Direct marketingactoren
De personen, natuurlijke of rechtspersonen, die betrokken zijn bij de verwerking van persoonsgegevens die nodig zijn voor uw marketingactiviteiten kunnen talrijk zijn en de relaties die met hen worden aangegaan, kunnen soms complex zijn. Als verwerkingsverantwoordelijke doet u waarschijnlijk een beroep op de diensten van verschillende partners die als zuivere verwerkers, als gezamenlijke verwerkingsverantwoordelijken met u of als verstrekker van persoonsgegevens kunnen optreden. Het is belangrijk dat u ieders rol bepaalt om uw verplichtingen en hun verplichtingen goed te begrijpen.
U bent "verwerkingsverantwoordelijke" wanneer u, alleen of samen met anderen, het doel van en de middelen voor een verwerking van persoonsgegevens vaststelt.
Het is belangrijk om te onthouden dat een organisatie niet 'van nature' een verwerkingsverantwoordelijke of verwerker is. Alles hangt af van hoe ze zich in de praktijk gedraagt. U moet zich voor elke handeling die u met persoonsgegevens verricht, afvragen wie bepaalt wat het doel is van de verwerking en hoe de betreffende gegevens verwerkt zullen worden.
Om uw rol en die van andere belanghebbenden (zoals uw technische dienstverleners of derden die u gegevens verstrekken) te verduidelijken, kunt u zich afvragen:
- wie beslist om in de eerste plaats persoonsgegevens te verzamelen en welk(e) soort(en) persoonsgegevens verzameld moet(en) worden;
- wie de personen of categorieën van bedoelde personen bepaalt;
- wie beslist welke gegevens of categorieën van gegevens worden verzameld;
- wie bepaalt voor welk(e) doel(en) de gegevens worden gebruikt;
- wie de rechtsgrond hiervoor bepaalt en waarborgt (toestemming, wettelijke verplichting, gerechtvaardigd belang, enz.);
- wie bepaalt of de gegevens openbaar moeten worden gemaakt en zo ja, aan wie;
- wie de inhoud bepaalt van de aan de betrokkenen te verstrekken informatie over de op hun gegevens toegepaste verwerking(en);
- wie bepaalt hoe lang de gegevens worden bewaard; en
- wie bepaalt hoe verzoeken van betrokkenen ingewilligd moeten worden in het kader van de uitoefening van hun rechten.
Al deze beslissingen kunnen alleen door de verwerkingsverantwoordelijke worden genomen in het kader van zijn algemene controle op de gegevensverwerking. Als u een van deze beslissingen neemt, bent u hoogstwaarschijnlijk verwerkingsverantwoordelijke.
Artikel 26 van de AVG voorziet ook in de situatie waarin twee of meer verantwoordelijken, de zogenaamde "gezamenlijke verwerkingsverantwoordelijken", naast elkaar bestaan. Dit is het geval wanneer meerdere operatoren/organisaties gezamenlijk het doel van en de middelen voor de verwerking bepalen. Artikel 26 van de AVG bepaalt dat de gezamenlijke verantwoordelijken in dergelijke gevallen hun respectieve verplichtingen op transparante wijze moeten vaststellen door middel van een onderlinge regeling, waaruit naar behoren blijkt welke rol zij ten opzichte van de betrokkenen vervullen.
In dit verband zij erop gewezen dat het Hof van Justitie in zijn arrest in de zaak Fashion ID GmbH & Co. KG tegen Verbraucherzentrale NRW eV heeft besloten dat de beheerder van een website die is uitgerust met de "Like"-button van Facebook samen met Facebook verantwoordelijk kan zijn voor het verzamelen en doorgeven aan Facebook van de persoonsgegevens van de bezoekers van zijn site. Bovendien mag u, wanneer u gebruik maakt van persoonsgegevens die via sociale media worden verzameld, u niet beroepen op hun gebruiksvoorwaarden om de betrokkenen wier persoonsgegevens u verwerkt (of wier gegevens via u worden verwerkt) te informeren over de verschillende verwerkingen die worden uitgevoerd en de doeleinden die worden nagestreefd. Het is namelijk uw verantwoordelijkheid, als verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke, om de betrokkenen transparante informatie te verstrekken voor het deel van de verwerking van persoonsgegevens dat u uitvoert.
In het kader van uw marketingactiviteiten doet u, als verwerkingsverantwoordelijke, net als voor andere gegevensverwerkingsactiviteiten, vaak een beroep op de diensten van een verwerker.
Wanneer een openbare of particuliere instantie of een natuurlijke persoon namens u, op basis van uw instructies,persoonsgegevens verwerkt met als enig doel u in staat te stellen uw doeleinden te vervullen, dan is er sprake van onderaanneming.
Elke onderaannemingsrelatie houdt noodzakelijkerwijs de naleving in van artikel 28 van de AVG, dat onder meer bepaalt dat deze relatie moet worden geregeld in een overeenkomst of een andere rechtshandeling die ten minste de voorwaarden van artikel 28, lid 3, van de AVG bevat. U bent ook verplicht een verwerker te kiezen die voldoende garanties biedt voor de verwerking van persoonsgegevens in overeenstemming met de regels van de AVG.
Vergeet in dit verband niet dat u, ongeacht de situatie en ongeacht de verwerker, aangezien u optreedt als verwerkingsverantwoordelijke, gebonden blijft aan de verplichtingen die de AVG u oplegt en dat u zich, in voorkomend geval, moet verantwoorden voor het niet nakomen van deze verplichtingen.
Een en dezelfde instantie kan tegelijk optreden als verwerker en als verwerkingsverantwoordelijke, maar niet voor dezelfde verwerking van persoonsgegevens. Een verwerker die op deze wijze handelt, dient ervoor te zorgen dat zijn systemen en procedures onderscheid maken tussen persoonsgegevens die in zijn hoedanigheid van verwerkingsverantwoordelijke worden verwerkt en persoonsgegevens die in zijn hoedanigheid van verwerker worden verwerkt. Als bepaalde gegevens identiek zijn, moeten deze systemen onderscheid kunnen maken tussen de twee situaties om op elk van beide verschillende processen en maatregelen toe te passen.
Opdat de betrokken verwerkingen wettelijk zouden zijn moeten, indien een organisatie tegelijkertijd optreedt als verwerkingsverantwoordelijke en als verwerker voor verschillende gegevensverwerkingen maar op basis van dezelfde persoonsgegevens, de betrokkenen naar behoren worden geïnformeerd: zowel door de organisatie die als verwerker optreedt als door de organisatie die als verwerkingsverantwoordelijke optreedt. Dit geldt met name voor bedrijven die u de mogelijkheid bieden om hun klantenkaartsysteem te gebruiken en die voor u een databank beheren met bijvoorbeeld gegevens over de personen die een kaart voor uw zaak hebben, de gedane aankopen of categorieën van aankopen, de frequentie, de periodes en de bedragen, om u te helpen uw klanten beter te bereiken en hen meer relevante promoties aan te bieden. Dezelfde organisaties kunnen ook andere activiteiten dan zuivere onderaanneming uitvoeren door bijvoorbeeld "klantprofielen" te verstrekken aan andere handelaars op basis van onder meer de gegevens die via de genoemde klantenkaart worden verzameld. De te verstrekken informatie moet met name betrekking hebben op de verschillende uitgevoerde verwerkingen, de verzamelde gegevens en de ontvangers van gegevens met hun eigen doeleinden.
Tot slot wordt bij direct marketing steeds vaker een beroep gedaan op verschillende organisaties die diensten aanbieden voor het beschikbaar stellen, via handel, verkoop of verhuur, van persoonsgegevens uit verschillende bronnen, die al dan niet bewerkt werden door middel van verrijking of datamatching, met of zonder profilering. Deze organisaties, of ze nu primair werkzaam zijn als "data brokers" dan wel actief zijn in de reclame-industrie (inclusief bedrijven die gegevens over hun eigen klanten of andere contacten verhuren of verkopen), blijken soms essentieel te zijn om u te helpen uw doelen te bereiken.
In de praktijk zijn de betrokkenen zich er vaak niet van bewust dat hun persoonsgegevens door deze organisaties worden verzameld, laat staan dat ze weten wat ze met die gegevens doen. Het rapport "OUT of control", dat op 14 januari 2020 werd gepubliceerd door het Forbrukerradet, lid van het Europees Bureau van consumentenverenigingen (BEUC), maakt gewag van een wijdverspreide verzameling en gebruik van persoonsgegevens zonder medeweten van de eigenaars en gebruikers van smartphones.
Het naleven van transparantie door elke verwerkingsverantwoordelijke die betrokken is bij het doorgeven van persoonsgegevens is evenwel essentieel opdat de gegevens eerlijk en rechtmatig verwerkt zouden worden.
Wanneer u met intermediaire organisaties samenwerkt om uw marketingcampagnes te verbeteren door bij hen persoonsgegevens te verzamelen waarover u niet beschikt, bent u derhalve ook verplicht om de betrokkenen uiterlijk bij het eerste contact met hen de vereiste informatie te verstrekken, in overeenstemming met artikel 14 van de AVG.
Bovendien moet u zich vergewissen van de kwaliteit van de gegevens die u op deze manier verkrijgt. Uw verantwoordelijkheid houdt ook in dat u zorgvuldig partners dient te selecteren die effectief kunnen garanderen dat de persoonsgegevens op een rechtmatige en eerlijke manier werden verzameld. Het is dus aan u om u te vergewissen van de herkomst van de gegevens en van de manier waarop ze werden verzameld en om na te gaan op welke rechtsgrond, door wie, voor welke doeleinden en voor welke duur dit is gebeurd en welke verwerkingen werden verricht.
Zoek ook uit of de organisatie die de diensten aanbiedt waarvan u gebruik wenst te maken, deel uitmaakt van een beroepsorganisatie, een charter heeft of geaccrediteerd is door een onafhankelijke instantie, bijvoorbeeld doordat zij een gedragscode naleeft.
Al deze voorzorgsmaatregelen maken deel uit van de inspanning voor de inovereenstemmingsbrenging ("due diligence") die van een verwerkingsverantwoordelijke wordt verwacht en de toepassing van artikel 25 van de AVG, dat u verplicht om de bescherming van persoonsgegevens te integreren vanaf het conceptstadium van uw verwerkingen en dit gedurende uw hele verwerkingsoperatie.