ALGEMENE VERORDENING GEGEVENSBESCHERMING
De Algemene Verordening Gegevensbescherming (AVG, in het Engels General Data Protection Regulation genoemd) is in werking getreden op 25 mei 2018. Met deze nieuwe GDPR-normen wilde de wetgever de beveiliging en de transparantie rond de verwerking van de persoonsgegevens bevorderen.
Om deze doelstellingen te behalen moeten de ondernemingen processen waarin persoonsgegevens verwerkt worden in kaart brengen, zo nodig bijstellen en informatie over het verwerkingsproces verschaffen aan de betrokkenen.
Op wie is General Data Protection Regulation van toepassing?
De GDPR-normen zijn van toepassing op iedere entiteit die de persoonsgegevens van natuurlijke personen verwerkt. Ondernemingen kunnen dus niet zomaar zelf bepalen hoe ze persoonsgegevens zullen verzamelen, behandelen en beheren.
Persoonsgegevens
Persoonsgegevens zijn gegevens over een natuurlijke persoon waarmee deze persoon direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een e-mailadres of een naam.
Ook informatie die niet de mogelijkheid biedt om iemand rechtstreeks te identificeren, maar wel voldoende is om dit onrechtstreeks te kunnen doen, valt onder het begrip “persoonlijke gegevens”. Een goed voorbeeld van deze situatie is de kentekenplaat op je auto.
Verwerking
Het begrip “verwerking” van persoonsgegevens wordt door de wetgever ruim ingevuld. De GDPR-Verordening definieert “verwerking” als een bewerking of een geheel van bewerkingen met betrekking tot (een geheel van) persoonsgegevens. Zo valt het louter verzamelen en opslaan van persoonsgegevens onder het concept “verwerking”, evenals het vernietigen van deze gegevens.
Voor meer uitgebreide uitleg over het privacyrechtelijk concept “verwerken” kan je de officiële website van de Europese Commissie raadplegen.
DIRECT MARKETING EN GDPR: OOK ZONDER TOESTEMMING?
Vanwege de opkomst van GDPR-wetgeving zijn ondernemingen meer gaan nadenken over de privacy van de (potentiële) klanten. Door al deze nieuwe regels kan men soms echter het bos door de bomen niet meer zien. Veel marketing-gerichte ondernemingen menen dan ook (onterecht) dat de verwerking van persoonsgegevens in het kader van direct marketing enkel met de toestemming van de klant kan gebeuren. Mr. Franklin legt uit waarom dit niet altijd het geval is.
VERKERKINGSGROND VOOR DE VERWERKING VAN GEGEVENS
Volgens de huidige regeling rond gegevensbescherming moet de verwerking van persoonlijke gegevens altijd gebaseerd zijn op één van de door GDPR bepaalde verwerkingsgronden. In de meest voorkomende gevallen zal men bij marketing-verwerkingen de expliciete toestemming van de betrokkene als rechtsgrond gebruiken. Dit is ook waarom je nu op bijna elke website een checkbox ziet verschijnen waarbij je kan aanvinken of de betrokken onderneming jou mag contacteren.
De uitdrukkelijke toestemming van de betrokkene is echter niet altijd de enige of de best passende verwerkingsgrond. De GDPR voorziet zes verwerkingsgronden waarop een verwerking van persoonsgegevens gebaseerd dient te zijn, en toestemming is daar maar één van. In sommige gevallen zijn er dus nog andere mogelijkheden om het feit dat je als marketeer gegevens verwerkt te rechtvaardigen.
We lichten de meest frequent gebruikte rechtsgronden voor marketing toe:
Het is een vaak voorkomende misvatting dat voor direct marketing steeds voorafgaande toestemming vereist is van de ontvanger. De overweging 47 van de GDPR-Verordening stelt uitdrukkelijk dat gerechtvaardigd belang een geldige rechtsgrond voor de verwerking van persoonsgegevens in het kader van direct marketing kan vormen.
Bij het verwerken van persoonsgegevens dient dan een afweging te worden gemaakt tussen het belang van de onderneming en het recht op privacy van de betrokkene. Om gerechtvaardigd belang van de onderneming als rechtsgrond te gebruiken moet dit belang dan ook doorslaan. Dit wordt geval per geval beoordeeld.
Let op: de mogelijkheid om direct marketing te steunen op gerechtvaardigde belangen geldt niet voor elektronische direct marketing. In dit geval moet rekening worden gehouden met de Richtlijn betreffende privacy en elektronische communicatie (e-Privacy richtlijn).
Direct marketing is een vorm van marketing waarbij reclameboodschappen rechtstreeks gericht worden aan geïdentificeerde of identificeerbare personen. Het gaat dus om directe promotie bij de (potentiële) klant en niet van de tussenkanalen. Denk bijvoorbeeld aan email-marketing waarbij een email gestuurd wordt naar (potentiële) klanten. Zoekmachinemarketing is ook een voorbeeld van direct marketing.
Direct marketing brengt verwerking van persoonsgegevens met zich mee en valt bijgevolg onder het toepassingsgebied van de Algemene Verordening Gegevensbescherming.
DIRECT MARKETING
Bij Mr. Franklin bieden we gespecialiseerde GDPR-ondersteuning aan ondernemingen die actief zijn in marketing. We helpen uw organisatie bij het naleven van privacyregels, zoals het verkrijgen van geldige toestemming voor e-mailcampagnes, het correct verwerken van persoonsgegevens en het implementeren van compliant cookiebanners op uw website.
Daarnaast adviseren we over het opstellen van duidelijke privacy- en cookiebeleidsdocumenten die vertrouwen wekken bij uw klanten. Onze experts zorgen ervoor dat uw marketingactiviteiten, zoals profiling en retargeting, voldoen aan de GDPR, zonder afbreuk te doen aan uw commerciële doelstellingen. We kunnen u tevens bijstaan als DPO.
Bij vragen of klachten van klanten staan we u juridisch bij en helpen we de risico’s van sancties te minimaliseren. Met onze jarenlange ervaring in privacy- en marketingrecht begeleiden wij u naar een marketingstrategie die effectief én compliant is. Neem contact op voor advies op maat!
HOE KAN MR. FRANKLIN JE BIJSTAAN?
Remarketing (of retargeting) is het opnieuw benaderen van de eerdere bezoekers van jouw website met meer gerichte advertenties. Deze advertenties zijn dan ook afgestemd op het gedrag van de gebruiker tijdens zijn eerdere bezoeken aan jouw website.
Remarketing is een vorm van profilering waarbij je de persoonsgegevens van de potentiële klanten gebruikt om ze meer gericht te kunnen benaderen. Omdat in dit geval sprake is van de verwerking van persoonlijke gegevens zijn de GDPR-normen ook hier van toepassing.
REMARKETING
Een van de mogelijke verwerkingsgronden voor de verwerking van persoonsgegevens in het kader van direct marketing is de voorafgaande toestemming van de gebruiker. De AVG stelt 4 cumulatieve criteria voorop waaraan voldaan moet zijn opdat men van een geldige toestemming kan spreken:
Geïnformeerde keuze
De betrokkene moet goed begrijpen waarvoor hij zijn toestemming precies geeft. Deze voorwaarde houdt in dat de entiteit die persoonsgegevens verwerkt de betrokkene goed moet informeren over het doel, het verloop en de frequentie van deze verwerking. De informatie moet bovendien geformuleerd worden in begrijpelijke taal en moet helder en volledig zijn.
Het volstaat niet dat deze informatie toegankelijk is. De onderneming moet de betrokkenen ook actief informeren over de gegevensverwerking.
Vrije keuze
De toestemming als rechtsgrond is niet geldig indien de toestemming nodig is om een bepaald nadeel te voorkomen of de toestemming niet ten alle tijden intrekbaar is. Voor de betrokkene moet er dus een reële mogelijkheid bestaan om de verwerking van zijn persoonlijke gegevens te weigeren.
Specifieke toestemming
De wetgever wou met deze voorwaarde de betrokkene een zekere mate van controle geven over het gebruik van de verkregen persoonsgegevens. Dit hangt ook samen met de transparantieverplichting in hoofde van de gegevensverwerker.
De toestemming moet dus telkens gegeven worden voor iedere afzonderlijke of specifieke direct marketingdoeleinden. Houdt de gegevensverwerker meerdere doeleinden voor ogen, dan moet de betrokkene verschillende toestemmingen geven.
Uitdrukkelijke toestemming: een opt-in in plaats van een opt-out
Volgens de GDPR is het geven van een actieve toestemming vereist: het akkoord van de betrokkene moet blijken uit een duidelijke, ondubbelzinnige, positieve handeling. Een vooraf aangevinkte checkbox, waarbij de betrokkene het vinkje moet wegnemen om niet akkoord te gaan met de gegevensverwerking (opt-out), is dus niet meer aan de orde. Naar de huidige GDPR-normen moet je gebruik maken van een opt-in systeem, waarbij de betrokkene zelf de checkbox moet aanvinken om zijn toestemming te geven.
Impliciete toestemming is dus ongeldig. De techniek waarbij een website aankondigt dat de betrokkene automatisch akkoord gaat met de gegevensverwerking door verder te surfen is daardoor nu ook verboden.
Intrekbaar op ieder moment
De toestemming moet op ieder moment intrekbaar zijn. Het intrekken van de toestemming moet op een eveneenvoudige manier kunnen gebeuren als het geven van de toestemming.