28 jan
2021

De GBA stelt paal en perk aan handel in persoonsgegevens bij de welbekende “roze doos”

De GBA heeft zopas een boete van 50.000 euro opgelegd aan de onderneming Family Service, die de "roze dozen" verdeelt en dit wegens verschillende inbreuken op de AVG, waaronder een gebrek aan transparantie ten aanzien van haar klanten over haar handel in persoonsgegevens. Het bedrijf heeft zonder geldige toestemming gegevens van meer dan 1 miljoen klanten en hun kinderen gedeeld met zakenpartners.
 


Gebrek aan transparantie over het verhandelen van klantgegevens

De GBA stelde een onderzoek in naar aanleiding van een klacht tegen Family service, een marketingbedrijf dat aanstaande moeders "roze dozen" aanbiedt met stalen, speciale aanbiedingen en informatiefiches. De klacht had met name betrekking op de overdracht van persoonsgegevens aan derde organisaties zonder geldige toestemming van de klant en zonder daarover voldoende informatie  te verstrekken.

De Geschillenkamer van de GBA stelde vast dat het bedrijf persoonsgegevens verhuurde en/of verkocht voor commerciële doeleinden. Deze praktijk werd in de communicatie met de klanten echter niet op een duidelijke en begrijpelijke manier aangegeven. Het is in dit geval des te belangrijker dat het bedrijf de klant naar behoren over deze praktijken informeert, wetende dat de roze dozen via gynaecologen en ziekenhuizen werden verspreid, waardoor de klanten hadden kunnen denken dat het initiatief van de overheid kwam, en niet van een particulier bedrijf waarvan de kernactiviteit de handel in gegevens is.  Het stelt zichzelf ook voor als een "nationale dienst voor de promotie van kinderartikelen", wat de verwarring voor de betrokkenen nog vergroot.

De klantgegevens werden echter niet alleen doorgegeven aan aanbieders van diensten in verband met jonge kinderen, maar ook aan andere soorten partners zoals data handelaars .

Dit gebrek aan informatie leidt tot een concreet risico voor de klanten, die de controle over hun gegevens verliezen omdat zij worden geconfronteerd met een onvoorziene verwerking van hun persoonsgegevens door derde organisaties die zij niet kennen, voor doeleinden die hen niet zijn omschreven.

Het niet-naleven van de voorwaarden voor een geldige toestemming

Voorts herinnert de Geschillenkamer eraan dat een toestemming, om geldig te worden geacht als bedoeld in de AVG (algemene verordening gegevensbescherming), aan een aantal voorwaarden moet voldoen. De toestemming moet niet alleen berusten op informatie, maar moet ook vrijelijk worden gegeven, d.w.z. de betrokkene moet echt kunnen kiezen of hij al dan niet toestemming wil geven voor de verwerking van zijn gegevens. Toestemming kan dus niet als vrij worden beschouwd indien het niet-verlenen van toestemming het verlies betekent van de voordelen die verbonden zijn aan het ontvangen van de roze doos (zoals bijvoorbeeld de aangeboden informatiefiches).

Verder moet de toestemming specifiek zijn. De betrokkene moet zijn toestemming geven voor een welbepaald doeleinde. Indien een organisatie de toestemming van een klant vraagt voor meer dan één doel, moet de klant de gelegenheid krijgen om voor elk doel afzonderlijk al dan niet toestemming te geven. De GBA stelde echter vast dat de toestemming van een klant om de voordelen van de "roze doos" te ontvangen in dit geval automatisch een overeenkomst tot gegevensoverdracht inhield.

De straf: een duidelijk signaal voor data brokers

Gezien het aantal betrokken personen (het bedrijf verwerkt gegevens van 21,10% van de Belgische bevolking), de ernst van de inbreuk en de aard van de verwerkte gegevens (in het bijzonder gegevens over kinderen), heeft de GBA besloten het bedrijf dat "roze dozen" verspreidt een boete van 50 000 EUR op te leggen en te bevelen de AVG na te leven. Gezien de omvang van de onderneming gaat het om een groot bedrag, maar de Geschillenkamer van de GBA meent dat een strenge straf noodzakelijk was. Het businessmodel van Family Service is duidelijk niet in overeenstemming met de AVG en de vastgestelde inbreuken zijn ernstig.

Hielke Hijmans, Voorzitter van de Geschillenkamer: "Van een onderneming waarvan de kernactiviteit bestaat uit de verwerking (en in dit geval met name de handel) van persoonsgegevens, mag worden verwacht dat zij alles in het werk stelt om de beginselen inzake gegevensbescherming en de regels van de AVG na te leven. Het is van essentieel belang dat de zogeheten data brokers (data handelaars), vanwege hun invasieve businessmodel, volledig transparant te werk gaan zodanig dat de burgers de controle kunnen behouden over hun gegevens. Een onvolledige en misleidende voorstelling van hoe gegevens zullen worden gebruikt, is in strijd met de Belgische en Europese regels over gegevensbescherming. Dit is een belangrijke reden waarom de Geschillenkamer deze relatief hoge sanctie heeft opgelegd. "

David Stevens,  voorzitter van de GBA: “Zowel direct marketing als de handel in gegevens behoren tot onze prioriteiten voor 2020-2025 (vastgelegd in ons Strategisch Plan). Wij hopen dat de beslissing van vandaag een duidelijk signaal zal zijn voor de ondernemingen die actief zijn in de gegevenshandel zodat dergelijke praktijken zich niet meer voordoen. Deze beslissing is een mooi voorbeeld van onze vernieuwde aanpak als autoriteit: vorig jaar hebben wij een uitgebreide aanbeveling gepubliceerd over direct marketing, waarin wij de regels zoveel mogelijk hebben verduidelijkt. Iedereen was dus in zekere zin gewaarschuwd, of had het moeten zijn. Vandaag hebben wij deze regels concreet toegepast en daaraan de noodzakelijke sancties gekoppeld. Verduidelijken en toepassen zijn de twee belangrijkste manieren waarop wij een betere bescherming van de privacy willen waarmaken.” 

 

Op 7 juli 2021 deed het Hof van Beroep (sectie Marktenhof) uitspraak in de zaak betreffende het beroep ingesteld tegen de beslissing 04/2021 van de Geschillenkamer. Het Marktenhof verklaarde het beroep ontvankelijk doch ongegrond (lees hier het arrest).

Interessante links