2024
GBA sanctioneert gegevensbeheerder Black Tiger Belgium wegens gebrek aan transparantie
De GBA heeft vandaag Black Tiger Belgium (voorheen Bisnode Belgium), een bedrijf dat gespecialiseerd is in big data en gegevensbeheer, in totaal 174.640 euro aan administratieve geldboetes en corrigerende maatregelen opgelegd voor verschillende inbreuken op de AVG. Deze sanctie heeft onder meer betrekking op de oneerlijke verwerking van persoonsgegevens zonder de betrokkenen daarover proactief, individueel en op transparante wijze te informeren. De GBA stelde ook overtredingen vast op het gebied van de uitoefening van de rechten van de betrokkenen en het bijhouden van een register van de verwerkingsactiviteiten.
Context
De GBA ontving een klacht over gegevensverwerkingen door "data broker" (gegevensmakelaar) Bisnode Belgium, een bedrijf dat later werd overgenomen en de naam Black Tiger Belgium kreeg. De klagers hadden bij Bisnode Belgium gebruik gemaakt van het zogenaamde "recht op inzage", dat iedere persoon te allen tijde toelaat een organisatie te vragen om de gegevens die zij over hem bewaart, in te zien.
Op het moment dat de klachten werden ingediend, beheerde Bisnode Belgium een consumentendatabank (“CMX”) en een ondernemingsdatabank (“Spectron”), via welke Bisnode Belgium "Data Quality" (met het oog op het verbeteren van de kwaliteit van de gegevens van zijn klanten) en "Data Delivery" (met het oog op het leveren van gegevens aan zijn klanten voor onder andere het opzetten van marketingcampagnes) diensten aanbood. Deze databanken werden aangevuld met persoonsgegevens uit verschillende externe bronnen, zoals de Kruispuntbank van Ondernemingen voor wat betreft de Spectron-databank.
Na de overname van het bedrijf door de groep Black Tiger werden alleen de "Data Quality"-activiteiten en de B2B-databank behouden.
Grootschalige verwerking van gegevens zonder de betrokkenen voldoende te informeren
De AVG vereist dat de verwerkingen van persoonsgegevens op een geldige rechtsgrond steunen. In dit geval beroept Black Tiger Belgium zich op zijn gerechtvaardigd belang om de gegevens te verwerken. Om geldig te zijn in de zin van de AVG moet het gerechtvaardigd belang echter aan bepaalde voorwaarden voldoen.
De Geschillenkamer van de GBA is evenwel van mening dat niet aan deze vereisten is voldaan.
Zij herinnert er onder andere aan dat een belang niet gerechtvaardigd kan zijn als het in strijd is met geldende wetgeving. De wet verbiedt bijvoorbeeld de herverspreiding van gegevens van de Kruispuntbank van Ondernemingen voor direct-marketingdoeleinden.
Zij wijst tevens op het feit dat het bedrijf persoonsgegevens op onrechtstreekse wijze verzamelt en op grote schaal verwerkt, gedurende een lange periode (de gegevens worden 15 jaar bewaard), zonder dat de betrokkenen individueel op een duidelijke en proactieve manier worden geïnformeerd over de uitgevoerde verwerkingen. Deze verwerkingen kunnen nochtans een aanzienlijke impact op hen hebben. Een van de klagers verklaarde bijvoorbeeld dat hij door een van de klanten van Black Tiger Belgium werd geprofileerd op basis van door het bedrijf verstrekte gegevens. Volgens de GBA heeft Black Tiger Belgium onvoldoende rekening gehouden met dit soort risico's bij het afwegen van zijn gerechtvaardigd belang tegen dat van de betrokkenen. Bovendien kan het belang van Black Tiger Belgium niet prevaleren boven dat van de betrokkenen vanaf het moment dat zij, bij gebrek aan informatie over de uitgevoerde verwerkingen, niet in staat zijn om passende controle over hun persoonsgegevens uit te oefenen.
De GBA is van mening dat het bewaren van gegevens gedurende 15 jaar niet gerechtvaardigd is, in het bijzonder in de context van het leveren van "Data Quality"-diensten, die alleen vereisen dat de meest actuele gegevens bewaard worden.
Hielke Hijmans, voorzitter van de Geschillenkamer: "Transparantie is de hoeksteen waarop de AVG is gebaseerd. Omdat iemand op de hoogte is van het feit dat zijn gegevens worden verwerkt, kan hij de rechten uitoefenen die hem door de AVG worden toegekend, zoals bijvoorbeeld het recht om bezwaar te maken tegen een verwerking. Voor een data broker is het van essentieel belang om aan deze verplichting te voldoen, wat Black Tiger Belgium niet heeft gedaan.”
Daarnaast stelde de GBA vast dat Black Tiger Belgium geen volledig antwoord had gegeven op de verzoeken tot inzage van de klagers. Zij wees er in haar beslissing ook op dat er informatie ontbreekt in het register van de verwerkingsactiviteiten van het bedrijf.
Sancties: corrigerende maatregelen en geldboetes
Op basis van de vastgestelde inbreuken legt de Geschillenkamer van de GBA Black Tiger Belgium 3 verschillende administratieve boetes op, die samen in totaal 174.640 euro bedragen. Deze boetes hebben enerzijds betrekking op de onrechtmatige en onbehoorlijke verwerking van persoonsgegevens zonder de betrokkenen proactief, individueel en op transparante wijze te informeren, anderzijds op het nalaten om op passende wijze gevolg te geven aan de verzoeken van de betrokkenen tot uitoefening van hun recht van inzage, zoals toegekend door de AVG, en ten slotte op overtredingen die verband houden met het register van de verwerkingsactiviteiten.
Bij de berekening van de geldboetes hield de Geschillenkamer als verzachtende omstandigheid rekening met het feit dat Black Tiger Belgium zijn dienstverlening op het gebied van gegevenslevering ("Data Delivery") had beëindigd en zijn consumentendatabank ("CMX") had vernietigd.
Naast deze geldboetes legt de Geschillenkamer ook een reeks corrigerende maatregelen op aan Black Tiger Belgium, waaronder de beëindiging van de B2B "Data Quality" dienstverlening totdat de betrokkenen van wie het bedrijf over contactgegevens beschikt, proactief en individueel in kennis zijn gesteld van de uitgevoerde gegevensverwerkingen. Hierbij moet het bedrijf de betrokkenen onder meer informeren over hun recht om bezwaar te maken tegen de verwerking van hun gegevens. Wat de andere betrokkenen betreft, van wie Black Tiger Belgium geen contactgegevens in zijn bezit heeft, verbiedt de Geschillenkamer de verwerking van hun persoonsgegevens definitief, bij gebrek aan een geldige rechtsgrond in de zin van de AVG.
Hielke Hijmans: "De jarenlange inbreuken op de beginselen van rechtmatigheid, behoorlijkheid en transparantie bij de verwerking en commercialisering van gegevens zijn ernstige inbreuken, omdat ze de betrokkenen de volledige controle over hun persoonsgegevens ontnemen. Daarom is het belangrijk om een zware maar evenredige sanctie op te leggen, waarvan het afschrikkende karakter de gegevensbescherming van de Belgen op duurzame wijze zal verbeteren.”
De partijen waarop de beslissing betrekking heeft, hebben 30 dagen om beroep aan te tekenen.