Op 3 maart 2020 publiceerde de NOS een artikel over de mega boete van € 525.000,- die de Autoriteit Persoonsgegevens (AP) aan de vereniging Koninklijke Nederlandse Lawn Tennisbond (KNLTB) heeft opgelegd. Het besluit van de AP is eveneens op 3 maart 2020 gepubliceerd.
De KNLTB heeft in juni en juli 2018 ten behoeve van het genereren van inkomsten een bestand met persoonsgegevens van haar leden verstrekt aan twee sponsors ten behoeve van direct marketingactiviteiten van deze sponsors. De AP oordeelde dat voor de verstrekking van de gegevens door de KNLTB aan de sponsoren ten aanzien van het ene deel van de leden geen rechtmatige grondslag bestond en dat ten aanzien van het andere deel van de leden sprake was van een onverenigbare verdere verwerking.
In dit artikel gaan wij in op de grondslagen voor verwerking en wat onder verdere verwerking wordt verstaan. Er zal kort worden gekeken naar de uitspraak van de AP en met name wat er mis ging bij de KNLTB, waarna het een en ander kort wordt samengevat.
Voor het verwerken van persoonsgegevens moet het doel van de verwerking altijd duidelijk omschreven en gerechtvaardigd zijn. Daarnaast moet er ook altijd een grondslag voor de verwerking zijn. Er moet dan voor één grondslag worden gekozen, waarbij het niet zo mag zijn dat als de ene grondslag (achteraf) niet gerechtvaardigd is er dan voor een andere wordt gekozen. De AVG kent zes grondslagen, waarvan wij in dit stuk drie kort belichten.
De duidelijkste en meest ondubbelzinnige grondslag is toestemming van de betrokkene. Toestemming is de vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt. De toestemming moet actief en vrijelijk worden gegeven. De betrokkene kan de gegeven toestemming voor elk doel en op elk moment intrekken. De persoonsgegevens mogen dan niet meer voor dat specifieke doel worden verwerkt. Dat maakt dat dit niet de meest zekere grondslag voor verwerking is.
Een andere grondslag is bijvoorbeeld als de verwerking noodzakelijk is om een overeenkomst met de betrokkene na te komen. Het verwerken van de persoonsgegevens is pas dan noodzakelijk, wanneer de overeenkomst niet goed kan worden nagekomen zonder de verwerking daarvan.
Ook het (eigen) gerechtvaardigd belang kan een grondslag zijn. Hierbij geldt dat de belangenafweging het belang van de organisatie tegenover het privacybelang van de betrokkene stelt. Voor een geslaagd beroep op de grondslag van gerechtvaardigde belangen moet aan drie cumulatieve voorwaarden worden voldaan opdat een verwerking van persoonsgegevens rechtmatig is. In de eerste plaats: de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van een derde. In de tweede plaats: de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang. En in de derde plaats: de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren. Alle omstandigheden van deze specifieke situatie en de uitkomst van de belangenafweging moeten wel schriftelijk worden vastgelegd.
Persoonsgegevens mogen volgens de AVG dus alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Dit is de zogeheten doelbinding: verwerking mag alleen plaatsvinden voor de vooraf gemelde doelen, of voor doelen die verenigbaar zijn met deze doelen. De doelbinding geldt niet alleen voor verwerkingen door derden, maar ook voor verwerkingen van de verwerkingsverantwoordelijke zelf.
Een verdere verwerking, oftewel een verwerking voor een ander doel dan waarvoor de persoonsgegevens oorspronkelijk worden verwerkt, moet apart gerechtvaardigd worden. Wanneer een dergelijke verwerking niet gerechtvaardigd wordt door de grondslag toestemming of berust op een wettelijke bepaling, dan moet de verwerkingsverantwoordelijke een extra afweging maken of dit andere doel wel verenigbaar is met het oorspronkelijke doel. Hierbij spelen de volgende factoren een grote rol:
Ten aanzien van het ene deel van de leden stelt de KNLTB dat de verwerking van persoonsgegevens noodzakelijk is voor de behartiging van zijn gerechtvaardigde belangen, namelijk het genereren van extra inkomsten nu haar ledenaantal (en daarmee ook de inkomsten) de afgelopen tien jaar sterk is gedaald. Uit eigen onderzoek is gebleken dat de oorzaak daarvan is gelegen in het feit dat leden weinig meerwaarde zien in het lidmaatschap van de KNLTB.
De AP concludeerde echter dat het enkele belang bestaande uit het te gelde maken van persoonsgegevens c.q. daar winst mee te kunnen maken, op zichzelf niet kwalificeert als een gerechtvaardigd belang. De door de KNLTB gestelde belangen missen volgens de AP aldus een min of meer dringend karakter dat zwaarder weegt dan het belang van de betrokkenen. Het belang van vrijheid van ondernemerschap, de contractuele vrijheid en de vrijheid om een economische of een handelsactiviteit uit te oefenen, zijn echter onvoldoende concreet en rechtstreeks om te kunnen kwalificeren als gerechtvaardigd belang onder de AVG. De AP concludeert dan ook dat de door de KNLTB gestelde belangen niet kwalificeren als gerechtvaardigd. Daarnaast concludeert de AP dat de verwerking van persoonsgegevens ook niet kon worden gebaseerd op een andere wettelijke grondslag als benoemd in de AVG.
Voor het andere deel van de leden geldt dat de verwerking van de persoonsgegevens ten behoeve van direct marketingactiviteiten voor het genereren van (extra) inkomsten voor de KNLTB een verdere verwerking is. Deze is rechtmatig indien daarvoor toestemming is gegeven voor de verwerking of de verwerking berust op een wettelijke bepaling of verenigbaar is met het oorspronkelijke doel.
De KNLTB stelt zich op het standpunt dat de toestemming voor de verdere verwerking verkregen is via de ledenraad. De ledenraad heeft immers ingestemd met deze verwerking. De AP overweegt dat deze toestemming niet voldoet aan de vereiste van de AVG. Immers, toestemming dient door de (individuele) betrokkene te worden gegeven door middel van een duidelijke actieve handeling waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. De instemming van de ledenraad voldoet niet aan deze vereisten, nu daarmee geen toestemming van de individuele betrokkenen is verkregen.
Ook concludeert de AP dat geen sprake is van een verwerking volgens een wettelijke bepaling en ook niet van een verenigbaar doel. Ten aanzien van het laatste bestaat er namelijk geen verband tussen het oorspronkelijke doel van de verwerking en de doeleinden van de verdere verwerking, omdat de KNLTB de persoonsgegevens oorspronkelijk heeft verwerkt ten behoeve van de uitvoering van de lidmaatschapsovereenkomst en niet voor het doel om (extra) inkomsten te genereren door verstrekking van de gegevens aan sponsors. Ook concludeert de AP dat de leden hadden mogen verwachten dat hun persoonsgegevens alleen zouden worden gebruikt voor de uitvoering van de lidmaatschapsovereenkomst en dat, gelet op het feit dat de KNLTB een non-profitorganisatie is, de leden niet konden verwachten dat hun persoonsgegevens ook zouden worden verstrekt aan sponsors met commerciële motieven. Ten slotte concludeert de AP dat door de verwerking van de persoonsgegevens de leden van de KNLTB de controle over hun persoonsgegevens hebben verloren en daarmee inbreuk is gemaakt op hun persoonlijke levenssfeer en dat de door de KNLTB getroffen maatregelen hiervoor onvoldoende compensatie zouden bieden.
Om persoonsgegevens te mogen verwerken dient daarvoor een grondslag te zijn. De AVG kent zes grondslagen. Er moet voor de verwerking dan voor één grondslag worden gekozen, waarbij het niet zo mag zijn dat als de ene grondslag (achteraf) niet slaagt er dan voor een andere wordt gekozen.
Als, zoals de KNLTB dat deed, de verwerking gebaseerd is op het (eigen) gerechtvaardigd belang, dan moet voor een geslaagd beroep hierop aan de drie hiervoor genoemde cumulatieve voorwaarden worden voldaan, opdat een verwerking van persoonsgegevens rechtmatig is. Het gerechtvaardigde belang moet bovendien een min of meer dringend en specifiek karakter hebben dat uit een ((on)geschreven) rechtsregel of rechtsbeginsel voortvloeit. Zuiver commerciële belangen en het belang van winstmaximalisatie ontberen voldoende specificiteit en missen een dringend ‘wettelijk’ karakter zodat zij niet kunnen kwalificeren als gerechtvaardigde belangen.
Ten aanzien van de doeleinden geldt dus dat deze welbepaald, uitdrukkelijk omschreven en gerechtvaardigd moeten zijn en dat persoonsgegevens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt.
Als het doeleinde van de verdere verwerking verenigbaar is met het oorspronkelijke doeleinde van de verwerking, is voor de verdere verwerking geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de oorspronkelijke verwerking werd toegestaan. Als de verdere verwerking plaatsvindt voor een ander doeleinde, maar hiervoor geen toestemming is gegeven, deze niet berust op een wettelijke bepaling en/of niet verenigbaar is met het oorspronkelijke doeleinde, is de verwerking onrechtmatig vanwege het ontbreken van een grondslag. De verdere verwerking kan dus niet worden beschouwd als een nieuwe verwerking die losstaat van de oorspronkelijke verwerking. Er kan dan ook niet een andere wettelijke grondslag van de AVG worden gebruikt om de verdere verwerking alsnog te legitimeren.
Mocht u vragen hebben over dit onderwerp of eens van gedachten willen wisselen, dan zijn wij graag uw gesprekspartner.