Transparantie is niet optioneel
Een van de zwaarst meewegende kritiekpunten van de CNIL: Solocal informeerde betrokkenen onvoldoende. De gebruikte informatie kwam uit openbare bronnen (zoals bedrijfsgidsen), maar mensen wisten niet dat hun gegevens daarna werden doorverkocht of gebruikt voor direct marketing. Volgens artikel 14 van de AVG geldt ook wanneer gegevens niet rechtstreeks bij de betrokkene zijn verkregen een informatieplicht: moet men actief geïnformeerd worden over de bron, het doel en de grondslag van de verwerking. Solocal liet dat na. De informatie die zij met hun privacyverklaring wel hadden gepubliceerd was niet vindbaar genoeg en ging niet in op de specifieke verwerkingen. Het beroep op de disproportionaliteitsexceptie, dat een uitzondering op de informatieplicht toestaat als dit onevenredige inspanning vergt, slaagde niet.
Geen rechtsgeldige grondslag voor verwerking
De Franse toezichthouder oordeelde daarnaast dat Solocal zich ten onrechte beriep op een ‘gerechtvaardigd belang’ voor het uitvoeren van profilering. Een gerechtvaardigd belang kan alleen een grondslag zijn als aan drie cumulatieve eisen wordt voldaan; het belang moet legitiem zijn; de verwerking moet noodzakelijk zijn; en er moet een zorgvuldige belangenafweging zijn gedaan. Solocal slaagde daar niet in. De profilering ging verder dan redelijkerwijs te verwachten viel, en de belangen van betrokkenen werden onvoldoende beschermd.
Profilering: wat is wel toegestaan?
De boete van de CNIL roept de vraag op: wat mag dan wel? Profilering voor direct marketing is niet verboden, maar vraagt om zorgvuldigheid. Transparantie, een passende grondslag, en de mogelijkheid tot bezwaar zijn daarbij essentieel. Met name als er gebruik wordt gemaakt van verrijkte of samengestelde datasets. Marketeers die met externe dataleveranciers werken, doen er goed aan te controleren of deze partijen voldoen aan hun informatieplichten en verwerkingsgronden goed onderbouwen.
Wat zijn de risico’s voor marketeers?
De boete aan Solocal is een waarschuwing aan de hele sector. Organisaties die data inkopen of huren, moeten kritisch zijn. Organisaties blijven zelf verantwoordelijk voor het rechtmatig gebruik van ingekochte data. Een beroep op ‘het was geleverd door een derde’ houdt juridisch geen stand. Betrokkenen kunnen altijd gebruik maken van hun rechten of zelfs schadevergoeding eisen via collectieve procedures. Daarnaast is er altijd een reputatierisico. Publiciteit rond een boete raakt niet alleen de databroker zelf, maar ook de partijen die met hun data werken.
De Solocal-zaak maakt duidelijk dat datakwaliteit gaat over herkomst, transparantie en juridische onderbouwing. Wie aan databrokers denkt, denkt vaak aan grote Amerikaanse partijen – maar ook in Europa worden deze praktijken steeds scherper gereguleerd. Nu toezichthouders zoals de CNIL, GBA en AP actiever handhaven, is het goed om kritisch te kijken naar de bronnen van je data.
Wil je weten of jouw organisatie compliant omgaat met profilering en dataverwerking voor marketingdoeleinden? Neem contact op met het legal team van DDMA.
Sara Mosch
Ook interessant
Franse toezichthouder CNIL treedt op tegen databroker Solocal: waar ligt de grens bij gebruik van klantdata?
AI & Cookies: Wat mag volgens de cookiebepaling?
