De toepassing van de GDPR staat nu echt voor de deur!
Onze mailboxen worden gevuld met uiteenlopende berichten: opt-in, opt-out, combinatie van beiden en engagementsverklaringen betreffende privacy wisselen elkaar af.
Anderen wachten dan weer rustig af totdat de Belgische wet die de GDPR implementeert er zal zijn en vooral totdat de Gegevensbeschermingsautoriteit, die vanaf morgen de huidige Commissie voor de Bescherming van de Persoonlijke Levenssfeer opvolgt, standpunten zal hebben ingenomen.
In tal van bedrijven stijgt de spanning. De DPO, bewaker van de GDPR-tempel, herinnert er terecht aan dat het na 25 mei niet meer mogelijk zal zijn de gegevens te verwerken van bepaalde categorieën van personen, die daartoe voortaan hun geïnformeerde en expliciete toestemming zullen moeten geven. Hij zal niet nalaten er bij te vermelden dat inbreuken aanleiding kunnen geven tot een klacht en eventueel zware sancties, gaande tot 20 miljoen euro of 4 % van het wereldwijde zakencijfer. Er zou dus een bericht van het type “opt-in” moeten verstuurd worden om elk risico uit te sluiten.
De sales- en marketing departementen kaatsen de bal terug met evenveel vuur: “We zouden gek zijn om dergelijke boodschappen te versturen met het risico dat heel wat mensen zich niet inschrijven. Dit komt er in de praktijk op neer dat wij onmiddellijk en onomkeerbaar een groot deel van de door de jaren heen opgebouwde databanken zullen verliezen.” Zij geven de voorkeur aan het verzenden van een informatieve boodschap over het doel van de verwerking en de rechten van de betrokkenen met een mogelijkheid tot “opt-out”.
Wat moeten we dan doen?
De aanhangers van de “zero-risk”-aanpak gaan uiteraard voor de eerste piste, een “opt-in”. Dit zal zeker het geval zijn wanneer zij daarenboven beslist hebben om de campagnes van direct-mailing af te bouwen en over te gaan op andere communicatiemiddelen (bv. sociale media, website, online-publiciteit,…). Via deze kanalen beogen zij de heropbouw van hun databanken en een andere, meer doelgerichte communicatie.
Maar zijn er tekstargumenten voorhanden voor een meer gematigde, pragmatische benadering van deze nieuwe privacyregels? Sommigen willen immers vermijden achteraf te worden geconfronteerd worden met een kritiek in de zin van “Zie je nu wel! Onze concurrenten kozen voor opt-out; zij hebben hun databank integraal kunnen behouden wat hen een commercieel voordeel opleverde, en ze worden niet gesanctioneerd door de Gegevensbeschermingsautoriteit.”
De GDPR is er op gericht een doorgedreven transparantie en een versterkte informatieplicht te creëren waardoor elke betrokkene een perfecte kennis heeft van hoe en waarvoor zijn persoonsgegevens worden gebruikt.
Maar is het daarom zeker dat het strengere regime van de “opt-in” ook van toepassing is op de gegevens die geldig werden verzameld voor 25 mei? De GDPR vereist immers niet uitdrukkelijk dat de verwerkingsverantwoordelijke een “nieuwe toestemming” zou moeten vragen van de betrokkene die in het verleden (impliciet) zijn toestemming gaf.
Uit de overweging 171[1] bij de GDPR (AVG) kunnen we afleiden dat het blijkbaar toch de wil is geweest van de regelgever om de verwerkingsverantwoordelijken in staat te stellen na de toepassing van deze verordening de verwerking voort te zetten. Een logische en pragmatische gevolgtrekking hieruit zou kunnen zijn dat de vroeger gegeven geldige toestemming, eventueel impliciet en met mogelijkheid tot “opt-out”, volstaat om de verwerking verder te zetten. Het is dan ook eigenaardig in diezelfde overweging te moeten lezen dat er geen nieuwe toestemming moet worden gevraagd als de toestemming die men in het verleden bekwam, aan de voorwaarden van de nieuwe regeling voldoet. Een dergelijke retroactieve toepassing van de nieuwe regels zou immers tot gevolg hebben dat de gewenste voortzetting van de verwerking er niet zal zijn omdat de voorwaarden tot een geldige toestemming in het verleden minder strikt waren.
Wij vermoeden dat de Europese wetgever inderdaad de betrokkenen heeft willen beschermen en hen meer controle heeft willen geven over hun persoonsgegevens, zonder echter de Europese bedrijven bovenmatig (concurrentieel) nadeel te willen toebrengen in de globale wereldwijde economische context.
Wij sluiten evenmin uit dat na 25 mei een aantal bedrijven “gerechtvaardigde belangen” zullen inroepen om de rechtmatigheid van hun verwerking te motiveren door te verwijzen naar de noodzaak om contacten te blijven houden met commerciële relaties die in het verleden (ongevraagde) berichten ontvingen en geen gebruik maakten van de mogelijkheid om zich uit te schrijven. De problematiek is des te delicater wanneer het gaat om professionele mailadressen die de naam of voornaam van een natuurlijk persoon bevatten. Hier vermengt de situatie van de eindgebruiker die een maximale bescherming verdient, zich met deze van een professioneel van wie men mag aannemen dat hij volledig geïnformeerd wil zijn over het reilen en zeilen in zijn sector (b.v. door de afgifte van een visitekaartje). Het is in elk geval evident dat mailadressen info@… en alle andere adressen die geen persoonlijke gegevens inhouden alleszins buiten het toepassingsgebied van de GDPR vallen zodat men er ook na 25 mei direct mailing naar kan versturen.
Wij mogen wellicht ook vertrouwen op de berichten van Staatssecretaris De Backer, die aangaf dat de Gegevensbeschermingsautoriteit vooral zal inzetten op sensibilisering. De boetes bestempelde hij als een stok achter de deur, waarbij het niet de bedoeling zou zijn de schatkist te spijzen, maar wel de privacygegevens te beschermen.
Wij kijken vol ongeduld uit naar de nieuwe Belgische privacywet en naar de rubriek “Juridische Analyse” waarin de Privacycommissie aankondigt binnenkort een tekst beschikbaar te stellen met een diepgaande analyse van de nieuwe privacywetgeving.
Het laatste woord is zeker nog niet gevallen in deze belangrijke en delicate materie. Er zullen in de komende dagen en weken heel wat interessante debatten gevoerd worden.
Ondertussen hebben wij bij FLINN de beslissing genomen om de GDPR nauwgezet na te leven met verzending van een “opt-in” mailing en het blijven informeren van onze cliënten en contacten met respect van de vrije keuze die ze in het verleden maakten of in de toekomst zullen maken. Wij hopen in elk geval dat u uw toestemming heeft gegeven!
[1] Overweging 171 : « Richtlijn 95/46/EU dient voor deze verordening te worden vervangen. Verwerkingen die al gaande zijn op de datum van toepassing van deze verordening, dienen overeenkomstig deze verordening te worden gebracht binnen twee jaar na de inwerkingtreding ervan. Om de verwerkingsverantwoordelijken in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, hoeft de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EG heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming te geven. Besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen die op Richtlijn 95/46/EG zijn gebaseerd, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken.”
Share us!
