Belgische gegevensbeschermingsautoriteit sanctioneert een verwijzingsfunctie dat door een socialmediaplatform wordt gebruikt

01-07-2020

Paul van den Bulck

De Belgische gegevensbeschermingsautoriteit (DPA) heeft onlangs een boete van €50.000 opgelegd aan een socialmediaplatform voor de verwerking van persoonsgegevens, in het kader van een verwijzingsfunctie, zonder passende wettelijke grondslag.

coauteur: Isabel Rosendor

Deze beslissing is met name relevant omdat:

  • De beslissing werd genomen op basis van het one-stop-shop mechanisme en alle betrokken nationale autoriteiten de redenering van de Belgische gegevensbeschermingsautoriteit hebben bevestigd;
  • De DPA bevestigt dat een 'refer/invite a friend'-functie, dat door een socialmediaplatform wordt gebruikt, niet onder de uitzondering van de 'persoonlijke of huishoudelijke activiteiten' kan vallen;
  • De DPA bevestigt eveneens, na een advies van de EDPB, dat het feit dat een deel van de verwerking (namelijk de verzending van marketingmails), binnen het toepassingsgebied van de Privacy Richtlijn valt, geen invloed heeft op de bevoegdheid van een gegevensbeschermingsautoriteit in het kader van de GDPR; en
  • Uit een uitgebreid onderzoek van de DPA naar de mogelijke wettelijke grondslag voor verwijzingsfuncties op socialmediaplatformen blijkt dat 'toestemming' van gebruikers niet als grondslag kan dienen.

Wat dit laatste punt betreft, waren de feiten als volgt. Het socialmediaplatform vroeg de toestemming van haar gebruikers om hun adresboek te importeren (van andere socialmediaplatformen of software). Na toestemming te hebben gekregen voor de import, nodigde het socialmediaplatform namens haar gebruikers hun contacten uit ("om te connecteren met elkaar" voor contacten die al lid zijn van het socialmediaplatform en, in ieder geval, "om lid te worden" voor niet-leden van het socialmediaplatform). Het socialmediaplatform baseert zich, voor de import en verzending van deze uitnodigingen, op toestemming van de gebruikers van de social media website. Echter, onder de GDPR kan alleen de betrokkene wiens persoonsgegevens worden verwerkt geldige toestemming geven, tenzij er een uitzondering is voorzien (bijv. toestemming van de ouders). Bijgevolg heeft de DPA geoordeeld dat de verwerking door het Social Media Platform zonder passende rechtsgrondslag werd uitgevoerd.

Een mogelijke rechtsgrondslag (voor de import van het adresboek en het versturen van uitnodigingen) zou het "gerechtvaardigd belang" kunnen zijn, tenminste indien alle voorwaarden (met name de 'evenredigheidstoets' die inherent is aan de rechtsgrondslag van het 'gerechtvaardigd belang' en het beginsel van minimale gegevensverwerking) worden vervuld. De DPA verklaart dat de verwerking als rechtmatig zou worden beschouwd indien aan volgende voorwaarden wordt voldaan:

  1. Alleen de persoonsgegevens die strikt noodzakelijk zijn voor het 'uitnodigen' worden verwerkt; en
  2. Deze persoonsgegevens worden verwerkt met het oog op een compare and forget actie, teneinde bestaande gebruikers van het socialmediaplatform onder de contactgegevens te selecteren, wat het mogelijk maakt om alleen naar hen uitnodigingen te sturen (op voorwaarde dat zij hier vooraf hun toestemming voor hebben gegeven).

Meer artikelen van AKD

Van onze partners

Toezicht en handhaving door AFM en DNB

→ Lees meer

Magazine: Privacy en de gemeente

→ Lees meer

Wwft cursussen

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer