Nieuwsbrieven per e-mail versturen in cc en niet ingaan op verzoeken tot wissing : een slecht idee

De Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) heeft op 1 september 2021 in een zogenaamde ‘light’ procedure uitspraak gedaan over een klacht met betrekking tot (1) het ongeoorloofd meedelen van persoonsgegevens aan derden en (2) het nalaten gevolg te geven aan een verzoek tot verwijdering van persoonsgegevens. Deze uitspraak toont het belang aan van een passend beleid inzake gegevensbescherming en van adequate opvolging van verzoeken van betrokkenen.

  1. Waarover ging de klacht?

De klager was ingeschreven op de nieuwsbrief van een onderneming en ontving daarom wekelijks een e-mail over de dagschotels voor de komende week. In deze e-mail werden alle bestemmelingen stelselmatig in CC (“carbon copy”) opgenomen in plaats van in BCC (“blind carbon copy”), zodat de e-mailadressen voor alle bestemmelingen zichtbaar waren. De klager verzocht daarom verschillende malen om geen CC meer te gebruiken voor de nieuwsbrieven en hem uit alle adresboeken te verwijderen. Hij bleef echter het weekmenu ontvangen en diende daarop klacht in bij de GBA.

  1. Wat besliste de Geschillenkamer?

De Geschillenkamer ging ten eerste na of het zichtbaar houden van de e-mailadressen van de klanten voor alle bestemmelingen (in CC) strookt met de wettelijke vereisten. Zij stelt hierbij vast dat de onderneming niet over een geldige rechtsgrond beschikt om de e-mailadressen zichtbaar te maken voor alle bestemmelingen. Zij kan zich niet beroepen op een gerechtvaardigd belang aangezien het voor het bereiken van meerdere bestemmelingen niet noodzakelijk is om te werken met CC. BCC is namelijk evengoed mogelijk. Daarenboven stelt de Geschillenkamer vast dat er bij de onderneming geen consequent beleid bestaat waarbij in globale e-mails alle bestemmelingen steeds in BCC dienen te worden geplaatst. Bijgevolg pleegde men een inbreuk op de verplichting als verwerkingsverantwoordelijke om aan te tonen welke maatregelen er genomen zijn ter bescherming van de rechten van de betrokkenen en om de naleving van de beginselen van de AVG te waarborgen (art. 24-25 AVG).

Vervolgens stelt de Geschillenkamer dat de rechten van betrokkenen, in casu het recht van bezwaar (art. 21 AVG) en het recht op gegevenswissing (art. 17 AVG) van de klager, niet correct in acht werden genomen door de onderneming. Nadat de klager had gevraagd hem uit te schrijven van de nieuwsbrieven en zijn gegevens te wissen uit alle contactlijsten ontving hij nog verschillende malen de nieuwsbrief van de onderneming. Bovendien werd niet geantwoord op het verzoek om geen CC meer te gebruiken voor de nieuwsbrieven.

De Geschillenkamer besluit met een waarschuwing voor de desbetreffende onderneming. Gezien de beperkte gevolgen van de schending acht zij het niet nodig de zaak ten gronde te behandelen. Merk op dat in het verleden door de Spaanse Gegevensbeschermingsautoriteit reeds boetes werden opgelegd van respectievelijk 5.000 en 10.000 euro voor gelijkaardige feiten.

  1. Wat onthouden we voor onze onderneming?

Indien u werkt met globale e-mails die naar een groot aantal partijen worden verzonden, dan neemt u deze bestemmelingen best allemaal op in BCC. Door de e-mailadressen in CC te zetten blijven deze immers zichtbaar voor de ontvangers zodat u ze mogelijks ongeoorloofd doorgeeft.

Daarnaast toont deze beslissing aan dat het cruciaal is om adequaat te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten (wissing/bezwaar/…). Wanneer de betrokkenen zich terecht hierop beroepen, dan moet u er als onderneming onverwijld en ten minste binnen een maand gevolg aan geven.

Over GDPR en direct marketing kan u ook onze vorige bijdrage lezen.