Bescherming van persoonsgegevens uit sociale media
Persoonsgegevens van sociale netwerken niet aanwenden voor reclamedoeleinden!
Social media
Eind vorig jaar heeft de Italiaanse autoriteit persoonsgegevens, de “Garante per la protezione dei dati personali” (Garante) een uitspraak gedaan in een zaak waarbij er sprake was van het versturen van spam aan gebruikers van sociale netwerken. Hierbij werden er mailadressen van onder meer LinkedIn- en Facebookgebruikers verzameld die vervolgens werden gebruikt om reclame naartoe te sturen. De Garante heeft in haar uitspraak duidelijk gemaakt dat mailadressen die gevonden kunnen worden op sociale netwerken zoals onder andere LinkedIn en Facebook niet mogen worden aangewend voor marketingactiviteiten doordat de expliciete en specifieke toestemming hierbij ontbreekt.
Marketingdoeleinden
In een onderzoek naar aanleiding van een klacht heeft de Garante vastgesteld dat er zo’n 100.000 reclame-uitingen over de afgelopen twee jaren waren verstuurd aan een aantal specifieke mailadressen die afkomstig waren van sociale netwerken zoals LinkedIn en Facebook. In haar uitspraak heeft de Garante nadrukkelijk kenbaar gemaakt dat mailadressen die op sociale media staan vermeld niet zomaar mogen worden aangewend voor welk doel dan ook. In tegenstelling tot wat de verdediging aanvoerde stelt de Garante dat het aanmelden door een gebruiker op een sociaal netwerk geen impliciete toestemming oplevert van deze gebruiker om zijn gegevens voor marketingactiviteiten te mogen gebruiken. Marketingdoeleinden zijn immers niet verenigbaar met de functie van sociale netwerken. Het doel hiervan is informatie delen en gebruikers helpen bij het ontwikkelen van professionele contacten, zo stelt de Garante.
AVG
Ik verwacht dat een dergelijke zaak, zowel onder de Wet Bescherming Persoonsgegevens (WBP) als onder de Algemene Verordening Gegevensbescherming (AVG) in Nederland een soortgelijk resultaat zal opleveren. De AVG heeft invloed op de manier waarop organisaties met marketing en acquisitie kunnen omgaan. In algemene zin is er een grondslag nodig wanneer je als organisatie persoonsgegevens gaat verwerken. Een aantal grondslagen zijn bijvoorbeeld het krijgen van toestemming van een betrokkenen of de noodzakelijk voor het uitvoeren van een overeenkomst met de betrokkenen.
Verwerkingsgrondslag
Ook de gerechtvaardigde belangen van een verwerkingsverantwoordelijke kan een rechtsgrond bieden voor verwerking. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als “uitgevoerd met het oog op een gerechtvaardigd belang”. Dit kunnen we lezen in overweging 47 bij de AVG. Dit uitgangspunt heeft wel z’n beperkingen: de belangen en de grondrechten van de betrokkene kunnen zwaarder wegen dan het belang van de verwerkingsverantwoordelijke. Hier dient telkens weer een zorgvuldige beoordeling te worden gemaakt om zo te bepalen of er sprake is van een gerechtvaardigd belang en om te bepalen of een betrokkene, op het tijdstip en in het kader van de verzameling van de persoonsgegevens, redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. Als gebruiker van sociale netwerken dien je er derhalve op te kunnen rekenen dat je persoonsgegevens niet voor marketingdoeleinden worden gebruikt, zo bevestigd deze uitspraak.