Eerste GDPR rechtspraak: verbod op “bundelen” van opt-ins in Oostenrijk

Zes maanden zijn inmiddels verstreken sinds de GDPR van toepassing werd en terwijl het in België voorlopig met een vergrootglas speuren blijft naar controles, boetes en rechtszaken, stromen uit andere EU lidstaten de voorbeelden dagelijks binnen.  

In Oostenrijk bijvoorbeeld, een van de meer vlijtige leerlingen in de GDPR-klas, ligt zelfs al een eerste beslissing van het Hooggerechtshof voor.

Zo snel een arrest van het Hooggerechtshof?

Het lijkt op het eerste zicht een beetje vreemd dat er nauwelijks zes maanden na de inwerkingtreding van de GDPR al een arrest van het Hooggerechtshof voorligt, maar het gaat hier dan ook om een zaak die in eerste aanleg en in beroep nog onder het “oude” recht behandeld werd, maar waarin het Hooggerechtshof deze zomer oordeelde met toepassing van de beginselen uit de GDPR.

In Oostenrijk is het namelijk zo dat wanneer er tussen de dagvaarding in een stakingsprocedure (wat in casu het geval was) en de beslissing van de rechtbank een wetswijziging is geweest, de rechtbank rekening moet houden met zowel de oude wetgeving als de nieuwe wetgeving alvorens een stakingsverbod op te leggen.  Als de nieuwe wetgeving een bepaalde praktijk niet (meer) verbiedt kan geen stakingsbevel opgelegd worden. Aldus moest het Oostenrijkse hooggerechtshof ook rekening houden met de regels die in de GDPR zijn vastgelegd voor het geven van geldige toestemming.

Inhoud van het geschil: verbod op het “bundelen” van toestemmingen

Een en ander draaide in casu om de veroordeling van een bedrijf dat bij het aanvaarden van haar algemene voorwaarden en privacy policy opt-ins gebruikte waarin onder meer ook automatisch toestemming vereist was van de betrokkenen voor bepaalde marketingactiviteiten die niet absoluut vereist waren voor de uitvoering van het contract.  Klanten konden geen overeenkomst aangaan met het bedrijf in kwestie zonder toestemming te verlenen voor deze marketingactiviteiten.

De GDPR verbiedt nochtans duidelijk het “bundelen” van toestemmingen voor verschillende verwerkingsactiviteiten.

Op grond van artikel 7, lid 4 GDPR, “wordt bij de beoordeling van de vrije verstrekking van de toestemming zoveel mogelijk rekening gehouden met de vraag of de uitvoering van een overeenkomst, met inbegrip van de verlening van een dienst, afhankelijk is van toestemming voor de verwerking van persoonsgegevens. gegevens die niet noodzakelijk zijn voor de uitvoering van dat contract “.

Overweging 43 van de AVGB wordt nog sterker geformuleerd: “De toestemming wordt geacht niet vrijelijk te worden gegeven als [...] de uitvoering van een contract, met inbegrip van het verlenen van een dienst, afhankelijk is van de toestemming, ondanks dat een dergelijke toestemming niet noodzakelijk is voor een dergelijke prestatie.

Het Hooggerechtshof in Oostenrijk oordeelde in dit geval dat van een vrije toestemming geen sprake was, precies omdat deze gebundeld werd samen met andere toestemmingen en verplicht was om de dienst te kunnen afnemen.

Relevant voor Belgische ondernemers?

Deze beslissing van het Oostenrijkse Hooggerechtshof is vanzelfsprekend in eerste instantie enkel bindend voor Oostenrijkse rechtbanken.  Ze heeft geen rechtstreeks effect voor Belgische bedrijven.

Dat neemt echter niet weg dat wij in onze praktijk vaststellen dat de behandelde rechtsvraag ook in België zéér vaak problemen stelt.  We zien slag om slinger gevallen waarin betrokkenen “verplicht” zijn om toestemming te geven of waar toestemming globaal gegeven wordt voor een hele waslijst verwerkingsactiviteiten zonder dat de betrokkene individueel kan kiezen waarmee hij wel en niet akkoord gaat.

De kans is dan ook reëel dat een gelijkaardige dossier ooit tot voor onze Belgische rechtbanken raakt en in dat geval zal de beslissing identiek zijn.  Het Oostenrijkse Hooggerechtshof maakt immer een zeer correcte analyse van de toepasselijke bepalingen uit de GDPR.

Hoe voorkom ik dan als Belgische ondernemer in de problemen te komen met opt-ins?

De regels rond het vragen en bekomen van opt-ins zijn eigenlijk niet zo complex:

  • Zorg ervoor dat alle opt-ins “geïnformeerd” zijn.  Dat betekent dat betrokkenen wéten wie u bent en wat u met hun gegevens van plan bent.  Ze moeten met andere woorden voorafgaand kennis kunnen nemen van uw Privacy Policy.
  • Zorg ervoor alle opt-ins “vrij” zijn.  Dat betekent dat betrokkenen ook neen moeten kunnen zeggen zonder daarvoor gesanctioneerd te worden.  Ze moeten met andere woorden kunnen deelnemen aan uw online wedstrijd zónder opt-in voor toekomstige direct marketing.
  • Zorg ervoor dat uw opt-ins “specifiek” zijn.  Dat betekent dat u géén opt-in voor 5 verschillende verwerkingsactiviteiten “bundelt” achter één aanvinkhokje.  Elke zelfstandige verwerking vereist een afzonderlijke toestemming. Een en ander is weliswaar moeilijk in praktijk te brengen, maar het is in de meeste gevallen wél mogelijk om alvast afzonderlijk toestemming te vragen voor ingrijpende activiteiten zoals bvb direct marketing, uitwisseling van gegevens met partners of export van gegevens buiten de EU.

Let er verder aandachtig op dat u de andere basisprincipes uit de GDPR naleeft:

  • Verwerk gegevens alleen en uitsluitend voor het doel waarvoor ze u verstrekt werden (geen “recyclage” van data voor andere doeleinden).
  • Verzamel alleen die gegevens waarvan u kan bewijzen dat u ze nodig heeft (geen “we zien later wel wat we ermee doen”).
  • Bewaar gegevens niet langer dan “nodig” (en zorg ervoor dat u schriftelijk kan bewijzen dat u vooraf heeft nagedacht over correcte bewaartermijnen).
  • Zorg dat u alle persoonsgegevens die u verzamelt “veilig” bewaart, door zowel op technisch vlak (firewall, antivirus, …) als op “organisatorisch” vlak (toegang tot dat, delen van data, printerbeleid, paswoordbeleid, …) gepaste veiligheidsmaatregelen te nemen.

Vragen over GDPR in België of Europa?

Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of via +32 2 721 13 00