Persoonsgegevens aankopen, verkopen of het licentiëren ervan: het zijn verschillende manieren om ze uit te wisselen. Hierdoor kunnen organisaties vaak snel nieuwe inkomsten verwerven. Maar persoonsgegevens zijn geen klassieke handelswaar, dus kan dat zomaar? Met welke juridische regels moet er rekening worden gehouden?
Zonder in te gaan op het vraagstuk naar de juridische mogelijkheid van het in ‘eigendom’ hebben van persoonsgegevens, realiseren sommige organisaties zich na verloop van tijd dat (onderdelen van) hun klantenbestand waardevoller zijn dan eerst gedacht. Kunnen deze organisaties die persoonsgegevens dan ook te gelde maken door ze te verkopen?
Het verkopen van persoonsgegevens is een aparte verwerking met een apart doel waarover de betrokkene transparant moet worden geïnformeerd. Indien de persoonsgegevens met een ander oorspronkelijk doel dan de verkoop ervan werden verzameld, zoals het verstrekken van diensten of versturen van commerciële berichten van de verkoper, kunnen de persoonsgegevens niet zomaar worden verkocht.
Het doel van de koper is immers nagenoeg altijd onverenigbaar met het oorspronkelijke doel van de verkoper. Dit is des te meer het geval wanneer het privacybeleid van de organisatie in kwestie, zoals vaak het geval is, bepaalt dat persoonsgegevens niet met derden worden gedeeld zonder de toestemming van de betrokkene.
Het is dus niet eenvoudig om uw klantenbestand zomaar door te verkopen wanneer dat niet de bedoeling was op het moment van het verzamelen van de persoonsgegevens. Het is echter ook niet volledig uitgesloten. Strookt de doorgifte toch niet met het oorspronkelijke doel, dan moeten de betrokkenen hun toestemming geven en geïnformeerd worden zoals hieronder toegelicht.
Bij andere organisaties, zogenaamde data brokers, is het businessmodel van in het begin al gesteund op de handel in persoonsgegevens. Denk aan organisaties die gegevens uit private en/of publieke bronnen verzamelen en vervolgens combineren in een profiel om deze te verkopen aan financiële instellingen. Deze profielen kunnen worden gebruikt om de kredietwaardigheid van een persoon te beoordelen.
Organisaties met een dergelijk businessmodel zijn ook onderworpen aan de regels van de AVG. Op het moment van de verzameling van de persoonsgegevens moet de betrokkene worden geïnformeerd over de wettelijke grondslag voor de verwerking en hun rechten, maar ook over het doorgeven van hun persoonsgegevens aan andere organisaties. Data brokers kunnen ook best zeer gedetailleerd hun processen en verplichtingen onder de AVG documenteren om voorbereid te zijn op een due diligence door de koper (zie verder onder punt 3).
Uit de aanbeveling van de Gegevensbeschermingsautoriteit (GBA) over direct marketing volgt dat bij het doorgeven van persoonsgegevens transparantie zeer belangrijk is. Zo moeten de betrokkenen worden geïnformeerd over de verwerking van hun persoonsgegevens door de data broker en moet er ook meer informatie worden verstrekt over de doorgifte, zoals:
Indien het gaat om publiek beschikbare informatie, zoals op een niet-afgeschermd Facebookprofiel, moet de data broker zeer voorzichtig zijn. Het feit dat persoonsgegevens publiek beschikbaar zijn, betekent niet dat deze zomaar mogen worden verzameld (door scraping), verrijkt en doorverkocht. De data broker moet steeds het doel waarmee deze informatie openbaar is gemaakt door de betrokkene in acht nemen.
Een interessante tegenstelling kan zich voordoen in het kader van een faillissement. De curator moet de boedel van de failliete organisatie te gelde maken, maar hij moet daarbij wel de grondrechten respecteren, zoals het recht op privacy. De curator zou het klantenbestand van de failliete organisatie kunnen verkopen, maar hij kan dat in de meeste gevallen enkel doen mits toestemming van de betrokkenen.
Het is in het verleden al gebeurd dat overheden of overheidsorganisaties persoonsgegevens van burgers verkochten aan commerciële organisaties. Voor sommige commerciële organisaties zijn, bijvoorbeeld, de adresgegevens van de aanvragers van een bouwvergunning bijzonder waardevol.
Ook de overheid of overheidsdiensten zijn echter onderworpen aan de regels van de AVG, ook al kunnen er geen administratieve geldboetes worden opgelegd aan de meeste overheden of overheidsdiensten in België. Het valt immers te betwijfelen dat de verkoop van persoonsgegevens kan worden gekaderd binnen de openbaarheid van bestuur of de wettelijke opdracht.
Overheden of overheidsdiensten kunnen soms wel wettelijk verplicht zijn om bepaalde gegevens openbaar te maken of voor hergebruik ter beschikking te stellen, maar dit zullen meestal geen persoonsgegevens zijn. Op het hergebruik is dan een modellicentie van toepassing.
Naast het verkopen van persoonsgegevens, bestaat ook de mogelijkheid om het klantenbestand en de daarin opgenomen persoonsgegevens te behouden en eerder een gebruiksrecht toe te staan aan andere organisaties. De persoonsgegevens worden dan in licentie gegeven.
Indien er aan bepaalde voorwaarden is voldaan, kan het klantenbestand van een organisatie (de licentiegever) of een andere verzameling van (persoons)gegevens immers beschermd zijn onder het sui generis databankenrecht. Door het licentiëren van zo’n databank kan de licentiegever de modaliteiten van het gebruik en de duur ervan bepalen in de licentieovereenkomst. Dit geeft de licentiegever meer controle dan bij een verkoop.
Ook in dit geval blijft de AVG onverkort van toepassing en is transparantie naar de betrokkenen zeer belangrijk.
Organisaties die persoonsgegevens aankopen, zouden foutief kunnen denken dat de regels inzake de verwerking van persoonsgegevens, zoals de AVG, niet meer op hen van toepassing zijn omdat zij de persoonsgegevens niet rechtstreeks bij de betrokkenen verzamelen. Deze regels kunnen echter niet worden omzeild door het aankopen van persoonsgegevens via een andere organisatie.
Indien persoonsgegevens worden aangekocht, zijn dezelfde regels van toepassing als in het geval dat de koper de persoonsgegevens zelf zou verzamelen. De betrokkene moet ook worden geïnformeerd door de koper en dit ten laatste op het eerste contactmoment met de betrokkene, tenzij dat onmogelijk of onredelijk zou zijn. Bijvoorbeeld, indien er een direct marketing e-mail aan de betrokkene wiens e-mailadres werd aangekocht wordt verstuurd, moet die betrokkene door middel van die eerste e-mail ook worden geïnformeerd over onder meer:
Indien de koper enkel het postadres van de betrokkene heeft, ontslaat hem dat volgens de Poolse toezichthoudende autoriteit niet van de informatieplicht. De Poolse toezichthoudende autoriteit hield geen rekening met de hoge kostprijs van briefpost en oordeelde dat het informeren per brief niet onredelijk is.
Daarnaast is een due diligence op de verkoper steeds vereist. De koper dient de herkomst van de gegevens te controleren, maar ook hoe ze werden verzameld, op welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijn en voor welke verwerkingen. Met andere woorden, de koper moet nagaan of de persoonsgegevens in overeenstemming met de AVG werden verzameld. Bijvoorbeeld, als een gegevensmakelaar beweert dat de betrokkenen hebben toegestemd met de verkoop van hun gegevens voor marketingdoeleinden, dan moet de koper dat verifiëren. Doet hij dat niet en blijkt die toestemming achteraf ongeldig, dan begaat hij een inbreuk op de AVG. Dat oordeelde althans de Britse toezichthoudende autoriteit.
Het is ook steeds aangeraden om als koper afdoende contractuele afspraken met de verkoper te maken. Let wel, het volstaat niet dat de verkoper louter garandeert dat de persoonsgegevens in overeenstemming met de AVG werden verzameld. Dergelijke garantie ontslaat de koper niet van zijn eigen verantwoordelijkheid onder de AVG.
Heeft u nog vragen over het aankopen of verkopen van persoonsgegevens? Contacteer Timelex.