De Belgische gegevensbeschermingsautoriteit (DPA) heeft onlangs een boete van €50.000 opgelegd aan een Social Media Platform voor de verwerking van persoonsgegevens, in het kader van een verwijzingsfunctie, zonder passende wettelijke grondslag.
Deze beslissing is met name relevant omdat:
- De beslissing werd genomen op basis van het one-stop-shop mechanisme en alle betrokken nationale autoriteiten de redenering van de Belgische gegevensbeschermingsautoriteit hebben bevestigd;
- De DPA bevestigt dat een "refer/invite a friend"-functie, dat door een Social Media Platform wordt gebruikt, niet onder de uitzondering van de "persoonlijke of huishoudelijke activiteiten" kan vallen;
- De DPA bevestigt eveneens, na een advies van de EDPB, dat het feit dat een deel van de verwerking (namelijk de verzending van marketingmails), binnen het toepassingsgebied van de Privacy Richtlijn valt, geen invloed heeft op de bevoegdheid van een gegevensbeschermingsautoriteit in het kader van de GDPR; en
- Uit een uitgebreid onderzoek van de DPA naar de mogelijke wettelijke grondslag voor verwijzingsfuncties op Social Media Platformen blijkt dat "toestemming" van gebruikers niet als grondslag kan dienen.
Wat dit laatste punt betreft, waren de feiten als volgt. Het Social Media Platform vroeg de toestemming van haar gebruikers om hun adresboek te importeren (van andere social media platformen of software). Na toestemming te hebben gekregen voor de import, nodigde het Social Media Platform namens haar gebruikers hun contacten uit ("om te connecteren met elkaar" voor contacten die al lid zijn van het Social Media Platform en, in ieder geval, "om lid te worden" voor niet-leden van het Social Media Platform). Het Social Media Platform baseert zich, voor de import en verzending van deze uitnodigingen, op toestemming van de gebruikers van de social media website. Echter, onder de GDPR kan alleen de betrokkene wiens persoonsgegevens worden verwerkt geldige toestemming geven, tenzij er een uitzondering is voorzien (bijv. toestemming van de ouders). Bijgevolg heeft de DPA geoordeeld dat de verwerking door het Social Media Platform zonder passende rechtsgrondslag werd uitgevoerd.
Een mogelijke rechtsgrondslag (voor de import van het adresboek en het versturen van uitnodigingen) zou het "gerechtvaardigd belang" kunnen zijn, tenminste indien alle voorwaarden (met name de "evenredigheidstoets" die inherent is aan de rechtsgrondslag van het "gerechtvaardigd belang" en het beginsel van minimale gegevensverwerking) worden vervuld. De DPA verklaart dat de verwerking als rechtmatig zou worden beschouwd indien aan volgende voorwaarden wordt voldaan:
- Alleen de persoonsgegevens die strikt noodzakelijk zijn voor het "uitnodigen" worden verwerkt; en
- Deze persoonsgegevens worden verwerkt met het oog op een "compare and forget" actie, teneinde bestaande gebruikers van het Social Media Platform onder de contactgegevens te selecteren, wat het mogelijk maakt om alleen naar hen uitnodigingen te sturen (op voorwaarde dat zij hier vooraf hun toestemming voor hebben gegeven).
De Belgische gegevensbeschermingsautoriteit (DPA) heeft onlangs een boete van €50.000 opgelegd aan een Social Media Platform voor de verwerking van persoonsgegevens, in het kader van een verwijzingsfunctie, zonder passende wettelijke grondslag.
Deze beslissing is met name relevant omdat:
- De beslissing werd genomen op basis van het one-stop-shop mechanisme en alle betrokken nationale autoriteiten de redenering van de Belgische gegevensbeschermingsautoriteit hebben bevestigd;
- De DPA bevestigt dat een "refer/invite a friend"-functie, dat door een Social Media Platform wordt gebruikt, niet onder de uitzondering van de "persoonlijke of huishoudelijke activiteiten" kan vallen;
- De DPA bevestigt eveneens, na een advies van de EDPB, dat het feit dat een deel van de verwerking (namelijk de verzending van marketingmails), binnen het toepassingsgebied van de Privacy Richtlijn valt, geen invloed heeft op de bevoegdheid van een gegevensbeschermingsautoriteit in het kader van de GDPR; en
- Uit een uitgebreid onderzoek van de DPA naar de mogelijke wettelijke grondslag voor verwijzingsfuncties op Social Media Platformen blijkt dat "toestemming" van gebruikers niet als grondslag kan dienen.
Wat dit laatste punt betreft, waren de feiten als volgt. Het Social Media Platform vroeg de toestemming van haar gebruikers om hun adresboek te importeren (van andere social media platformen of software). Na toestemming te hebben gekregen voor de import, nodigde het Social Media Platform namens haar gebruikers hun contacten uit ("om te connecteren met elkaar" voor contacten die al lid zijn van het Social Media Platform en, in ieder geval, "om lid te worden" voor niet-leden van het Social Media Platform). Het Social Media Platform baseert zich, voor de import en verzending van deze uitnodigingen, op toestemming van de gebruikers van de social media website. Echter, onder de GDPR kan alleen de betrokkene wiens persoonsgegevens worden verwerkt geldige toestemming geven, tenzij er een uitzondering is voorzien (bijv. toestemming van de ouders). Bijgevolg heeft de DPA geoordeeld dat de verwerking door het Social Media Platform zonder passende rechtsgrondslag werd uitgevoerd.
Een mogelijke rechtsgrondslag (voor de import van het adresboek en het versturen van uitnodigingen) zou het "gerechtvaardigd belang" kunnen zijn, tenminste indien alle voorwaarden (met name de "evenredigheidstoets" die inherent is aan de rechtsgrondslag van het "gerechtvaardigd belang" en het beginsel van minimale gegevensverwerking) worden vervuld. De DPA verklaart dat de verwerking als rechtmatig zou worden beschouwd indien aan volgende voorwaarden wordt voldaan:
- Alleen de persoonsgegevens die strikt noodzakelijk zijn voor het "uitnodigen" worden verwerkt; en
- Deze persoonsgegevens worden verwerkt met het oog op een "compare and forget" actie, teneinde bestaande gebruikers van het Social Media Platform onder de contactgegevens te selecteren, wat het mogelijk maakt om alleen naar hen uitnodigingen te sturen (op voorwaarde dat zij hier vooraf hun toestemming voor hebben gegeven).