09 maart 2021 Even wat mailtjes versturen om reclame te maken voor mijn nieuw product? Toch even opletten…
Op 12 februari 2021 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) een beslissing geveld in verband met het recht van bezwaar tegen direct marketing zoals gewaarborgd door artikel 21(2) GDPR. Dit recht houdt in dat elke betrokkene zich steeds kan verzetten tegen het gebruik van zijn persoonsgegevens voor communicatie gericht op de promotie van bepaalde producten, diensten of merken.
- Waarover ging de klacht?
De zaak had betrekking op telecombedrijf Telenet, dat persoonsgegevens gebruikt om zijn eigen producten aan te bieden en om TV-reclame te personaliseren. Een klant wenste zijn recht van bezwaar uit oefenen, maar het was niet duidelijk hoe dit precies diende te gebeuren. Tijd dus voor de GBA om op onderzoek uit te gaan.
- Wat besliste de Geschillenkamer?
De Geschillenkamer stelt ten eerste dat een gebrek aan een geconsolideerde bezwaarmogelijkheid problematisch is. Telenet bood wel de mogelijkheid om bezwaar te maken tegen alle mogelijke vormen van marketing (sms, e-mail, telefoon, brieven), maar de klant moest zijn bezwaar per vorm van marketing uitdrukken: Robinsonlijst voor commerciële brieven, Belmeniet-register voor telefoontjes, reageren met ‘STOP’ op het nummer dat de sms stuurde of uitschrijfmogelijkheid bij commerciële e-mails. Indien de klant geen enkele vorm van commerciële communicatie wilde ontvangen, dan verwees de privacypolicy door naar de klantendienst of naar één van de Telenet-winkelpunten.
De Geschillenkamer oordeelt dat er een geconsolideerde bezwaarmogelijkheid moet zijn (dus tegen alle vormen van direct marketing gezamenlijk) en dat dit mogelijk moet zijn via een gepast communicatiekanaal. Aangezien Telenet gebruik maakt van digitale marketingberichten moet het recht van bezwaar ook online kunnen worden geuit. Telenet moet dan ook een eenvoudig online uitschrijfformulier voorzien.
Daarnaast maakte Telenet volgens de Geschillenkamer een inbreuk op de informatie- en transparantieverplichtingen. Zo bevatte de privacypolicy op de website van Telenet onvoldoende eenvoudig beschikbare informatie over hoe betrokkenen hun rechten (zoals het recht van bezwaar) daadwerkelijk kunnen uitoefenen. Ook waren de privacy-instellingen verwarrend in die zin dat de keuze voor de meest gunstige privacy-instelling deed uitschijnen dat men hierdoor zijn recht van bezwaar uitoefende, wat niet het geval was.
Ten slotte benadrukt de Geschillenkamer dat het zogenaamde further browsing geen geldige toestemming vormt voor het plaatsen van cookies (zie ook ons artikel over de FOD Financiën). De door Telenet gebruikte cookiebanner (‘Door verder gebruik te maken van deze website ga je akkoord met het plaatsen van cookies’) schendt dan ook de bepalingen van GDPR. Hiervoor werd geen sanctie opgelegd omdat Telenet ondertussen de keuze biedt tussen ‘aanbevolen cookies aanvaarden’ en ‘cookievoorkeuren aanpassen’.
- Wat onthouden we voor onze onderneming?
Indien u persoonsgegevens gebruikt voor direct marketing doeleinden, zorg dan dat de betrokkenen
- via álle communicatiekanalen waarlangs u hen benadert een (geconsolideerd) bezwaar kunnen maken tegen verwerking van persoonsgegevens voor direct marketing, en
- uit uw privacypolicy gemakkelijk kunnen afleiden hoe ze hun recht van bezwaar precies moeten uitoefenen.
Dit alles doet natuurlijk geen afbreuk aan uw verplichting om in het kader van uw direct marketingacties ook alle bepalingen in verband met het ondernemingsrecht en het telecomrecht na te leven zoals het controleren en respecteren van de belmeniet-lijst (www.dncm.be).
