Betreft
Een sociaal mediaplatform bood aan haar gebruikers de mogelijkheid om vrienden uit te nodigen toe te treden tot het platform. Hiervoor gebruikte het platform bepaalde gegevens van deze vrienden. De inspectiedienst van de gegevensbeschermingsautoriteit achtte deze werkwijze een onderzoek waard.
Context
Rechtsgrondslag van verwerkingen van persoonsgegevens door sociale media platform – systeem “invite a friend”
Rechtsgrond
Artikel 5 GDPR: “1. Persoonsgegevens moeten:
a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”)”
Artikel 6 GDPR: “1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.”
Artikel 7 GDPR: “1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.”
Artikel 4.11) GDPR: “Voor de toepassing van deze verordening wordt verstaan onder: (…)
11) „toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;”
Feiten
Op 28 november 2018 besliste het Directiecomité van de GBA om een zaak aanhangig te maken bij de Inspectiedienst van de GBA. Aanleiding was de praktijk waarbij het sociale netwerk en website “W” zijn leden uitnodigt om de “vrienden/contacten” van die leden toe te voegen. Meer bepaald stelde de Inspectiedienst zich vragen over de categorieën persoonsgegevens van niet-gebruikers die verwerkt werden alsook de bewaartijd van die gegevens. Het inspectieverslag identificeerde potentiële inbreuken op artikel 5.2., 6, 4.11), 7, 37 en 38 van de GDPR.
“W” biedt een platform aan om nieuwe mensen in de privésfeer te leren kennen zonder beperking (vriend of relatie) met zo’n 4,5 miljoen actieve gebruikers per maand, verspreid over de hele wereld, waarvan 1,5 miljoen gebruikers zich in de EU bevinden. Zij is de verantwoordelijke voor de verwerking van de persoonsgegevens van de gebruikers van het sociale media platform, alsook voor de verwerking van de contactgegevens van niet-gebruikers (namen, telefoonnummers of e-mail adressen) en andere informatie van de contacten, die op de servers van “W” opgeslagen worden naar aanleiding van de synchronisatie van het adresboek (GSM of email) van de gebruikers van de website. “W” bepaalt immers het doel van en de middelen voor de verwerking van persoonsgegevens.
Bijzonder interessant hierbij is de toepassing van de uitzondering “huishoudelijke exceptie” in de zin van artikel 2 GDPR. De GDPR is namelijk niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren: het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten.
Maar, en nu komt de aap uit de mouw, de GDPR geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. Aangezien verweerder verwerkingsverantwoordelijke is voor het uitsturen van uitnodigingsmails, kan zij dus geen beroep doen op de “huishoudelijke exceptie”.
Wat betreft het verwerken van persoonsgegevens van niet-gebruikers:
Elke verwerking van persoonsgegevens moet gebaseerd zijn op een rechtmatigheidsgrond overeenkomstig artikel 6 GDPR.
Wat betreft artikel 6.1.a) GDPR volgt de Geschillenkamer, “W” niet in zijn stelling dat de gebruiker van de sociale media website zelf zijn toestemming kan geven voor het importeren door de website van persoonsgegevens van derden in zijn adresboek, met het oog op het versturen van een uitnodigingse-mail.
Alleen de betrokkenen wiens persoonsgegevens verwerkt worden, kunnen geldig hun toestemming verlenen met het oog op de verwerking van die gegevens (behoudens gevallen van ouderlijke toestemming (artikel 8.1. GDPR) of een andere wettelijke volmacht). Worden er persoonsgegevens van een derde gebruikt, dan moet deze derde zelf zijn toestemming verlenen overeenkomstig artikel 7 j° 4.11) GDPR. Van een dergelijke toestemming is in casu geen sprake.
Onder toestemming wordt verstaan: “Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”. Derhalve beslist de Geschillenkamer dat de GDPR het versturen van e-mails naar derde personen met het oog op het verkrijgen van hun toestemming niet toelaat.
In casu wordt geen andere rechtsgrondslag dan de toestemming door “W” ingeroepen. “W” roept de grondslag “gerechtvaardigd belang” (artikel 6.1.f) GDPR) enkel ten ondergeschikte titel in. De Geschillenkamer onderzocht deze piste en kwam tot volgend besluit:
(1) wat betreft de verwerking van persoonsgegevens voor direct marketingdoeleinden kan “W” zich niet rechtsgeldig beroepen op het “gerechtvaardigd belang” als rechtmatigheidsgrond;
(2) het “gerechtvaardigd belang” in dit geval laat enkel toe om gegevens van niet-gebruikers te verwerken met het oog op een “compare & forget” actie, ten einde bestaande gebruikers onder de contactgegevens te selecteren en eventuele uitnodigingsmails aan die bestaande gebruikers te versturen;
(3) meer in het bijzonder is de Geschillenkamer in dit geval van oordeel dat de verwerking beperkt moet worden tot de gegevens die strikt noodzakelijk zijn voor het doeleinde “uitnodiging tot de website” en voor zover het technisch onmogelijk is om in het adresboek van een gebruiker een onderscheid te maken tussen leden en niet-leden zonder deze gegevens eerst minimaal te verwerken. Verweerder zou bovendien conform artikel 32 GDPR gepaste technische en organisatorische maatregelen moeten treffen om de verwerking naar behoren te beveiligen. Slechts onder deze voorwaarden zou deze verwerking op basis van het “gerechtvaardigd belang” van “W” kunnen verlopen.
Wat betreft persoonsgegevens van bestaande gebruikers onder de contactpersonen opslaan en uitnodigingse-mails naar bestaande gebruikers (contacten) versturen:
“W” roept de toestemming van de gebruikers in om de contactgegevens van andere gebruikers in zijn servers op te slaan en die gegevens in de context van uitnodigingse-mails te verwerken.
De Geschillenkamer stelt evenwel vast dat de toestemming van de gebruikers niet vrij was in de mate dat de eerste versie van de website de bestemmelingen van de uitnodigingse-mails vooraf selecteerde. Het Hof van Justitie heeft recent in het arrest Planet49 als volgt bevestigd dat een toestemming niet geldig bekomen is als vooraf aangevinkte vakjes gebruikt worden.
Zolang de bestemmelingen van e-mails vooraf aangevinkt werden, kon de verweerder dus de rechtsgrondslag “toestemming” niet inroepen wat betreft het opslaan van de contactgegevens van bestaande gebruikers, en het versturen van uitnodigingse-mails naar bestaande gebruikers.
Maar aangezien “W” vrijwillig de vooraf gevinkte opties – naar aanleiding van de grieven van de Inspectiedienst in dat verband – heeft verwijderd, komt de verwerkingsverantwoordelijke “W” wel in aanmerking om dergelijke e-mails op basis van zijn gerechtvaardigd belang in naam en voor rekening van zijn gebruikers naar andere gebruikers te versturen.
Conclusie:
– “W” heeft geen wettelijke grondslag om de persoonsgegevens van niet-gebruikers van de website “W” in zijn bestanden op te slaan en verder te verwerken met het oog op het versturen van een uitnodigingse-mail: hiermee staat een inbreuk op de artikelen 5 en 6 GDPR vast;
– “W” heeft geen wettelijke grondslag om uitnodigingse-mails naar bestaande gebruikers van de website te versturen gedurende de periode waarin de bestemmelingen van de uitnodigingse-mails vooraf aangevinkt waren: inbreuk op artikel 5.1 juncto 6.1.a), 7 GDPR en 4.11 GDPR.
Uitspraak
Er werd aan “W” een administratieve boete van € 50.000 opgelegd.
Onze mening
Het belangrijkste om mee te nemen in deze zaak is het feit dat toestemming enkel maar bekomen kan worden van de betrokkene zelf. Toestemming door iemand anders kan niet in de plaats komen.
Bovendien kan niet van toestemming gesproken worden indien “by default” de vakjes ter goedkeuring automatisch aangevinkt staan.
Definitief?
Ja
Integrale beslissing