De Autoriteit Persoonsgegevens (‘AP’) heeft de tennisbond KNLTB een boete van € 525.000,- opgelegd wegens de verkoop van persoonsgegevens van haar leden aan twee sponsors. Deze sponsors benaderden een gedeelte van de leden vervolgens met (tennis gerelateerde) aanbiedingen. Hieronder worden enkele punten uit het boetebesluit besproken, die relevant zijn voor de praktijk.
(Mede)verwerkingsverantwoordelijke
De tennisbond wordt door de AP als verwerkingsverantwoordelijke aangemerkt. De verwerkingsverantwoordelijke is de partij die het doel van en de middelen voor de verwerking vaststelt.
Niet verrassend is de AP van oordeel dat de tennisbond het doel van de verwerking heeft vastgesteld, namelijk het gebruik van de persoonsgegevens van haar leden voor het genereren van (extra) inkomsten door die gegevens aan sponsors te verstrekken ten behoeve van hun direct marketingactiviteiten.
Ook de middelen voor de verwerking, dat wil zeggen op welke wijze de gegevensverwerking plaatsvindt, zijn volgens de AP (mede) door de tennisbond vastgesteld. De tennisbond heeft immers voorwaarden verbonden aan de wijze waarop de persoonsgegevens worden uitgeleverd aan haar sponsors en het gebruik van die gegevens door die sponsors voor hun direct marketingactiviteiten. Hoewel de tennisbond de persoonsgegevens dus zelf niet voor marketingactiviteiten gebruikt, wordt de tennisbond daarvoor wel als mede-verwerkingsverantwoordelijke aangemerkt.
Onverenigbaar met oorspronkelijk doel
De AP maakt onderscheid tussen de persoonsgegevens van leden die vóór en na 2007 lid zijn geworden. In 2007 stemde de ledenraad namelijk in met de verstrekking van NAW-gegevens aan sponsors voor marketingactiviteiten. Vanaf dat moment ontstond er dus een nieuwe situatie.
Voor 2007 verzamelde de tennisbond gegevens van haar leden blijkens de statuten i) ter uitvoering van de lidmaatschapsovereenkomst ii) voor de bevordering en beoefening van het tennisspel en de ontwikkeling van de tennissport in Nederland en iii) met het doel om deze aan derden te verstrekken.
De AP oordeelt dat deze laatste twee doelen niet welbepaald en uitdrukkelijk zijn omschreven, omdat leden hieruit niet konden afleiden dat hun persoonsgegevens ook zouden worden gebruikt voor het genereren van inkomsten door het verstrekken ervan aan sponsors ten behoeve van hun direct marketingactiviteiten.
De verkoop van persoonsgegevens aan sponsors is dan ook een ander doel dan het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld en kwalificeert dan ook als een verdere verwerking van persoonsgegevens. Deze verdere verwerking is alleen rechtmatig indien i) leden daarvoor toestemming hebben gegeven, of ii) die verwerking berust op een wettelijke grondslag, of iii) het doel verenigbaar is met het oorspronkelijke doel waarvoor de persoonsgegevens zijn verzameld.
In het licht van het voorgaande concludeert de AP dat de tennisbond voor het verstrekken van ledengegevens aan sponsors geen toestemming van haar leden heeft verkregen. Het verkrijgen van toestemming van de ledenraad is daarvoor immers niet voldoende. Ook berust de verstrekking niet op een wettelijke bepaling en zijn de doeleinden niet verenigbaar met elkaar. Er bestaat immers geen verband tussen de uitvoering van de lidmaatschapsovereenkomst en het genereren van extra inkomsten door verstrekking van persoonsgegevens aan sponsors. Dit laatste lag ook niet in de lijn van de redelijke verwachtingen van de leden op basis van hun verhouding met de tennisbond. Ook zijn er onnodig veel gegevens verstrekt en heeft de tennisbond volgens de AP geen passende maatregelen getroffen, die kunnen dienen als ‘compensatie’ voor het feit dat persoonsgegevens voor een ander doel dan het verzameldoel werden verwerkt.
Concluderend heeft de tennisbond in strijd met de AVG gehandeld door de ledengegevens van voor 2007 zonder toestemming van die leden aan de sponsors te verstekken.
Gerechtvaardigd belang
Na 2007 was de verstrekking van de ledengegevens volgens de tennisbond gebaseerd op een gerechtvaardigd belang. Wanneer een gerechtvaardigd belang als grondslag wordt gebruikt, moet aan drie cumulatieve voorwaarden voldaan zijn: i) het belang moet gerechtvaardigd zijn, ii) de verwerking moet noodzakelijk zijn voor de behartiging van dat belang en iii) dat belang moet prevaleren boven de fundamentele rechten en vrijheden van de leden.
Volgens de AP is aan het eerste criterium niet voldaan, omdat het belang van de tennisbond niet gerechtvaardigd is. De AP is namelijk van mening dat een gerechtvaardigd belang terug te voeren moet zijn op een grondrecht of rechtsbeginsel. De tennisbond heeft in dit verband aangegeven dat de verstrekking van de ledengegevens noodzakelijk is voor het genereren van extra inkomsten, nu het ledenaantal (en daarmee de inkomsten) de afgelopen tien jaar sterk is gedaald. Ook heeft zij een beroep gedaan op de vrijheid van ondernemerschap (artikel 16 uit het Handvest van de grondrechten van de Europese Unie).
De AP oordeelt dat deze belangen onvoldoende concreet en rechtstreeks zijn om te kunnen kwalificeren als gerechtvaardigd belang. Het enkele belang persoonsgegevens te gelde te kunnen maken c.q. daar winst mee te kunnen maken, kwalificeert volgens haar op zichzelf niet als een gerechtvaardigd belang. Dit oordeel van de AP is opvallend omdat in overweging 47 van de AVG staat dat “de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.”
Ook geeft de tennisbond met de verstrekkingen volgens de AP geen invulling aan concrete of algemene rechtsnormen die betrekking hebben op zijn zorgplichten als ‘ondernemer’. Zuiver commerciële belangen en het belang van winstmaximalisatie ontberen voldoende specificiteit en missen een dringend ‘wettelijk’ karakter, zodat zij niet kunnen kwalificeren als gerechtvaardigde belangen.
Aangezien de verstrekkingen ook niet op een andere wettelijke grondslag gebaseerd konden worden, concludeert de AP dat de ook verstrekkingen van ledengegevens van na 2007 onrechtmatig hebben plaatsgevonden.
Geen waarschuwing
Uit het boetebesluit kan worden afgeleid dat de AP een onderzoek is gestart na ontvangst van een aantal tips en klachten van leden van de tennisbond. Naar aanleiding van dat onderzoek is de AP vervolgens direct overgegaan tot oplegging van een boete.
Dit is vermeldenswaardig, omdat er door veel organisaties vanuit wordt gegaan dat de AP – in elk geval de eerste keer – wel zal volstaan met een waarschuwing, althans dat aan organisaties in elk geval een termijn zal worden gegund om de overtreding te beëindigen (eventueel onder dreiging van een dwangsom). Maar dat is in dit geval dus niet gebeurd.
Hoogte van de boete
Een half miljoen is niet niks. De vraag is dan ook hoe de AP de hoogte van deze boete heeft vastgesteld. De AP verwijst hiervoor naar haar eigen boetebeleidsregels die in 2019 zijn vastgesteld. Hieruit volgt dat een overtreding van artikel 6 AVG in boetecategorie III valt. Voor boetecategorie III geldt in beginsel een boetebandbreedte van € 300.000,- tot € 750.000,- en een basisboete van € 525.000,-. Aan de tennisbond is kortom de basisboete opgelegd.
De basisboete wordt altijd als uitgangspunt genomen, maar kan naar boven of naar beneden worden bijgesteld. Factoren die daarbij een rol spelen zijn de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk, eerdere relevante inbreuken, de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft, de genomen maatregelen om de door betrokkenen geleden schade te beperken, etcetera (zie artikel 83 AVG).
De AP heeft geen aanleiding gezien om de boete in dit geval te verhogen of verlagen. Daarbij heeft zij onder meer laten meewegen dat er zeer veel betrokkenen zijn getroffen door de onrechtmatige verstrekking van de ledengegevens. Aan de ene sponsor is namelijk een bestand met persoonsgegevens van 50.000 leden verstrekt en aan de andere sponsor een bestand met gegevens van 314.846 leden, waarvan er uiteindelijk 39.478 personen (minder dan 13%) zijn geselecteerd om te benaderen in het kader van een telemarketingactie. De AP rekent het de tennisbond zwaar aan dat zij deze selectie niet zelf heeft uitgevoerd en er dus onnodig veel gegevens zijn verstrekt.
Ook heeft de AP meegewogen dat de tennisbond de gegevens bewust heeft verstrekt en dus verwijtbaar heeft gehandeld. Aan die verwijtbaarheid doet niet af dat de tennisbond advies van een advocatenkantoor heeft ingewonnen om het beleid met betrekking tot het delen van persoonsgegevens met sponsors te toetsen.
Verder merkt de AP op dat de tennisbond wel diverse maatregelen heeft getroffen om de door betrokkenen geleden schade te beperken. Zo is er o.a. instemming van de ledenraad verkregen voor de verstrekking van de gegevens en zijn de leden voorafgaand aan de verstrekkingen, op diverse manieren (onder meer via nieuwsbrieven en de website van de KNLTB) geïnformeerd over de voorgenomen verstrekkingen.
Tot slot heeft de AP in de financiële positie van de tennisbond geen aanleiding gezien om de boete te matigen. De tennisbond beschikt volgens haar over voldoende middelen om de boete te kunnen dragen.
Conclusie
Uit dit besluit lijkt te kunnen worden afgeleid dat er volgens de AP altijd toestemming aan de betrokkene gevraagd moet worden, voordat diens gegevens mogen worden gebruikt voor direct marketing doeleinden. Wanneer de redenering van de AP wordt gevolgd, zullen direct marketing doeleinden namelijk nagenoeg nooit als een gerechtvaardigd belang kunnen kwalificeren. Wij – en met ons velen – vragen ons ten zeerste af of de AP de AVG op dit punt niet te streng heeft geïnterpreteerd.
Het laatste woord is hier dan ook nog niet over gezegd. Niet in de laatste plaats omdat de tennisbond zelf heeft aangegeven het hier niet bij te gaan laten zitten.