Is uw opt-in proces al in lijn met de GDPR?
De Franse privacywaakhond (de CNIL) heeft op 21 januari 2019 een boete van 50 miljoen euro opgelegd aan Google (LLC) wegens de niet-naleving van de GDPR.
De boete wordt in essentie opgelegd omwille van de volgende redenen:
- Geen geldige toestemming: de toestemming (“opt-in”) die Google vraagt om persoonlijke advertenties aan haar gebruikers te sturen, is ongeldig. Bijgevolg beschikt Google niet over de vereiste rechtsgrond om deze persoonlijke advertenties te tonen.
- Te weinig transparantie en informatie: Google informeert haar gebruikers niet volledig en niet op transparante wijze over de wijze waarop hun gegevens verwerkt worden.
Hiermee toont de CNIL als eerste privacy autoriteit dat ze de macht die ze gekregen heeft sinds de inwerkingtreding van de GDPR om hoge boetes op te leggen, ook zal gebruiken. Ook al heeft ze nu “slechts” een boete aan Google opgelegd van 0,04% van Google’s wereldwijde omzet, terwijl boetes opgelegd kunnen worden tot 4% (voor Google dus tot ongeveer 4 miljard euro).
U moet (nog) niet vrezen voor een boete
Als kleine of middelgrote Belgische onderneming moet u in principe niet onmiddellijk vrezen voor een boete, aangezien de schaal waarop u gegevens (zelfs onrechtmatig) verwerkt, sowieso verwaarloosbaar zal zijn ten opzichte van een bedrijf als Google.
Deze boete is opgelegd naar aanleiding van een gezamenlijke klacht van 2 vzw’s die als doel hebben om de privacyrechten van burgers te beschermen (noyb.eu, de door Max Schrems opgerichte organisatie, en La Quadrature Du Net (LQDN) die hun klacht reeds neerlegden op 25 mei 2018, de dag van de inwerkingtreding van de GDPR. Zij deden dit “in opdracht” van ongeveer 10.000 personen die hun actie steunden. Als gemiddeld bedrijf is de kans ook eerder klein dat u op korte termijn in dergelijke organisaties hun vizier komt.
Er is dan ook geen reden tot paniek. Ook niet indien de informatie die u vandaag geeft bij gegevensverwerking en de toestemming die u krijgt voor (gepersonaliseerde) direct marketing niet (helemaal) overeenstemmen met de voorschriften van de GDPR.
Dit betekent echter niet dat u niets moet doen: deze boete maakt in ieder geval (nogmaals) duidelijk dat de privacy autoriteiten de informatieverplichting en het bekomen van geldige toestemming in het vizier hebben én er belang aan hechten.
3 regels om marketing e-mails te sturen met geldige toestemming
Wil u uw (potentiële) klanten persoonlijk benaderen via e-mail, dan dient u de deze drie principes toe te passen:
1. Informeer correct en transparant en geef steeds een uitschrijfoptie
Zorg voor een volledige en duidelijke privacy policy, die duidelijk aangeeft onder welke voorwaarden gegevens verwerkt worden voor verwerkingsdoeleinden.
Zet de juiste informatie bij formulieren op uw website en in uw mails (met verwijzing naar uw privacy policy), waarin u ook steeds een uitschrijfmogelijkheid voorziet (opt-out).
De bedoeling van deze stappen is dat u ervoor zorgt dat personen die hun persoonsgegevens aan u toevertrouwen, effectief kunnen verwachten wat u ermee gaat doen.
2. Bestaande klanten mag u in principe mailen
Uw bestaande klanten mag u steeds e-mailen voor marketing van gelijkaardige producten of diensten, voor zover ze de kans gekregen hebben om zich hiertegen te verzetten (opt-out) wanneer u hun gegevens verzamelde.
Uiteraard mag u uw klanten steeds mailen voor niet-commerciële doeleinden, zoals de bevestiging dat een bestelling geleverd wordt.
3. Mailen naar niet-klanten mag onder strikte voorwaarden
U mag niet-klanten mailen indien ze ofwel geldige toestemming geven, ofwel er een gerechtvaardigd belang is.
Opdat toestemming geldig zou zijn, moet deze voldoen aan de volgende voorwaarden:
1. actief en ondubbelzinnig gegeven worden: dit kan bijvoorbeeld door een vakje te laten aanvinken waarin toestemming gegeven worden om commerciële e-mails te ontvangen. Vooraf aangevinkte vakjes zijn geheel uit den boze en ook stilzwijgende (passieve) toestemming is niet geldig.
2. vrij gegeven worden: met andere woorden, u mag mensen niet verplichten om toestemming te geven dat u hen mag mailen, wanneer ze bijv. toegang willen tot een gratis product. Het niet geven van toestemming, mag geen enkele negatieve impact hebben.
3. specifiek zijn: voor elke verschillende verwerking moet u afzonderlijk toestemming krijgen. U mag dus niet in één zin toestemming vragen voor elke mogelijk gebruik dat u van iemands persoonsgegeven kan maken.
Om onbekenden te mogen e-mailen op basis van “gerechtvaardigd belang” moet aan een aantal strenge voorwaarden voldaan worden. Deze zijn vergelijkbaar met de voorwaarden om iemand “koud” te mogen bellen (cold calling), maar zijn zelfs nog strenger.
Conclusie
Er is geen reden tot paniek, maar het blijft belangrijk om ervoor te zorgen dat u personen wiens gegevens u verwerkt, correct en transparant informeert en dat u bepaalde informatie en mogelijkheden (zoals een uitschrijfmogelijkheid) in elke e-mail opneemt.
Waak er ook over dat u een geldige toestemming bekomt, wanneer die als basis dient om mensen te mogen contacteren.
En uiteraard: zorg ervoor dat u geen mensen contacteert voor commerciële doeleinden nadat ze zich uitschrijven.
Meer informatie?
Word lid van My Privacy Specialist en wordt stap voor stap begeleid met adviezen en templates om aan de GDPR-verplichtingen te voldoen.