GDPR: Nederlandse tennisbond kreeg zware boete

In Nederland werd onlangs een hoge boete toegekend aan de Tennisbond voor het niet naleven van de GDPR-wetgeving. We keken even in detail naar deze zaak om dergelijke situaties in Belgïe te vermijden. 

Wat er gebeurde in Nederland...

De Nederlandse Tennisbond kreeg recent van de Autoriteit Persoonsgegevens (= de Nederlandse variant van de Gegevensbeschermingsautoriteit/Privacycommissie ) een boete voor het doorverkopen van adressen van haar leden aan een aantal sponsors. De AP oordeelde dat het doorverkopen van die adressen een onrechtmatige verwerking van persoonsgegevens is, vermits de leden hiervoor geen individuele toestemming hadden gegeven. Het onderzoek dat de AP deed bij de Nederlandse Tennisbond kadert binnen hun actieplan inzake handel in persoonsgegevens waarbij ze willen voorkomen dat organisaties persoonsgegevens doorgeven zonder zich te beroepen op een verwerkingsgrond, en waardoor de betrokken personen controle verliezen over hun persoonsgegevens.

De Nederlandse Tennisbond argumenteert dat het doorverkopen van de ledengegevens aan de sponsors wel GDPR-conform was en dit op basis van de verwerkingsgrond "gerechtvaardigd belang" (in tegenstelling tot de verwerkingsgrond toestemming die volgens de AP van toepassing is) omdat zij als bond met die doorverkoop meerwaarde creëren voor hun leden en extra inkomsten genereren voor de organisatie. Deze motivatie was goedgekeurd op de ledenvergadering en zij hadden hun leden daarover duidelijk geïnformeerd (met de mogelijkheid om bezwaar aan te tekenen tegen deze verwerking).

De AP gaat echter niet akkoord met deze redenering:

  1. Ten eerste vindt zij dat het genereren van financiële inkomsten met ledengegevens niet onder de verwerkingsgrond "gerechtvaardigd belang" valt omdat dit geen grondrecht of rechtsbeginsel is dat kan worden "afgedwongen". Hiermee verwerpt de AP de verwerkingsgrond "gerechtvaardigd belang" waar de Tennisbond zich op beroepte, waardoor er geen verwerkingsgrond meer is voor het doorverkopen van de ledengegevens aan sponsors.
  2. Ten tweede is er volgens de AP (voor een deel van de gegevens) geen verenigbaarheid tussen het doel waarvoor die verzameld werden, namelijk ledenadministratie, en het doel waarmee ze doorverkocht werden, namelijk het genereren van extra inkomsten. In de GDPR-wetgeving staat namelijk dat beide met elkaar in overeenstemming moeten zijn.

De Tennisbond gaat in beroep tegen deze boete.
 

Kan dit ook in België gebeuren?

Ja, want GDPR is een Europese regelgeving, wat betekent dat kan verwacht worden dat ook de Belgische toepassing in lijn zal liggen met die in Nederland. Laat je adviseren indien nodig!

De GBA schreef recent een aanbeveling rond direct marketing (ofwel: het sturen van een commerciële boodschap rechtstreeks aan één persoon) en maakte daarin een aantal principes duidelijk die in lijn liggen met de Nederlandse beslissing (o.a. over gerechtvaardigd belang).

Conclusie: Hoe omgaan met sponsorboodschappen naar je leden?

  1. Als je zelf ledengegevens doorverkoopt aan derden verliezen de betrokkenen de controle over hun persoonsgegevens. Hiervoor toestemming vragen aan je leden is een must! Er dient ook een verband te bestaan tussen de aanbieding of activiteit van de sponsor en de activiteit van je federatie of club. Het moet gaan over een actie die valt binnen de redelijke verwachtingen van de leden.  Het is waarschijnlijk ook de verwachting van de leden dat het aantal van dergelijke commerciële acties beperkt is, en dat ze er zelf een voordeel kunnen bij hebben.
     
  2. Zelf sponsorboodschappen naar je leden sturen
    Als je zelf sponsorboodschappen verstuurt naar je leden is het belangrijk hen daarover te informeren via je ledenovereenkomst/statuten en in je privacyverklaring én dat je hen de mogelijkheid geeft om dat niet te willen. Met andere woorden, ze moeten bezwaar kunnen aantekenen tegen deze verwerking van hun gegevens.
Gepost door: 
Lien Berton