke moet kunnen aantonen dat de fundamentele beginselen van gegevensbescherming worden nageleefd.
[2] De verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen treffen om te kunnen waarborgen en aantonen dat de verwerking wordt uitgevoerd in overeenstemming met de AVG.
[3]Wat de rol van de verwerkingsverantwoordelijke en de verwerker betreft, zie in het bijzonder de EDPB-gids: Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, versie 2.0, vastgesteld op 7 juli 2021.
[4] HvJEU, Wirtschaft sakademie, C-210/16, ECLI: EU:C:2018:388, § 38 en HvJEU, Jehovah’s witnesses, C-25/17, ECLI:EU:C:2018:551, § 69.
[5] A.-G. Bot in het Wirtschaft sakademie, C-210/16, ECLI: EU:C:2017:796, § 46.
[6]Met betrekking tot direct marketing en de geaccepteerde rechtsgrondslagen, zie Direct marketing en rechtsgronden voor uw verwerkingen.
[7] Het vragen van toestemming aan bestaande klanten voor het versturen van direct marketing e-mails is onder bepaalde voorwaarden niet verplicht. Deze omvatten het feit dat het e-mailadres rechtstreeks van de klant is verkregen als onderdeel van de verkoop van een product of dienst en dat de prospectie betrekking heeft op een soortgelijk product of soortgelijke dienst. Dit staat bekend als de “soft opt-in”, een uitzondering op het principe van voorafgaande toestemming voor het verzenden van prospectieve e-mails. De GBA heeft de grenzen van de soft opt-in uitgelegd in haar besluit 117/2022 van 26 juli 2022.
Share us!