Privacywetgeving en klantenbeheer Focum | Brussel | 13 mei 2014 Johan Vandendriessche Advocaat (crosslaw) | www.crosslaw.be | | [email protected] | Overzicht Wat is klantenbeheer? Wettelijke benadering • Algemeen • De verwerking van de klantengegevens • De verzending van (reclame)boodschappen Impact van (mogelijke) toekomstige wetgeving 2 Wat is klantenbeheer? Vaktechnische benadering • Louter technische benadering • Databankbeheer • Data management • Commerciële benadering (CRM) • Klantrelatiebeheer • Relatiemarketing (direct marketing) 3 Wat is klantenbeheer? Privacywetgeving (WVP) - CBPL • “De administratie van het cliënteel, het beheer van de bestellingen, de leveringen, de facturatie van materiële en immateriële diensten. Het opvolgen van de solvabiliteit. Gepersonaliseerde marketing en reclame. Het registreren van het cliënteel van een handelszaak en de profilering ervan op basis van aankopen” • Ruime definitie (‘CRM’) • • • • Technische beheer Beperkte, gepersonaliseerde berichten en/of reclame Profilering Klantensurveys (b.v. klanttevredenheid) • Bestaande klanten, prospecten en voormalige klanten 4 Wat is klantenbeheer? Finaliteiten in het verlengde: • Bestrijding van fraude en inbreuken van het cliënteel • Beheer van betwistingen • Direct marketing • “Prospectie, activiteiten, diensten aangeboden door commerciële firma’s, liefdadigheidsinstellingen of andere verenigingen of stichtingen, o.a. deze van politieke aard, aan bevolkingssegmenten. Het communicatiemiddel dat hiertoe gebruikt wordt, kan post, telefoon of andere rechtstreekse middelen (bijv. e-mail, ….) zijn. Het heeft geen belang of de geadresseerde reeds klant is of niet.” 5 Wat is klantenbeheer Finaliteiten in het verlengde: Direct marketing • “alle activiteiten die het mogelijk maken om goederen en diensten aan te bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enige daarmee verband houdende dienst” • Begrip is ruimer dan reclame in de WMPC en Wet Elektronische Handel 6 De wettelijke regeling (Complexe) samenloop van wetten • Historische oorzaak • Evolutie naar opt-in impliceert verschuiving uit de WVP naar andere wetgeving • Onderscheid gegevens vs. communicatiemiddel Wetgeving • Wet Verwerking Persoonsgegevens (WVP) • Wet Elektronische Handel • KB Elektronische Post • Wet Marktpraktijken (WMPC) 7 Verwerking van persoonsgegevens Toepassingsgebied • Verwerking van persoonsgegevens • (geheel of gedeeltelijk) geautomatiseerd • Manueel, opname in een bestand • Aanknopingspunt met België • Activiteiten van de vaste vestiging van de verantwoordelijke voor de verwerking • Herkomstlandbeginsel Toepassing van een rechtstelsel binnen de EER = uitsluiting van de andere rechtsstelsels binnen de EER 8 Verwerking van persoonsgegevens Persoonsgegevens (artikel 1, §1 WVP) • Informatie m.b.t. een geïdentificeerde of identificeerbare natuurlijke persoon • Ruime interpretatie Niet enkel in hoofde van de entiteit die de gegevens verwerkt Identificatiemogelijkheid op basis van “redelijk inzetbare middelen” • Niet noodzakelijk privacygevoelig of vertrouwelijk Voor bepaalde bijzondere categorieën gegevens gelden striktere regels (gevoelige persoonsgegevens, gezondheidsgegevens, gerechtelijke persoonsgegevens): in principe geldt een verbod om te verwerken 9 Verwerking van persoonsgegevens Verwerking (artikel 1, §2 WVP) • “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés” Wet geeft chronologisch overzicht • Van inzameling tot vernietiging/anonimisering Conclusie: elke manipulatie van persoonsgegevens is een verwerking • Opgelet: niet alle verwerkingen vallen onder het toepassingsgebied van de WVP 10 Verwerking van persoonsgegevens Voornaamste actoren • Verantwoordelijke voor de verwerking (artikel 1, §4 WVP) • Verantwoordelijke bepaalt doel en middelen van verwerking • Verwerker (artikelen 1, §5 WVP) • Verwerker verwerkt ten behoeve van verantwoordelijk (‘uitbesteding’) • Personen die onder het rechtstreek gezag van de verantwoordelijke voor de verwerking werken (b.v. diens werknemers), vallen niet onder het begrip ‘verwerker’ • Specifieke verplichtingen ingeval van gebruik verwerker 11 Verwerking van persoonsgegevens Voorwaarden waaraan persoonsgegevens moeten voldoen • Eerlijk en rechtmatig verwerken (‘eerlijkheid’ en ‘transparantie’) • Correcte implementatie van policies is cruciaal! • Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (‘doelgebondenheid’) • Keuzevrijheid is niet onbeperkt Omschrijving doeleinde Motivering keuze 12 Verwerking van persoonsgegevens Voorwaarden waaraan persoonsgegevens moeten voldoen • Toereikend, ter zake dienend en niet overmatig voor doel (‘proportionaliteit’) • Nauwkeurig en, indien nodig, bij te werken (‘datakwaliteit’) • Niet langer bewaren dan noodzakelijk (‘tijdsbeperking’) 13 Verwerking van persoonsgegevens Grondslagen voor de verwerking: • ondubbelzinnige en vrijwillige toestemming (met kennis van zaken) • noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is of voor precontractuele maatregelen (informatie over een product of het uitvoeren van een bestelling) • noodzakelijk voor vervullen van taak van openbaar belang of taak die deel uitmaakt van uitoefening van openbaar gezag (bpost) • noodzakelijk voor behartiging van gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits afweging van het belang of de fundamentele rechten en vrijheden van de betrokkene • ‘catch-all’, maar inherent risicovol door de eigen afweging van de respectieve belangen 14 Verwerking van persoonsgegevens Rechten van de betrokkene • • • • Recht op informatie (‘transparantie’) (artikel 9 WVP) Recht op mededeling (artikel 10 WVP) Recht op verbetering (artikel 12 WVP) Recht op verzet (artikel 12 WVP) Uitoefening recht op mededeling en recht op verbetering • Gedagtekend en ondertekend verzoek • Overhandiging, per post of per telecommunicatiemiddel • Reactie binnen een termijn van: • 1 maand in geval van uitoefening van recht op verbetering • onverwijld, en in elk geval binnen de 45 dagen, in geval van uitoefening van het recht op mededeling • Anti-misbruikbepaling: bijkomende verzoeken kunnen slechts na verloop van het verstrijken van een redelijke termijn 15 Verwerking van persoonsgegevens Beveiligingsplicht • Gepaste technische en organisatorische maatregelen • Elke vorm van onrechtmatige verwerking • Passend beveiligingsniveau • de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen • de aard van de te beveiligen gegevens en de potentiële risico's • Specifieke verplichtingen • Verplichtingen m.b.t. verwerkers 16 Verwerking van persoonsgegevens Verplichtingen m.b.t. verwerkers • Keuze verwerker • Verwerkingsovereenkomst • Aansprakelijkheid van de verwerker vastleggen (artikel 15bis WVP!) • Veiligheid Technische en organisatorische maatregelen Verplichting tot effectief toezicht daarop • Opdracht van de verwerker afbakenen (handelt uitsluitend in opdracht van de verantwoordelijk conform diens instructies) • Schriftelijk of op elektronische drager 17 Verwerking van persoonsgegevens Aangifte van de verwerking bij CBPL • Blauwdruk van de verwerking (per doel, niet per toepassing) • Openbaar register via website CBPL Voor elke aanvang van verwerking, bij elke wijziging of bij stopzetting van de verwerking Uitzonderingen (voorwaardelijk) • Contactname (beheer contactgegevens) • Klantenbeheer • Bestaande, potentiële en gewezen klanten 18 Verwerking van persoonsgegevens Enkele praktische gevallen • Samenvoegen van databanken • Aankopen van persoonsgegevens • Externe toetsing van de datakwaliteit • Consultancy • Matching van verschillende databanken • (Klanten)surveys • Nieuwe verwerking • Verenigbare finaliteit • Secundaire verwerking 19 Verzending van reclameboodschappen Reglementering in functie van communicatiemiddel • Elektronische post • Andere communicatiemiddelen Impact Wet Verwerking Persoonsgegevens • Recht op verzet inzake direct marketing • Kosteloos en zonder motivering • Verhindert verzending van reclame door een verwerkingsverbod Opgelet met de bewoording van dit recht 20 Verzending van reclameboodschappen Reclame • “elke vorm van communicatie bestemd voor het direct of indirect promoten van de goederen, diensten of het imago van een onderneming, organisatie of persoon die een commerciële, industriële of ambachtelijke activiteit of een gereglementeerd beroep uitoefent” • Op zich geen reclame • Informatie die toegang geeft tot de activiteit van een onderneming (b.v. domeinnaam of e-mailadres) • Onafhankelijke mededelingen (klantenreview) Geen financiële tegenprestatie 21 Verzending van direct marketing: elektronische post Elektronische post? • “elk tekst-, spraak, geluids- of beeldbericht dat over een openbaar communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden opgeslagen tot het door de afnemer wordt opgehaald" • Zeer ruime definitie: online chatting (?), SMS, e-mail, voice mail, … • Faxbericht? A contrario uitgesloten door Richtlijn 2002/58/EG en artikel 100 WMPC 22 Verzending van direct marketing: elektronische post Algemeen beginsel: opt-in • Vereiste van voorafgaande, vrije, specifieke en geïnformeerde toestemming • Uitdrukkelijk? Werkgroep Artikel 29, CBPL en diverse rechtsleer. • Stilzwijgend? Kh. Nijvel 6 november 2003 en sommige rechtsleer. • Artikel 1, §8 Wet Verwerking Persoonsgegevens: relevant? • Bewijslast bij adverteerder • Veilige oplossing: niet-aangevinkt vakje (positieve handeling) 23 Verzenden van direct marketing: elektronische post Uitzonderingen (soft opt-in) • Bestaande klantenrelatie • Gegevens verkregen bij verkoop product of dienst, met inachtname private levenssfeer • Gelijkaardige producten of diensten • Opt-out bij inzameling • Rechtspersonen • Rechtspersoonlijkheid (!) • Onpersoonlijk e-mailadres (b.v. info@) Opgelet met onpersoonlijke e-mailadressen van natuurlijke personen (jvx0a@) • Rechtsleer: geen omzeiling 24 Verzending van direct marketing: elektronische post Initiatiefrecht adverteerder • Wettekst en voorbereidende werkzaamheden lijken dit uit te sluiten • FOD Economie staat dit toe onder voorwaarden • • • • • • Naleving wetgeving verwerking persoonsgegevens Voldoende duidelijk onderwerp in bericht Initieel bericht: geen reclameboodschap Uitdrukkelijke toestemming Redelijke termijn Informatie over recht van verzet (optioneel) 25 Verzending van direct marketing: elektronische post Specifiek recht van verzet • Ogenblik • Bij inzameling (de facto omwille van opt-in) • Bij verzending • Op elk ogenblik op initiatief van de ontvanger • Opgelet met bewoording opt-out • Cumulatief met recht van verzet in WVP • Specifiek aan adres koppelen • Procedure • Ontvangstbevestiging • Uitvoering • Lijst bijhouden 26 Verzending van direct marketing: andere middelen Andere communicatiemiddelen • Opt-in • Geautomatiseerde oproepsystemen • Fax • Opt-out • Brief • Telefoon (bel-me-niet-lijst) 27 Toekomst Wetboek Economisch Recht • Codificatie van wetgeving inzake economisch recht • Relevante bepalingen treden in werken vanaf 31 mei 2014 • Inhoudelijk geen noemenswaardige impact op de problematiek van direct marketing 28 Toekomst? Ontwerpverordening (COM(2012)/11 final) • Praktische impact • Eengemaakt instrument Uniformisering van beleid en beheer • Toestemming als verwerkingsgrond Betrokkene kan toestemming steeds intrekken Praktisch probleem Toename van het belang van de andere verwerkingsgronden (geen mogelijkheid tot intrekken toestemming) • Privacy Impact Assessment 29 Toekomst? Ontwerpverordening (COM(2012)/11 final) • Praktische impact • Sterker uitgewerkte bepalingen inzake veiligheid Aanstelling data protection officer Privacy by Design Privacy by default • • • • ‘Data portability’ ‘Right to be forgotten’ ‘Data breach’ kennisgevingen Intensivering van het handhavingsbeleid 30 Bedankt voor uw aandacht! Vragen? 31
© Copyright 2024 ExpyDoc