Consent verzamelen, het is een permanente uitdaging voor online marketeers. Consumenten zijn zich immers steeds meer bewust van hun eigen recht op privacy en vinken steeds minder vaak consent boxes aan. Bovendien gebruiken heel wat mensen tegenwoordig one time mailadressen of andere privacyverhogende technologie om anoniem te blijven voor marketeers.
Het verwondert ons niet dat in marketingmiddens vaak teruggegrepen wordt naar het zogenaamde “gerechtvaardigde belang” of “legitimate interest” als juridische basis om persoonsgegevens te verwerken. Een recente beslissing van de Italiaanse gegevensbeschermingsautoriteit (de “Garante”) tegen Commify Italia Srl onderstreept het gevaar van dat gerechtvaardigd belang als juridische basis en herhaalt het belang van een zorgvuldige voorafgaande juridische beoordeling van het gerechtvaardigd belang als juridische grondslag voor de verwerking van persoonsgegevens onder GDPR.
Italiaanse beslissing
Op 11 januari 2023 veroordeelde de Italiaanse Garante het bedrijf Commify Italia Srl voor meerdere inbreuken op de GDPR. Commify is eigenaar van een webplatform Skebby. Op dit platform wordt content gemodereerd op basis van geautomatiseerde controles. Commify scant de inhoud van duizenden berichten die haar klanten naar hun eindgebruikers sturen om mogelijk frauduleuze berichten te identificeren en te blokkeren. Commify baseerde deze verwerking op het gerechtvaardigd belang onder artikel 6(f) GDPR.
De Garante oordeelde echter dat Commify niet kon terugvallen op gerechtvaardigd belang omdat er voorafgaandelijk geen gedocumenteerde belangenafweging gemaakt was. Vaste rechtspraak van het Europees Hof van Justitie vereist dat er voorafgaand aan het gebruik van Legitimate Interest als rechtsgrond een zogenaamde “driestappentoets” wordt uitgevoerd en dat was in casu niet gebeurd. Alleen als de uitkomst van deze beoordeling positief is, mag de data controller zich baseren op het legitieme belang. Het niet voorafgaandelijk uitvoeren van deze driestappentoets vormt op zichzelf een inbreuk op GDPR en kan aldus aanleiding geven tot boetes en sancties.
Driestappentoets?
De driestappentoets is een essentieel proces dat moet worden uitgevoerd voordat een verwerkingsverantwoordelijke zich onder de AVG op gerechtvaardigd belang kan beroepen.
- Doeltoets: Identificeer het gerechtvaardigde belang. Dit kan een legitiem belang zijn van de verwerkingsverantwoordelijke zelf of van een derde partij.
- Noodzaaktoets: Beoordeel of de verwerking noodzakelijk is om het geïdentificeerde belang te bereiken. Dit betekent dat er geen andere redelijke en minder indringende manier moet zijn om hetzelfde doel te bereiken.
- Belangenafwegingstoets: Weeg het gerechtvaardigde belang van de verwerkingsverantwoordelijke af tegen de belangen, fundamentele rechten en vrijheden van de betrokkene. Hierbij dien je rekening te houden met de aard en bron van het gerechtvaardigde belang, de verwachtingen van de betrokkene, de aard van de gegevens en de mogelijke gevolgen van de verwerking.
Als uit deze toetsing blijkt dat het gerechtvaardigde belang zwaarder weegt dan de belangen van de betrokkene, dan kan de verwerking mogelijks op gerechtvaardigd belang worden gebaseerd.
Uitkomst van de toets zou wellicht niet negatief geweest zijn
In het specifieke geval van Commify oordeelde de Garante dat de uitkomst van de driestappentoets, als die uitgevoerd zou geweest zijn, niet noodzakelijk negatief zou zijn uitgevallen, maar dat het loutere feit dat de test niet uitgevoerd werd een inbreuk uitmaakt op GDPR.
De Garante was van mening dat, in elk geval, het scannen van de inhoud van tekstberichten zeer nadelig is voor de vrijheden van de betrokkenen, en niet kan worden gerechtvaardigd met de behoefte van de beheerder om betrokkenheid bij juridische procedures te vermijden. Betrokkenheid bij dergelijke juridische procedures is puur hypothetisch en moet worden beschouwd als een inherent bedrijfsrisico.
Aan de andere kant suggereerde Garante dat het scannen van de berichten niet inherent onwettig is. De Garante erkende dat de risico’s die verbonden zijn aan het gebruik van digitale diensten niet kunnen worden onderschat en dat de GDPR uitdrukkelijk het vermogen vermeldt om legitiem belang in te roepen bij het voorkomen van fraude. De beslissing erkent ook dat er een belangrijker belang is dan het belang van Commify om juridische procedures te vermijden. Dit grotere belang zou het belang van derden zijn om de risico’s te voorkomen die verbonden zijn aan de Skebby-service die kunnen ontstaan door het misbruik ervan. De Garante concludeerde om die reden dat de verwerking van Commify rechtmatig zou kunnen zijn geweest, mits Commify een beoordeling had uitgevoerd rekening houdend met de noodzaak en evenredigheid van de verwerking, de afwezigheid van alternatieven, het afwegen van tegenstrijdige belangen, en de meest effectieve en minst invasieve methoden voor het uitvoeren van de verwerking.
Wat betekent dit voor marketing professionals?
Dit illustreert het cruciale belang van een grondige beoordeling voordat gerechtvaardigd belang als rechtsgrond voor gegevensverwerking wordt gekozen.
Marketeers moeten zich goed bewust zijn van de noodzaak om vanuit juridisch oogpunt over een voldoende zekere basis te beschikken voordat persoonsgegevens verwerkt worden. De meest voor de hand liggende rechtsgrond daarbij is consent. Consent is immers transparant ten aanzien van de betrokkenen, duidelijk en makkelijk te bewijzen ook.
In sommige omstandigheden is gerechtvaardigd belang een goed alternatief, maar die keuze vereist een zorgvuldige voorafgaande beoordeling, documentatie en afweging van de respectieve belangen van het bedrijf en van de betrokkenen.
Wie als marketeer overweegt om gerechtvaardigd belang als rechtsgrond voor gegevensverwerking te gebruiken, houdt best rekening met de volgende praktische richtlijnen:
- Beoordeling: Voer een grondige beoordeling uit van het gerechtvaardigd belang. Dit houdt in dat je de doeltest, de noodzaaktest en de belangenafwegingstest doorloopt.
- Documentatie: Zorg ervoor dat de gerechtvaardigd belang-beoordeling wordt gedocumenteerd. Dit helpt bij het aantonen van naleving van de AVG indien dit ooit ter discussie zou komen.
- Naleving: Zorg ervoor dat alle andere AVG-principes worden nageleefd, inclusief gegevensbescherming door ontwerp en standaardinstelling.
GDPR audit voor marketingafdelingen
Bij Sirius Legal werken we vaak voor marketeers. Bij heel wat van onze cliënten voeren we een grondige GDPR audit uit specifiek op de marketing-, sales- of webafdeling. We brengen daarbij alle verwerkingen in kaart, doen een grondige check op GDPR compliance en op het naleven van alle basisprincipes uit de GDPR. We checken ook alle data flows, controleren opt-ins in verschillende kanalen, checken de tools en software die ingezet worden in de marketing stack en geven waar nodig aanbevelingen voor een betere, veiligere en meer transparante verwerking van persoonsgegevens.
Correct omgaan met persoonsgegevens is immers in onze filosofie geen puur wettelijke verplichting, maar één van de bouwstenen die leiden naar meer vertrouwen, meer brand loyalty en meer long term engagement van jouw audience.
Meer weten over GDPR Compliance?
Check onze webshop of boek een gratis kennismakingsgesprek in via de agendalink hiernaast.