Belangrijke wijzigingen voor IT-contracten als gevolg van het nieuwe verbintenissenrecht

Webinar op 16 maart 2023

Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

Telemarketing en de GDPR, de Geschillenkamer van de GBA neemt een nieuwe beslissing (Mr. Franklin)

Auteur: Mattice De Schagt (Mr. Franklin)

Naar aanleiding van een bij de GBA ingediende klacht, die betrekking had op het ongewenst telefonisch contacteren van consumenten om hen energiecontracten aan te bieden, liet de Geschillenkamer haar licht schijnen over enkele belangrijke aandachtspunten i.v.m. de praktijk van ‘telemarketing’. Het administratief geschillenorgaan van de GBA diende zich onder meer uit te spreken over de vraag onder welke voorwaarden toestemming een geldige verwerkingsgrondslag is, welke informatie een telemarketeer moet meedelen aan de betrokkene en hoe correct gevolg moet worden gegeven aan een verzoek tot gegevenswissing.

1. Wat is telemarketing?

Telemarketing of telefonische verkoop kan worden omschreven als het via telefonische weg verkopen of aanprijzen van goederen en diensten met de bedoeling om voortvloeiend uit dat telefoongesprek een overeenkomst te sluiten. Wat door velen als vervelend wordt ervaren, is het ongevraagde karakter van deze oproepen. Toch zijn dergelijke oproepen niet altijd ongevraagd. De kans is namelijk reëel dat men als consument in een eerder stadium toestemming heeft verleend voor het gebruik van de eigen persoonsgegevens voor dergelijke ‘ongevraagde’ telefonische oproepen.

In de zaak waarover de Geschillenkamer zich heeft gebogen baseerde de verweerder, zijnde de telemarketeer, zich op gegevens die waren aangekocht van gegevensleveranciers of ‘databrokers’. Dergelijke gegevensleveranciers verzamelen die gegevens niet zelf maar kopen op hun beurt de verschillende contactgegevens aan van ondernemingen die promotionele acties op het internet organiseren. Wanneer je als consument zou deelnemen aan dergelijke promotionele (internet)acties waarbij je jouw eigen contactgegevens deelt, is de kans groot dat je toestemming hebt verleend voor het doorverkopen van alle gegevens die je opgaf naar aanleiding van die promotionele actie. Het telemarketingproces kan dus worden voorgesteld als een keten met verschillende schakels (hier 3).

2. Actieve controle van toestemming vereist

Op grond van artikel 5, lid 1, a) en artikel 6, lid 1 van de GDPR moet elke verwerkingsverantwoordelijke een rechtmatige verwerking van persoonsgegevens garanderen. Dit betekent dat voor iedere verwerking een rechtsgrondslag vereist is. Voorbeelden van verwerkingsgrondslagen zijn toestemming van de betrokkene, gerechtvaardigd belang, algemeen belang, wettelijke verplichting, … Overeenkomstig artikels 5, lid 2 en 24 GDPR komt het aan de verwerkingsverantwoordelijke toe zich te verantwoorden voor de verwerking en aan te tonen dat de verwerking conform de GDPR gebeurt.

In de zaak voor de Geschillenkamer werd door de Inspectiedienst, het onderzoeksorgaan van de GBA, onderzocht in welke mate de telemarketeer zich rechtmatig kon beroepen op toestemming als verwerkingsgrondslag voor het contacteren van consumenten. Zoals vermeld zijn er verschillende economische actoren betrokken in het proces van telemarketing (bedrijf die de gegevens verzamelt, databroker en het telemarketingbedrijf) die dezelfde gegevens van de betrokkene telkens hergebruiken. Elke betrokken economische actor kwalificeert als een verwerkingsverantwoordelijke en moet tegemoetkomen aan zijn of haar verplichtingen onder de GDPR. De naleving van de beginselen en de verplichtingen van de GDPR door elke afzonderlijke actor in het proces is volgens de Geschillenkamer essentieel om de rechtmatigheid van de verwerking te waarborgen.

De telemarketeer beroept zich op een contractuele clausule die werd opgenomen in de overeenkomst met de databroker. Volgens de Geschillenkamer faalde hij echter aan te tonen dat vrije, specifieke en geïnformeerde toestemming overeenkomstig de artikelen 4.11 en 7 GDPR werd gegeven in het eerste stadium van het telemarketingproces. Volgens de Geschillenkamer is de loutere verwijzing naar een dergelijke clausule onvoldoende aangezien daaruit niet bleek dat de betrokkene daadwerkelijk toestemming zou hebben gegeven. Daarnaast gaf de telemarketeer in zijn antwoord op het verzoek van de klager tot inzage en wissen van zijn gegevens aan dat de bron van de persoonsgegevens van de klager hem niet bekend was.

3. Betrokkene adequaat informeren over doorgifte en eigen privacybeleid

Op basis van hetzelfde artikel 5, lid 1, a) GDPR is elke verwerkingsverantwoordelijke verplicht de verwerking van persoonsgegevens op transparante wijze uit te voeren. In de context van het voorliggend geschil benadrukt de Geschillenkamer twee belangrijke transparantieverplichtingen.

Opnieuw gelinkt aan de toestemming als verwerkingsgrondslag, benadrukt de Geschillenkamer dat toestemming vrijelijk, specifiek en geïnformeerd moet zijn om op geldige wijze als verwerkingsgrondslag te dienen. Gezien de bijzondere keten van economische actoren bij telemarketing is het belangrijk dat de betrokkene bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking. Wanneer toestemming wordt gevraagd door de eerste schakel in de keten (i.e. de onderneming die de promotionele actie op het internet organiseert), moet de betrokkene dan ook op transparante wijze worden geïnformeerd over alle mogelijke additionele ontvangers en gebruikers van deze gegevens. Op het moment dat de betrokkene toestemming geeft via de internetactie moet hij of zij worden geïnformeerd over de partners aan wie gegevens zullen worden doorgegeven en over de doeleinden van de verwerking.

De tweede transparantieverplichting rust op de telemarketeer als laatste schakel in de keten. Artikel 14 GDPR somt de informatie op die door de verwerkingsverantwoordelijke moet worden verstrekt aan de betrokkene. Artikel 14, lid 3 GDPR bepaalt dat die informatie ten laatste op het moment van de eerste communicatie met de betrokkene moet worden verstrekt. Toegepast op telemarketing is de telemarketeer verplicht de informatie te verstrekken vooraleer hij met de betrokkene communiceert. Gezien het telefonisch contact dat wordt gezocht, kan volgens de Geschillenkamer aan deze informatieverplichting worden voldaan door middel van een SMS of door een opgelegd script voor de personen in dienst van de telemarketeer. Het is volgens de Geschillenkamer daarbij voldoende de betrokkene door te verwijzen naar de privacyverklaring op de website van de telemarketeer. De telemarketeer kan zelf bepalen welke de geschikte manier van informatieverstrekking is.

4. Actiemogelijkheden voor de betrokkene

Overeenkomstig de GDPR beschikt de betrokkene over verschillende rechten. Zo kan de betrokkene zich beroepen op het recht om de verwerking te beperken, het recht op rectificatie en aanvulling, het recht op dataportabiliteit, etc. Artikel 12 GDPR vereist daarnaast van de verwerkingsverantwoordelijke dat hij de uitoefening van de rechten van de betrokkene faciliteert. In de onderhavige zaak had de betrokkene zich beroepen op zijn recht op inzage en zijn recht op gegevenswissing.

4.1. Volledigheid van het antwoord is de norm

Wat betreft het recht op inzage is het zo dat de wet expliciet bepaalt welke informatie door de verwerkingsverantwoordelijke moet worden meegedeeld aan de betrokkene n.a.v. het verzoek tot inzage. De Geschillenkamer oordeelde dat het recht op inzage van de betrokkene was geschonden omwille van verschillende redenen. Het door de telemarketeer geformuleerde antwoord was volgens de Geschillenkamer onvolledig. Daarnaast werd ook de specifieke informatieverplichting uit artikel 15, lid 1, g) GDPR geschonden die het voor de verwerkingsverantwoordelijke verplicht maakt alle beschikbare informatie aan de betrokkene mee te delen over de bron van de gegevens. Vermits, zoals reeds aangegeven, de telemarketeer geen goede uitleg kon geven over de bron van de gegevens van de betrokkene, werd ook dit antwoord van de telemarketeer als onvoldoende gezien.

4.2. (Transparant) bijhouden van register na wissing toegelaten

Wanneer de betrokkene niet (meer) opgebeld wenst te worden door het telemarketingbedrijf, kan hij de telemarketeer verzoeken zijn of haar gegevens te verwijderen. Hoewel de telemarketeer in casu de gegevens van de betrokkene onmiddellijk had gewist, stelde de Inspectiedienst toch een inbreuk vast. De telemarketeer in kwestie hield namelijk nog een register bij waarin hij noteerde wie een verzoek tot gegevenswissing had ingediend en welk antwoord daarop werd gegeven. De vraag rees of het bijhouden van dergelijk register, wat een verwerkingsactiviteit is onder de GDPR, haaks stond op het verzoek van de betrokkene om zijn gegevens integraal te wissen. Volgens de Geschillenkamer is het toegelaten dat de verwerkingsverantwoordelijke een dergelijk register bijhoudt wanneer zo’n register noodzakelijk blijkt om aan te tonen dat de verwerkingsverantwoordelijke zijn verplichtingen onder de GDPR nakomt. Niettemin werd door de Geschillenkamer toch besloten tot een schending van het recht op gegevenswissing aangezien de telemarketeer strijdig met artikel 12, lid 3 GDPR niet had meegedeeld aan de betrokkene welke maatregelen hij naar aanleiding van het verzoek tot schrapping had genomen. Hij had m.a.w. de betrokkene moeten informeren over de rechtsgrondslag voor de verdere verwerking van de resterende persoonsgegevens in het desbetreffende register.

5. Sanctie

De Geschillenkamer heeft op basis van artikel 100 §1 van de wet tot oprichting van de Gegevensbeschermingsautoriteit keuze uit een uitgebreid pallet aan sancties. Zo kan het beslissen de klacht te seponeren, een schikking voorstellen, een bevel tot rechtzetting van de overtreding geven of een administratieve geldboete of dwangsom opleggen. Hoewel er in de onderhavige zaak behoorlijk wat schendingen van de GDPR-wetgeving werden vastgesteld door de Geschillenkamer, werd beslist het slechts te houden bij een berisping van de verweerder. De Geschillenkamer baseert zich hiervoor op enkele verzachtende omstandigheden zoals het feit dat de telemarketeer reeds een due diligence-programma had opgesteld. Daarnaast scherpte de telemarketeer zijn procedures aan naar aanleiding van de klacht. Tenslotte is de telemarketeer in het verleden niet onderworpen geweest aan sancties van de Geschillenkamer, wat een positief effect heeft op de sanctiebepaling.

6. Conclusie

De Geschillenkamer schept klaarheid voor de telemarketeer omtrent verschillende punten die voorheen minstens voor discussie vatbaar waren.

Samengevat…

  • … moet de telemarketeer zelf kunnen aantonen dat geldige toestemming werd bekomen en kan hij zich niet louter en alleen baseren op een contractuele clausule;
  • … moet de betrokkene in een eerste fase geïnformeerd worden over alle partners waarmee zijn/haar gegevens zullen worden gedeeld;
  • … moet de telemarketeer de opgebelde consument informeren nog voor het commerciële gesprek start door de betrokkene door te verwijzen naar de privacyverklaring op de website;
  • … moet een verzoek tot inzage zo volledig mogelijk worden beantwoord en moet in ieder geval de bron van de gegevens worden vermeld;
  • … is het de telemarketeer toegelaten een (beperkt) activiteitenregister bij te houden na een verzoek tot wissing op voorwaarde dat de betrokkene daarover wordt geïnformeerd.

Bron: Mr. Franklin