Adresboekgegevens van niet-gebruikers van sociaal platform mochten niet worden verwerkt | beslissing Belgische privacy autoriteit

In social media-land is het gewoon geworden dat gebruikers van de platforms andermans gegevens verschaffen aan de advertentiebedrijven die de platforms exploiteren. Dat vindt onder meer plaats doordat de advertentiebedrijven zich toegang verschaffen tot de adresboeken van gebruikers. De inhoud van de adresboeken – contactgegevens van derden (niet-gebruikers) – worden geüpload naar het advertentiebedrijf. Aan de hand daarvan kunnen advertentiebedrijven persoonsprofielen maken, iets wat op gespannen voet staat met de AVG. Immers, de personen uit de adresboeken hebben geen toestemming gegeven.

Beslissing gegevensbeschermingsautoriteit

In België is dit onderwerp aan de orde geweest in een beslissing van de Gegevensbeschermingsautoriteit, de Belgische privacy-toezichthouder (‘de autoriteit’), van 14 mei 2020. Het ging over een niet met naam genoemd sociaal platform, hierna ‘het Platform’. Het Platform verzocht de gebruikers om toegang tot het adresboek, waarbij de personen uit het adresboek (niet-gebruikers) uiteraard geen toestemming konden geven, met als doel dat de gebruikers die niet-gebruikers zouden kunnen uitnodigen voor het Platform. Het Platform beriep zich erop dat de adresboekgegevens mochten worden verwerkt op grond van toestemming, dan wel een ‘gerechtvaardigd belang’. Dat standpunt werd door de Gegevensbeschermingsautoriteit niet gedeeld.

De autoriteit stelt vast dat een gebruiker van het Platform geen toestemming kan geven voor de verwerking van de persoonsgegevens van niet-gebruikers van het Platform.

Gerechtvaardigd belang

Vervolgens komt de AVG-grondslag ‘gerechtvaardigd belang’ aan de orde en bespreekt de autoriteit de wijze waarop moet worden getoetst, wat er op neer komt dat het Platform dient aan te tonen dat:

1. De belangen die het Platform met de verwerking nastreeft, als gerechtvaardigd kunnen worden erkend (de ‘doeltoets’).
2. De beoogde verwerking noodzakelijk is voor de verwezenlijking van deze belangen (de ’noodzakelijkheidstoets’).
3. De afweging of deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van betrokkenen (de personen uit het adresboek) doorwegen in het voordeel van het Platform of van een derde (de ‘afwegingstoets’).

Doeltoets

Aan de ‘doeltoets’ wordt door het Platform voldaan, want direct marketing kan daaronder vallen. Bij de ‘noodzakelijkheidstoets’ komt het Platform in de problemen:

• er worden te veel persoonsgegevens uit de adresboeken geïmporteerd;
• de persoonsgegevens werden te lang bewaard; de autoriteit oordeelt dat alleen met inachtneming van de noodzakelijkheidstoets wordt gehandeld als de persoonsgegevens onmiddellijk na initieel gebruik worden gewist;
• ten onrechte wordt geen onderscheid gemaakt tussen personen in het adresboek die al gebruiker zijn van het Platform en degenen die dat niet zijn.

De autoriteit concludeert dat het opslaan van contactgegevens van niet-gebruikers van het Platform slechts is toegestaan in de context van ‘compare & forget’ onder strikte vereisten en waarborgen, waaraan in de behandelde zaak niet wordt voldaan.

Afwegingstoets

De ‘afwegingstoets’ loopt eveneens verkeerd af voor het Platform: personen in een adresboek horen er geen rekening mee te hoeven houden dat hun gegevens via een dienst als het Platform elders terecht komen. Ook hier speelt dat er te veel gegevens worden verwerkt en deze te lang worden bewaard.

Het Platform mocht de persoonsgegevens van niet-gebruikers uit de adresboeken van de gebruikers in de gegeven situatie niet verwerken op basis van gerechtvaardigd belang. Dat zou alleen anders zijn geweest, als het Platform zich zou hebben beperkt tot een strikte ‘compare & forget-aanpak’, waarbij de autoriteit opmerkt dat het geen argument is dat ‘iedereen het doet’. Het Platform krijgt een boete van € 50.000 euro opgelegd.

De uitspraak, die ook voor de Nederlandse praktijk van belang is, geeft aan dat bij de verwerking van persoonsgegevens altijd zorgvuldig moet worden nagegaan of de verwerking op grond van de AVG is toegestaan. Het is goed mogelijk dat een handelwijze gewoon is geworden, die in strijd is met diezelfde AVG. Denk dus goed na – zeker als het om marketing gaat – en win tijdig advies in bij een privacy-deskundige van Pellicaan Advocaten.