In het besluit (enkel in het Deens beschikbaar), geeft de Deense toezichthouder nadere toelichting over de conclusies die zijn getrokken na onderzoek. Een Deens groeifonds maakte in haar nieuwsbrieven gebruik van e-mail pixels en een ontvanger diende hierover een klacht in. Met de pixels verzamelde het groeifonds meerdere soorten gegevens, zoals:
- e-mailadressen van de ontvangers van de nieuwsbrief,
- informatie over het land van waaruit de nieuwsbrieven worden geopend,
- hoeveel mensen de nieuwsbrief openen en hoe vaak dat is gebeurd,
- welke artikelen worden geopend,
- hoe het publiek van de nieuwsbrief wordt verdeeld op geslacht (gezien vanuit elke naam in e-mail),
- welke ontvangers meer nieuwsbrieven openen en over hoe ze zich aanmelden voor nieuwsbrieven.
Geldige grondslag nodig voor gebruik e-mail pixels
Volgens de Deense toezichthouder zijn e-mail pixels cookies en is het groeifonds daardoor verplicht om een geldige grondslag te hebben voor het verzamelen van persoonsgegevens. Daarnaast dient het groeifonds te informeren over het verzamelen van de persoonsgegevens via e-mail pixels.
Het groeifonds was in de veronderstelling dat bij het aanmelden voor de nieuwsbrief ook toestemming zou worden verkregen voor het gebruik van e-mail pixels. De toezichthouder veegde dit daarentegen van tafel omdat er geen specifieke toestemming was gevraagd voor het meesturen van de e-mail pixel én geen informatie over was verstrekt (ook niet in het privacy statement). Inmiddels is het groeifonds, nadat zij eerder had beloofd haar beleid aan te passen, gestopt met het gebruik van e-mail pixels. Daardoor besloot de toezichthouder enkel ernstige kritiek te uiten en geen boete op te leggen.
Gerechtvaardigd belang?
Opvallend aan dit besluit is dat de Deense toezichthouder niet ingaat op de mogelijkheid om gegevens te verzamelen via e-mail pixels op basis van het gerechtvaardigd belang. Concluderend dat e-mail pixels ‘hetzelfde’ doen als cookies zouden ook de regels uit de ePrivacy Directive, in Nederland omgezet in de Telecommunicatiewet, van toepassing zijn. In deze wetgeving is als hoofdregel opgenomen dat toestemming vereist is voor het plaatsen van cookies en het verzamelen van persoonsgegevens daarmee. Als uitzondering is daarentegen geen toestemming vereist voor cookies met analytische doeleinden, mits deze geen of geringe impact hebben op de privacy van de betrokkene. Vaak wordt verondersteld dat e-mail pixels (afhankelijk van de data die wordt verzameld) onder deze uitzondering zou kunnen vallen. De toezichthouder gaat hier helaas niet op in.
Wat betekent dit voor jou?
Concreet betekent dit besluit nog niet veel voor jouw praktijk. Ten eerste is het een besluit van de Deense toezichthouder en weten we niet wat onze nationale toezichthouder (de Autoriteit Persoonsgegevens) van e-mail pixels vindt. Ten tweede is de Deense toezichthouder niet dieper ingegaan op de vraag of het gerechtvaardigd belang een geldige grondslag is voor het verzamelen van gegevens via e-mail pixels. Het zou dus kunnen dat deze grondslag ook nog als mogelijkheid wordt gezien door toezichthouders.
Toch doe je er goed aan om deze ontwikkelingen goed in de gaten te houden. Als Europese toezichthouder op de naleving van de AVG is de uitleg van de Deense toezichthouder wel impactvol en zouden andere toezichthouders hierop kunnen aansluiten. Daarnaast is de Deense toezichthouder wel duidelijk geweest over het feit dat er geïnformeerd dient te worden over het gebruik van e-mail pixels. Controleer daarom nog eens het privacy statement van jouw organisatie nog eens goed of het deze informatie bevat.
- Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
- Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
- Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.