Over de verwerking van persoonsgegevens voor marketingdoeleinden werd al veel gezegd en geschreven. Toch bleek nog niet alles voldoende duidelijk en om die reden wijdde de Gegevensbeschermingsautoriteit (GBA) op 17 januari van dit jaar haar eerste aanbeveling van het jaar aan dit onderwerp. Het volledige document kan je hier terugvinden. In deze blog behandelen we de kernpunten en geven we een antwoord op de meest gestelde vragen.
1. Wat is direct marketing?
Laat ons beginnen bij het begin: wat is direct marketing precies? In haar aanbeveling definieert de GBA direct marketing als volgt:
“Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.”
Het begrip ‘marketing’ moet dus niet noodzakelijk worden opgevat als boodschap met commercieel oogpunt of lucratieve doeleinden. Een e-mail uitgestuurd door een NGO die strijdt tegen vervuiling naar al diens leden om hen te informeren over alle wereldwijde acties de momenteel gevoerd worden, zonder hierbij om financiële ondersteuning te vragen of zonder goederen en diensten te promoten, is een direct marketing e-mail.
Ook belangrijk om in gedachten te houden is dat, wanneer geen persoonsgegevens worden verwerkt, men niet spreekt of ‘direct marketing’ en de GDPR dus geen toepassing zal vinden. Een reclamefolder die in ieders bus wordt gestopt of een banner op een website die aan iedere bezoeker wordt getoond, is geen vorm van direct marketing aangezien er hiervoor geen persoonsgegevens worden verzameld om bepaalde personen te benaderen. Ook mededelingen door overheden voor bepaalde campagnes die ze voeren (bv. vaccinatiecampagnes) of het promoten van diensten waarvoor ze wettelijk verantwoordelijk zijn, is geen direct marketing. Ook marktonderzoek, peilingen en enquêtes zijn geen vorm van direct marketing indien ze geen promotie bevatten en er via deze weg geen gegevens worden ingezameld voor direct marketing doeleinden.
2. Wat met verkoop, verhuur en verrijking van persoonsgegevens?
Bedrijven die persoonsgegevens doorgeven, verkopen of verhuren, zogenaamde data brokers, aan andere bedrijven voor direct marketing doeleinden, zijn verplicht de betrokkenen hierover uitdrukkelijk te informeren én hun voorafgaande toestemming te vragen.
Deze verplichting geldt ook wanneer zij persoonsgegevens verrijken met gegevens afkomstig uit andere databanken. Transparantie is cruciaal om gegevens eerlijk en rechtmatig te kunnen verwerken.
Indien u persoonsgegevens doorgeeft, dient u de ondernemingen aan wie u deze verkoopt of verhuurt, op te nemen in uw privacyverklaring. Indien dit niet mogelijk is, dient u minstens de sector en de verrichte activiteiten te vermelden, alsook concreet de activiteiten die ze van plan zijn om uit te voeren te omschrijven.
Wanneer uw onderneming samenwerkt met data brokers om marketingcampagnes te verbeteren en bij hen persoonsgegevens op te vragen waarover u niet beschikt, bent u verplicht om de betrokkene te informeren (o.a. over de verwerkingsdoeleinden, de identiteit van de verwerkingsverantwoordelijke, …) uiterlijk op het moment van contactname.
Bovendien is het uw verantwoordelijkheid om de kwaliteit van de gegevens na te gaan en met zorg de partners waarmee u samenwerkt te selecteren. Zij dienen u te kunnen garanderen dat de persoonsgegevens eerlijk en rechtmatig werden verzameld. Het is uw taak om de herkomst van de gegevens na te gaan, hoe ze werden verzameld, op welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijn en voor welke verwerkingen.
3. Rechtsgrond: toestemming of gerechtvaardigde belangen?
3.1 Rechtsgronden: meerdere opties
Indien u persoonsgegevens verwerkt, dient u te beschikken over een rechtsgrond. De GDPR geeft zes opties: 1) toestemming, 2) uitvoering van een overeenkomst, 3) voldoen aan een wettelijke verplichting, 4) bescherming van vitale belangen, 5) vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag, of 6) gerechtvaardigd belang.
3.2 Toestemming
Voor direct marketing zijn alvast slechts twee gronden mogelijk: de toestemming of het gerechtvaardigd belang. Toestemming is de meest gebruikte optie en is in sommige gevallen ook verplicht en dus de enige optie.
3.3 Gerechtvaardigd belang
In bepaalde gevallen zal u gebruik kunnen maken van de rechtsgrond ‘gerechtvaardigd belang’. Dit betekent dat uw organisatie een gerechtvaardigd belang heeft om bepaalde persoonsgegevens te verwerken voor een bepaalde verwerkingsactiviteit. Dit betekent dat u geen toestemming nodig heeft van de betrokkene. Het gebruik van de rechtsgrond van het gerechtvaardigd belang brengt wel enkele verplichtingen met zich mee: u dient een belangenafweging te maken en deze te documenteren.
Een aanvaard gebruik van het gerechtvaardigd belang als rechtsgrond, is voor het verzenden van marketingcommunicatie aan huidige klanten van wie u de toestemming had verkregen voorafgaand aan de inwerkingtreding van de GDPR. De klanten van wie u toen een geldige toestemming had verkregen, onder de Privacyrichtlijn (in België omgezet in privacywet van 8 december 1992) die aan de GDPR voorafging, mag u op grond van het gerechtvaardigd belang marketingcommunicatie blijven toezenden, op voorwaarde dat 1) de betrokkenen hierover transparant werden ingelicht en 2) zij zich ten allen tijde hiertegen kunnen verzetten. Zoals reeds gezegd, dient u deze belangenafweging te documenteren.
3.4 Redelijke verwachtingen
Bij het gebruik van het gerechtvaardigd belang is het belangrijk dat er sprake is van een relatie met de betrokkene: indien deze louter een prospect was of er is al in heel lange tijd geen contact meer, dan kunt u geen beroep doen op het gerechtvaardigd belang. De reden hiervoor is dat dé graadmeter om de mogelijke toepassing van het gerechtvaardigd belang na te gaan, de redelijke verwachtingen van de ontvanger zijn. Verwacht de ontvanger van deze marketingcommunicatie om deze te ontvangen? Indien het antwoord hier ‘nee’ is, kan het gerechtvaardigd belang niet worden ingeroepen.
De e-Privacyrichtlijn bepaalt dat het elektronisch versturen van ongevraagde direct marketing berichten voor commerciële doeleinden sowieso is onderworpen aan de voorafgaande toestemming. Het gerechtvaardigd belang zal hier in geen geval kunnen worden ingeroepen. De e-Privacyrichtlijn voorziet één uitzondering, deze wordt in de volgende alinea besproken.
4. Ter herinnering: de soft-opt in
Voor e-mails gericht aan klanten die reeds een aankoop deden en die soortgelijke producten of diensten aanprijzen, is in de wet een toepassing van het gerechtvaardigd belang voorzien.
De e-Privacyrichtlijn zoals in België omgezet in de Telecomwet voorziet in een zogenaamde “soft opt-in”-uitzondering voor elektronische post met het oog op direct marketing, gericht aan bestaande klanten van wie een organisatie de elektronische contactgegevens heeft verkregen in het kader van de verkoop van een product of dienst.
Deze soft-opt in uitzondering laat dus toe dat direct marketing e-mails zonder toestemming worden verstuurd op voorwaarde dat:
- de contactgegevens werden verkregen in het kader van de verkoop van een product of dienst;
- de e-mail gaat over producten of diensten die soortgelijk zijn aan diegenen die je al hebt verkocht aan die klant;
- de klant duidelijk en uitdrukkelijk de mogelijkheid wordt geboden om bezwaar te maken;
- die mogelijkheid wordt geboden op het moment dat de contactgegevens worden verzameld;
- én op het moment van elk bericht.
In wezen komen deze vereisten overeen met een afweging van het gerechtvaardigd belang, met name dat er bij de betrokkene een redelijke verwachting is voor het ontvangen van die direct marketing.
5. Transparantie
Tot slot: wees transparant. Om in lijn te zijn met de GDPR is het van uiterst belang om transparant te zijn ten opzichte van de betrokkenen. Communiceer steeds in heldere en eenvoudige taal. Een privacyverklaring moet vlot leesbaar én vlot vindbaar zijn. Ze moet daarnaast ook alle informatie bevatten die art. 13-14 GDPR bepaalt.
Indien u persoonsgegevens inzamelt bij de betrokkene zelf, dient u deze te informeren op het moment van de inzameling. Indien u persoonsgegevens niet rechtstreeks van de betrokkene verkrijgt, dient u de info te verstrekken binnen een redelijke termijn, uiterlijk binnen één maand na de verkrijging van de persoonsgegevens en op het moment van het eerste contact met de betrokkene, indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene.