Steeds meer mensen vragen bedrijven om hun persoonsgegevens te verwijderen uit de databank. Ze verwijzen telkens naar het feit dat ze geen toestemming hebben gegeven om hun gegevens te verwerken (consent). Ook Graydon wordt overspoeld door dit soort aanvragen. Toch zijn er binnen de General Data Protection Regulation (GDPR) nog andere verwerkingsgronden dan consent, die vaak vergeten worden of niet gekend zijn. Het gerechtvaardigd belang bijvoorbeeld.
Overal kon u de afgelopen maanden lezen dat persoonsgegevens niet meer gebruikt mogen worden zonder de uitdrukkelijke toestemming van de persoon zelf. Heel wat mensen hebben dit feit aangegrepen om ten strijde te trekken tegen bedrijven. Ze veronderstellen dat marketing- en salesteams niemand meer mogen aanschrijven als daar geen toestemming voor gegeven is. Ik geef toe dat ik ook allergisch ben voor spam en aanbiedingen die niet relevant zijn. Maar de GDPR staat niet gelijk met gegevens verwijderen.
GDPR biedt kansen
De GDPR biedt bedrijven ook de kans om hun data eindelijk eens op orde te brengen. Elk zichzelf respecterend bedrijf gaat toch op een verantwoorde manier op zoek naar kansen om nieuwe klanten maken. Willen al die bedrijven die nu vragen om uit de databank verwijderd te worden dan geen nieuwe klanten maken? Let op, bij direct mailing heeft elk individu het absolute recht om zich uit te schrijven. De vraag tot uitschrijven dient u als partij altijd te respecteren. Enige belangenafweging is hier niet van toepassing. Of proberen bedrijven op deze manier de prospectie-inspanningen van andere concullega’s lam te leggen?
De redenering is in ieder geval heel kortzichtig, want er zijn verschillende verwerkingsgronden volgens de General Data Protection Regulation.
Verwerkingsgronden waar iedereen het over eens is
- U heeft de toestemming gegeven aan een bedrijf om uw persoonsgegevens te gebruiken. U heeft u ingeschreven op een nieuwsbrief (opt-in) met interessante en relevante artikels. Daarvoor heeft de andere partij uw e-mailadres nodig. Zij mogen u ook benaderen als ze met nieuwe producten of oplossingen op de markt komen. Daar is iedereen het over eens.
- Uw persoonsgegevens kunnen ook verwerkt worden omdat het noodzakelijk is voor de uitvoering van een overeenkomst. U heeft bijvoorbeeld een adressenbestand aangekocht, dat digitaal wordt uitgeleverd. Daar heeft het bedrijf in kwestie uw e-mailadres voor nodig. En uw leverancier wil natuurlijk ook graag een factuur opmaken. Daar zal niemand moeilijk over doen. Bestaande klanten mag je trouwens sowieso benaderen voor gelijkaardige diensten of producten. Al is dat weliswaar een rekbaar begrip.
De verwerking van persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst
- De verwerking van persoonsgegevens is nodig in het kader van een wettelijke verplichting. De personeelsafdeling heeft bijvoorbeeld de contactgegevens van werknemers nodig om belasting of bedrijfsvoorheffing te regelen. In het kader van witwaspraktijken zijn banken bijvoorbeeld verplicht om een overzicht bij te houden van UBO’s. Het zijn wettelijke verplichtingen waar iedereen het over eens is.
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Dit heeft voornamelijk te maken met gezondheid. Als er bijvoorbeeld risico’s zijn voor uw gezondheid waarbij u geestelijk of fysiek niet in staat bent om consent te geven. Ook daar is iedereen het over eens.
Andere verwerkingsgronden
- De verwerking van uw persoonsgegevens is noodzakelijk in het kader van het algemeen belang of het openbaar gezag. Dit punt heeft onder andere te maken met de overheidsaangelegenheden, zoals de innig van taksen of in het kader van de Staatsveiligheid.
- Uw persoonsgegevens worden verwerkt in het kader van een gerechtvaardigd belang. Het gerechtvaardigd belang wordt vaak ingeroepen door bedrijven die hun gigantische databank nodig hebben om zaken te kunnen doen. Denk maar aan mediabedrijven, maar ook Graydon beroept zich op dit principe.
Grondslag voor verwerking
Overeenkomstig met de General Data Protection Regulation heeft ook Graydon een grondslag nodig voor de verwerking van persoonsgegevens. Deze grondslag kan bijvoorbeeld toestemming zijn, maar ook het ‘gerechtvaardigd belang’ zoals voor de opname van uw gegevens (uw bedrijfsnaam, bedrijfsadressen die tevens privé-adressen zijn,…) in de database het geval is. Deze laatste grondslag verplicht Graydon om een belangenafweging te maken tussen:
- het gerechtvaardigd belang van Graydon om persoonsgegevens te verwerken met het oog op de dienstverlening, en …
- u als betrokkene om geen onevenredig nadeel te ondervinden met betrekking tot uw persoonlijke grondrechten en fundamentele vrijheden.
Gerechtvaardigd belang primeert op individueel belang
Graydon weegt uw privacybelangen altijd zorgvuldig af tegen het belang om klanten van de nodige bedrijfsinformatie te voorzien. Aangezien de verwerkte persoonsgegevens slechts de NAW-gegevens (naam-adres-woonplaats) betreffen en deze gegevens ook te raadplegen zijn via meerdere bronnen (bv. de Kamer van Koophandel, …), is het risico voor de privacy gering. Daarnaast is het van belang dat de acties die volgen uit de verwerking van persoonsgegevens door Graydon een geringe inbreuk plegen. Het belang van Graydon om informatie te leveren over uw bedrijf …
- zodat onze klant keuzes kan maken in de selectie van potentiële handelspartners
- zodat onze klant de condities kan bepalen waaronder handelstransacties kunnen plaatsvinden
- zodat onze klant de (toekomstige) kredietwaardigheid kan bepalen
… weegt daarom zwaarder door.
Case per case
Graydon heeft dus een gerechtvaardigd belang om de gegevens van ondernemingen, inclusief eenmanszaken, te verwerken. We zorgen er op die manier voor dat onze klanten beter zaken kunnen doen, risico’s kunnen beperken en financieel gezond kunnen groeien. Hiermee leveren we een bijdrage aan een gezonde economie en de algemene welvaart.
Graydon beroept zich op het gerechtvaardigd belang, dat primeert op het individueel belang. Al worden niet alle cases over dezelfde kam geschoren. Elke aanvraag om persoonsgegevens te verwijderen wordt geval per geval bekeken en zorgvuldig afgewogen. In sommige gevallen kan daar inderdaad een goede reden voor zijn.
Bron: Graydon, auteur: Katleen Mertens