RECHT Wat doe je met consumenteninformatie? Spelregels gebruik persoonsgegevens Marijn Kingma Een bedrijf dat (online) boekingen verzorgt en communiceert, krijgt al snel te maken met de regelgeving voor verwerking van persoonsgegevens en de regels voor ‘ongevraagde communicatie’(spam). Het niet naleven van deze regelgeving kan in sommige gevallen leiden tot boetes. De definitie van ‘persoonsgegevens’ in de wet is heel breed: “alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.” Hieronder vallen dus namen, (e-mail)adressen en telefoonnummers maar ook gegevens die herleidbaar kunnen zijn tot een persoon, bijvoorbeeld een IP-adres. Ook gegevens over bijvoorbeeld iemands ras, godsdienst, politieke voorkeur of seksuele leven zijn persoonsgegevens. Vanwege het gevoelige karakter van dit soort gegevens worden deze gegevens aangeduid als ‘bijzondere persoonsgegevens’. Voor de verwerking van deze gegevens gelden strengere regels. gebruikt voor het uitvoeren van die overeenkomst. In het geval dat de gegevens ook voor andere doeleinden worden gebruikt moet daarvoor altijd expliciet toestemming worden gevraagd. Aanmelden bij CBP Een andere regel is dat verwerkers van persoonsgegevens zich moeten aanmelden bij het College voor Bescherming van Persoonsgegevens (CBP). Wel zijn er redelijk wat uitzonderingen op deze verplichting. Zo hoeven verwerkingen voor communicatie benodigde gegevens (bijvoorbeeld een mailinglijst) niet aangemeld te worden. De uitzondering geldt dan weer niet voor de verwerking van bijzondere persoonsgegevens (waaronder dus ook foto’s). Als die worden verwerkt moet dit wel bij het CBP worden aangemeld. Op de website van het CBP (www.cbpweb.nl) kunt u meer lezen over deze uitzonderingen en of u zich moet aanmelden. Onder het begrip ‘verwerking’ valt onder andere het verzamelen, vastleggen, bewaren en opvragen van persoonsgegevens. Als een klant bijvoorbeeld een account aanmaakt op een website, of zijn e-mailadres achterlaat om een nieuwsbrief te ontvangen, is er al sprake van verwerking van persoonsgegevens. Verwijderen van persoonsgegevens Uit de wet blijkt ook dat degene wiens persoonsgegevens zijn verwerkt er recht op heeft dat deze worden verbeterd, aangevuld, gewijzigd of afgeschermd, als hij of zij daarom vraagt. Dit recht bestaat onder andere als de gegevens feitelijk onjuist of niet (meer) ter zake dienend zijn. Een interessante vraag is wanneer persoonsgegevens niet meer ‘ter zake dienend’ zijn. Het Hof van Justitie van de Europese Unie heeft onlangs geoordeeld dat Google zoekresultaten moest verwijderen op verzoek van de betrokkene omdat die gegevens niet meer relevant of actueel waren. Deze redenering zou doorgetrokken kunnen worden naar klantgegevens van iemand die bijvoorbeeld tien jaar geleden een keer een reservering heeft gedaan op een website. Als deze klant daarom verzoekt, moeten deze gegevens dan verwijderd worden. Recreatie & Toerisme okt ober 2014 De hoofdregel De hoofdregel is dat persoonsgegevens alleen mogen worden verwerkt als de persoon op wie de gegevens betrekking heeft daarvoor zijn of haar toestemming heeft gegeven. Het moet dan gaan om een ‘vrije, specifieke en op informatie berustende wilsuiting’. Dit houdt in dat iemand duidelijk moet zijn geïnformeerd waarvoor zijn of haar persoonsgegevens zullen worden gebruikt en vervolgens toestemming geeft voor dat gebruik. Deze toestemming moet expliciet gegeven worden, bijvoorbeeld door het aanvinken van een hokje. Overnachting boeken? Op deze hoofdregel zijn een aantal uitzonderingen. De belangrijkste is dat gegevens zonder toestemming verwerkt mogen worden als dit noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene. Als een klant dus bijvoorbeeld een overnachting wil boeken, hoeft hij geen toestemming te geven voor het verwerken van zijn gegevens. Dit geldt alleen voor ‘gewone’ persoonsgegevens. Voor bijzondere persoonsgegevens geldt dat daar altijd toestemming voor moet worden gevraagd. Belangrijk om te weten is dat een foto wordt gezien als een ‘bijzonder persoonsgegeven’, omdat op een foto het ras van de betrokkene te zien is. Ook is het goed om te bedenken dat de gegevens alleen mogen worden Spam Er bestaan nog aanvullende regels voor ‘ongevraagde communicatie’ (spam). Als een gebruiker toestemming heeft gegeven of als het gaat om een bestaande klantrelatie, mag er een nieuwsbrief of reclame naar deze persoon worden verstuurd. Wat echter niet mag is bijvoorbeeld e-mailadressen van een forum verzamelen en daar e-mails naar toe sturen. Dit valt onder het spamverbod. ■ Marijn Kingma, Höcker Advocaten. 38