Boete voor de verkoper en koper van een databestand

21/08/15 - Kirsten van der Zwan

De Duitse toezichthouder inzake privacy, de collega van het Nederlandse College Bescherming Persoonsgegevens, heeft een forse boete opgelegd aan zowel de verkoper en de koper van een databestand.

Is deze beslissing relevant voor de Nederlandse overnamepraktijk? Ja, want de wetgeving waar de Duitse toezichthouder zich op baseert is de implementatie van een Europese Richtlijn. Deze Europese Richtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens. Deze Richtlijn wordt binnenkort vervangen door de veel besproken Europese Algemene Verordening Gegevensbescherming.

De casus
De verkoper heeft een asset deal (verkoop van activa en eventueel passiva) gesloten met de koper. Onderdeel van de verkoop was een klantenbestand van een online webshop, een activa. Dit klantenbestand bestond niet alleen uit naam en adresgegevens, maar ook uit emailgegevens. De betrokken personen zijn niet geïnformeerd over de overdracht van hun gegevens, ook is niet om hun toestemming gevraagd door de verkoper of de koper. De koper is onverminderd doorgegaan met het gebruik van de persoonsgegevens. Het gebruik van de gegevens bestond uit het versturen van e-mails met een commerciële boodschap. Diverse betrokkenen, ontvangers van de e-mails, hebben hierover een klacht ingediend bij de Duitse toezichthouder. In de ogen van de ontvangers kregen zij namelijk commerciële e-mails van een partij die zij niet kenden en waaraan zij zeker hun gegevens niet hadden verstrekt.

De boete
De Duitse toezichthouder (Bayerisches Landesamt für DatenschutzAufsicht) heeft in een persbericht laten weten naar aanleiding van deze klachten onderzoek te hebben ingesteld. Dit heeft geresulteerd in een boete aan zowel de verkoper als de koper van het databestand. De hoogte van de boete is niet bekend gemaakt, maar wel is bevestigd dat het om een bedrag van vijf getallen gaat. De Duitse toezichthouder heeft in deze gevallen een bevoegdheid om een boete tot Euro 300.000,00 op te leggen.

In het persbericht van 30 juli 2015 heeft de Duitse toezichthouder gesteld dat het verstrekken van persoonsgegevens zoals emailadressen aan een derde partij voorgaande toestemming van de betrokkenen nodig is, of dat onder bepaalde omstandigheden tenminste de betrokkenen voorafgaand aan de verstrekking moeten worden geïnformeerd. Beide acties waren in dit geval niet ondernomen. De Duitse toezichthouder heeft geoordeeld dat zowel de verkoper als de koper kwalificeerde als verantwoordelijke van de verwerking van de persoonsgegevens, dus aan beiden een boete kon worden opgelegd.

Interessant is dat de Duitse toezichthouder in het persbericht een aantal algemene opmerkingen maakt. Volgens de toezichthouder dienen niet alleen partijen bij een activa-passiva transactie op te letten, maar ook curatoren. Daarbij merkt de toezichthouder op dat het voornemen bestaat om meer op te treden tegen dit soort transacties waarbij de privacywetgeving wordt overtreden.

Deze casus in Nederland
Vanaf 1 januari 2016 kan in een casus als net omschreven ook in Nederland een boete worden opgelegd door het College Bescherming Persoonsgegevens (vanaf die datum genaamd: Autoriteit persoonsgegevens).  Zowel de overtreding van artikel 34 als van artikel 41 Wet bescherming persoonsgegevens (“Wbp”) kan worden beboet met een bestuurlijke boete van Euro 810.000,00 of 10% van de jaaromzet.

Artikel 34 Wbp regelt de informatieverplichting voor verantwoordelijke in gevallen dat de persoonsgegevens niet rechtstreeks van de betrokkenen worden verkregen. Indien bijvoorbeeld een databestand van een verkoper wordt verkregen dan dient voor de vastlegging bepaalde informatie aan de betrokkene te worden gegeven. Dit betreft tenminste de identiteit van de verantwoordelijke, het doel van de verwerking, maar vaak is meer informatie nodig. Indien een partij voornemens is een databestand te verkopen dan geldt volgens artikel 34 Wbp ook dat uiterlijk op het moment van eerste verstrekking de betrokkenen dient te worden geïnformeerd.

Artikel 41 Wbp regelt het zogenoemde absolute recht van verzet bij het gebruik van persoonsgegevens voor marketingdoeleinden. Zodra een verantwoordelijke een databestand wil gaan gebruiken voor direct marketing dan mag de betrokkene hier ten alle tijden bezwaar tegen maken. Het gebruik dient dan te stoppen. Dit artikel bepaalt ook dat zodra een partij de gegevens aan een derde verstrekt voor direct marketing (door deze derde of uit naam van deze derde) dan moet de betrokkene worden geïnformeerd over het recht van verzet. Daarnaast dient ook de bekende “opt-out” melding in het commerciële bericht aan de betrokkene te worden opgenomen.

Afhankelijk van de feiten en omstandigheden kan het in een dergelijke casus in Nederland ook vereist zijn dat (ondubbelzinnige of zelfs uitdrukkelijke) toestemming wordt gevraagd voordat de koper de gegevens rechtmatig kan gebruiken.

Bij grensoverschrijdende overnames zou ook nog sprake kunnen zijn van een overtreding van artikel 76 Wbp, het verbod om gegevens aan partijen buiten de Europese Unie te verstrekken.

Tot slot speelt in Nederland in dit soort zaken ook de “spamwetgeving” een rol. Dit is geregeld in artikel 11.7 van de Telecommunicatiewet. Dit artikel verwijst ook naar artikel 41 Wbp. De Autoriteit Consument en Markt (“ACM”) houdt toezicht op de naleving van de Telecommunicatiewet. De ACM is strikt in haar interpretaties en heeft inmiddels al een paar maal getoond dat zij een geheel eigen handhavingswijze heeft.

Tips
Hoe kunt u een boete bij verkoop of koop van een databestand in de praktijk worden voorkomen? Zoals in zoveel zaken waarbij de overtreding van de Wbp een rol speelt, is de betrokkene degene die het handhavingstraject bij het Cbp in gang heeft gezet. De betrokkene, degene wiens gegevens het betreft, klaagt bij het Cbp over gebruik van persoonsgegevens op een voor haar onverwachte of hinderlijke manier.

De tips in dit geval gaan logischerwijs over het tijdig verstrekken van informatie:

  • informeer de personen van wie u gegevens gaat verkopen of verstrekken voordat u dit gaat doen;
  • maak een duidelijk privacy statement waarin u omschrijft dat de verkoop van data (na faillissement, in verband met verkoop bedrijfsonderdelen of voor commerciële doeleinden) tot de mogelijkheden behoort;
  • omschrijf ook in het privacy statement of uw privacy policy hoe u in voorkomende gevallen de betrokkenen op de hoogte brengt van een verstrekking van de persoonsgegevens aan derden en hoe de betrokkene het recht van verzet kan uitoefenen;
  • zorg dat u het privacy statement op de juiste wijze implementeert in uw contacten met klanten;
  • in overnamecontracten zijn op dit punt de vrijwaringen en garanties voor beide partijen van belang. Dit voorkomt niet dat u een boete krijgt opgelegd, maar beperkt wel de financiële schade.