Ten opzichte van de eerdere opinie van de Artikel 29-werkgroep (WP29) uit 2014 zijn de belangrijkste principes grotendeels onveranderd gebleven. In dit artikel bespreken we de drie meest opvallende punten uit de nieuwe richtlijnen.
De driestappentoets blijft leidend
De EDPB onderstreept dat de uitvoering (en documentatie) van de driestappentoets essentieel blijft voor een rechtmatige verwerking van persoonsgegevens op basis van het gerechtvaardigd belang. Deze toets bestaat uit de volgende stappen:
- Het belang van de verwerkingsverantwoordelijke moet daadwerkelijk gerechtvaardigd zijn: Dit belang moet rechtmatig zijn en duidelijk & specifiek omschreven. Ook moet het belang bestaand en actueel zijn: er mag dus geen sprake zijn van een hypothetisch belang.
- Het gerechtvaardigd belang moet noodzakelijk zijn: De verwerking moet proportioneel zijn en er mag geen minder ingrijpende methode bestaan om hetzelfde doel te bereiken.
- Er moet een afweging van belangen worden gemaakt: Hierbij moeten de rechten en vrijheden van de betrokkene zorgvuldig worden afgewogen tegen het belang van de verwerkingsverantwoordelijke.
De nieuwe richtlijnen bevatten voorbeelden uit recente rechtszaken om de interpretatie van deze toets te verduidelijken. Zo kan het verbeteren van de functionaliteit van een publiek toegankelijke website en het nastreven van een commercieel belang, zoals naar voren kwam in de KNLTB-zaak, ook vallen onder het gerechtvaardigd belang.
Inspelen op de redelijke verwachting van de betrokkene?
Een belangrijke overweging binnen de belangenafweging is de redelijke verwachting van de betrokkene. Deze verwachting wordt mede bepaald door de relatie tussen de verwerkingsverantwoordelijke en de betrokkene. De AVG schrijft voor dat organisaties een informatieplicht hebben om transparantie te waarborgen, maar het voldoen aan deze plicht betekent niet automatisch dat de verwerkingsgrondslag gerechtvaardigd is.
Heeft het verstrekken van meer informatie aan de betrokkene dan invloed op de belangenafweging? Wat ons betreft wel. Hoewel het louter voldoen aan de informatieplicht niet voldoende is voor het vaststellen van een gerechtvaardigd belang, kan het verstrekken van aanvullende informatie wat ons betreft wel in het voordeel van de organisatie werken in de belangenafweging. Het blijft echter van cruciaal belang dat hoe gevoeliger de verwerkte gegevens zijn, hoe groter de kans is dat de afweging in het voordeel van de betrokkene zal uitvallen. Ook factoren zoals de omvang van de verwerking en de betrokkenheid van kwetsbare groepen, zoals kinderen, wegen zwaar mee.
Contextuele toepassing: verwerking voor direct marketing-doeleinden
Volgens de AVG kan het gerechtvaardigd belang een grondslag bieden voor de verwerking van persoonsgegevens voor direct marketing. Let wel op: dat dit mogelijk is, betekent niet dat dit altijd een geldige grondslag vormt. De ePrivacyregels stellen toestemming verplicht voor specifieke marketingkanalen:
- Email e.a. kanalen zonder ‘menselijke tussenkomst’, zoals sms en MMS:
Hiervoor is in principe de grondslag ‘toestemming’ vereist. Als er echter een bestaande klantrelatie is kan het gebruik van gerechtvaardigd belang in bepaalde gevallen wel gerechtvaardigd zijn. Er moet dan wel zijn voldaan aan vijf voorwaarden.
- De EDPB benadrukt in haar richtlijnen dat gepersonaliseerde advertenties beschouwd zouden kunnen worden als een vorm van direct marketing die moet voldoen aan de ePrivacyregels voor e-mail. Er moet dan vastgesteld worden of er sprake is van ‘communicatie met een commercieel doel die direct en individueel gericht is aan de consument’. Ook ‘display-advertenties die als e-mails worden gepresenteerd in persoonlijke inboxen’ kunnen vallen onder de term direct marketing.
- Cookies en andere technologieën die gegevens uitlezen of opslaan op randapparaten toestemming nodig is. Ook hiervoor is toestemming vereist, tenzij het gebruik technisch strikt noodzakelijk is of de cookies worden gebruikt voor privacyvriendelijke analytics.
Afgezien van de specifieke ePrivacyregels voor deze kanalen, hangt het per geval af of direct marketing op een gerechtvaardigd belang kan worden gebaseerd. De EDPB wijst daarbij op ‘invasieve marketingpraktijken’, zoals het verwerken van grote hoeveelheden gegevens of gegevens zonder duidelijke beperking. Dergelijke praktijken kunnen volgens de EDPB vrijwel nooit worden gerechtvaardigd op basis van een gerechtvaardigd belang. Wel is het goed om hierbij op te merken dat bepaalde vormen van personalisatie aan de hand van profielen zeker mogelijk zijn op basis van een gerechtvaardigd belang.”
Belangrijke takeaways
De nieuwe richtlijnen van de EDPB maken het volgende duidelijk:
- Dat het gerechtvaardigd belang nog steeds een relevante en toepasbare grondslag is voor de verwerking van persoonsgegevens, mits de strikte voorwaarden worden nageleefd.
- Het naleven van de driestappentoets blijft essentieel
- Het inspelen op de redelijke verwachtingen van de betrokkene kan de belangenafweging positief beïnvloeden.
Wil je meer weten over het gerechtvaardigd belang bij de inzet van marketing? Stuur een mail naar legal@ddma.nl. We blijven de consultatie en het vervolg van de opinie volgen en houden je op de hoogte.
Frank de Vries
Isa Nieuwstad
Ook interessant
Nieuwe collega: Isa Nieuwstad versterkt DDMA legal team
Nieuwe richtlijnen gerechtvaardigd belang van de EDPB
