AP roept banken op om 'verdere verwerking' van transactiegegevens voor direct marketing doeleinden te heroverwegen

05-07-2019

Op 1 juli 2019 heeft de Autoriteit Persoonsgegevens ('AP') een brief aan de Nederlandse Vereniging van Banken gepubliceerd waarin de AP advies geeft aan de leden over de verdere verwerking van transactiegegevens voor direct marketing-doeleinden. De AP concludeert in de brief dat de verdere verwerking van persoonsgegevens in transactiegegevens voor direct marketing-doeleinden zonder toestemming waarschijnlijk niet toegestaan is. De AP roept banken die (voornemens) zijn transactiegegevens verder te verwerken in het kader van direct marketing op om dit te heroverwegen.

De brief is een reactie op de wijziging van de privacyverklaring van een bank die leidde tot veel media-ophef en Kamervragen. De AP geeft aan naar aanleiding van deze wijziging veel klachten van betrokkenen hierover te hebben ontvangen.

Rechtsgrond verwerking transactiegegevens

De AP neemt aan dat banken transactiegegevens van klanten verwerken op basis van artikel 6(1)(b) AVG 'de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is'. De AP gaat er hierbij vanuit dat banken de transactiegegevens ter uitvoering van de overeenkomst met de betrokkene verzamelen en dat dus sprake is van 'verdere verwerking' indien deze gegevens ook voor marketing-doeleinden verwerkt worden.

Verdere verwerking van transactiegegevens voor andere doeleinden

Het verder verwerken van persoonsgegevens voor een ander doeleinde dan waarvoor de persoonsgegevens zijn verzameld, is op grond van artikel 6(4) AVG enkel rechtmatig indien sprake is van:

  1. toestemming van de betrokkene;
  2. een wettelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1 AVG; of
  3. de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, rekening houdend met de factoren zoals uiteengezet in artikel 6(4) sub a t/m e AVG.

De AP stelt zich op het standpunt dat, indien banken de verwerking van transactiegegevens voor direct marketing-doeleinden niet kunnen baseren op basis van toestemming of een wettelijke verplichting, dan dus conform artikel 6(4) AVG moet worden beoordeeld of sprake is van 'verenigbaarheid'. In het kort is de AP van mening dat de volgende factoren daarbij een rol spelen:

  • het verwantschap tussen de verwerkingsdoeleinden is beperkt, doordat een betaalrekening een hoog ‘nutskarakter’ heeft en derhalve bij interesse in, dan wel afname van het product ‘betaalrekening’ op zichzelf niet tevens interesse in andere financiële producten kan worden verondersteld;
  • gelet op de functie van de betaalrekening en de gevoeligheid van de persoonsgegevens die via de betaalrekening verwerkt kunnen worden, een redelijk denkende en handelende betrokkene redelijkerwijs mag verwachten dat persoonsgegevens in transactiegegevens niet voor andere doeleinden dan de uitvoering van de betalingstransactie worden verwerkt; en
  • de mogelijke negatieve gevolgen voor de rechten en vrijheden van betrokkenen en passende waarborgen, waarbij de informatievoorziening aan betrokkenen en de mogelijkheid tot uitoefening van diens rechten niet (mede) kunnen gelden als passende waarborgen bedoeld in artikel 6 (4) AVG.

De AP concludeert op basis hiervan dat 'verdere verwerking van persoonsgegevens in transactiegegevens voor direct marketing-doeleinden zonder toestemming waarschijnlijk onverenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld.'

Kanttekeningen bij de brief van de AP

Er kunnen nogal wat kanttekeningen bij de brief van de AP worden gezet. Zo gaat de AP niet in op het feit dat er ook andere persoonsgegevens dan die van de klant worden verwerkt, waardoor de grondslag voor de verwerking van die gegevens niet op artikel 6(1)(b) AVG kan worden gebaseerd.

Daarnaast gaat de AP er niet op in dat transactiegegevens mogelijkerwijs ook direct kunnen worden verzameld voor direct marketing doeleinden en dat in een dergelijk geval artikel 6(4) AVG niet van toepassing is.

Ook bespreekt de AP niet of transactiegegevens voor direct marketing doeleinden op grond van een gerechtvaardigd belang van de bank of een derde in de zin van artikel 6(1)(f) AVG mogen worden verwekt. De uitkomst van deze toets was mogelijkerwijs nog relevanter geweest voor banken.

Ten slotte is het opmerkelijk dat de AP stelt dat de informatievoorziening aan betrokkenen en de mogelijkheid tot uitoefening van rechten niet (mede) kunnen gelden als passende waarborgen. In het verleden heeft de AP dergelijke waarborgen (eventueel in samenhang met andere waarborgen) wel meegewogen. In een opinie (opinion 03/2013 on purpose limitation) van Artikel 29 Werkgroep – de voorganger van de European Data Protection Board, waarin alle toezichthouders op het gebied van gegevensbescherming plaatsnemen – worden deze waarborgen ook expliciet genoemd.

Dit is een Legal Update van Elze 't Hart en Sabina Kloppers.

Download als pdf

Specialist(en)