(door Federica De Stefani, advocaat en verantwoordelijk voor Aidr Regione Lombardia) De Garant voor de bescherming van persoonsgegevens grijpt opnieuw in op de delicate kwestie van wilde telemarketing en legt Sky een boete van meer dan 3 miljoen euro op.
De bepaling komt nadat een lang en complex onderzoek is gestart naar aanleiding van tientallen meldingen en klachten van mensen die klaagden over het ontvangen van ongewenste telefoontjes, gedaan om de diensten van Sky te promoten, zowel rechtstreeks als via de callcenters van andere bedrijven.
De Autoriteit trof tijdens haar onderzoeken veel kritieke problemen aan, waaronder het voeren van promotionele oproepen zonder informatie en zonder toestemming, met behulp van niet-geverifieerde lijsten die van andere bedrijven waren verkregen.
De analyse van het door de Garant uitgevaardigde bevel geeft belangrijke stof tot nadenken en belicht enkele stappen van de telemarketingactiviteiten die geschikt zijn om "richtlijnen" te vormen voor de correcte uitvoering ervan.
We keren terug naar het delicate evenwicht tussen zaken, gegevensverwerking en gegevensbescherming.
De bescherming van persoonsgegevens mag niet, zoals uitdrukkelijk aangegeven in art. 1 van de Europese Verordening, een belemmering vormen voor economische activiteiten.
Het is een kwestie van een afweging maken tussen twee verschillende behoeften (bedrijfs- en gegevensbescherming) die slechts schijnbaar onverenigbaar zijn en vaak als zodanig worden beschouwd vanwege een gebrek aan diepgaande kennis van de wetgeving.
De procedure voor telemarketing
Telemarketing is een techniek die bedrijven gebruiken om hun producten te promoten. In het specifieke geval, geanalyseerd door het bevel van de Autoriteit, verwierf Sky lijsten met gebruikers van externe bedrijven waarmee contact kon worden opgenomen voor uitdrukkelijke marketingdoeleinden.
De procedure voor het uitvoeren van deze activiteit, volgens de bepalingen van de Europese verordening betreffende de bescherming van persoonsgegevens, omvat de volgende stappen:
- Overname door het derde bedrijf bij uitbesteding van de toestemming van de gebruiker om hun gegevens aan derden mee te delen.
- Overname van de namen door Sky.
- Gebruik door Sky van de lijsten die zijn verkregen door contact op te nemen met de klant en hem zijn eigen informatie te verstrekken.
- Verwerving, opnieuw door Sky, van de toestemming van de gebruiker om commerciële voorstellen te formuleren en pas na dergelijke verwerving, mogelijkheid, door de exploitant, om het commerciële voorstel te formuleren.
Volgens het door de Garant uitgevoerde onderzoek miste de procedure die werd gevolgd voor de promotionele activiteit door Sky enkele essentiële elementen, en beperkte zich tot het gebruik van de namen die werden verkregen van reeds "goedgekeurde" derde bedrijven.
Het fundamentele punt is precies dit: de toestemming van de gebruiker aan het derde bedrijf vormde alleen een geldige rechtsgrond voor de mededeling van de namen aan Sky en niet ook voor het verdere gebruik ervan voor marketingdoeleinden door laatstgenoemde.
Er moet ook aan worden toegevoegd dat Sky, alvorens een operatie uit te voeren, via zijn zwarte lijsten moet controleren of de mensen met wie contact moet worden opgenomen geen bezwaar hadden gemaakt tegen het ontvangen van reclame-oproepen met betrekking tot zijn producten.
Het PEC als geschikt kanaal om de rechten van de belanghebbende uit te oefenen
Een ander opmerkelijk element betreft de kanalen die aan gebruikers ter beschikking worden gesteld voor de uitoefening van hun rechten.
De Autoriteit heeft Sky namelijk voorgeschreven om onder de kanalen voor het ontvangen van de verklaringen van bezwaar tegen de verwerking ook het PEC-adres op te nemen dat is vermeld in het register van bedrijven, een adres dat tot nu toe niet werd beschouwd als een geldig contactpunt voor privacy .
De outsourcingbedrijven en de kwalificatie van gegevensverwerker
Ten slotte verduidelijkt het bevel een ander belangrijk aspect, namelijk de kwalificatie van de externe bedrijven die de namenlijsten vormen die voor marketingdoeleinden worden gebruikt, waarbij nogmaals wordt herhaald, zoals in het verleden al is gedaan, dat outsourcingbureaus niet kunnen worden gekwalificeerd als onafhankelijke gegevensbeheerders.
De bepaling in kwestie benadrukt uitdrukkelijk dat “de vermeende formele eigendom niet overeenkomt, zelfs niet in concrete termen, met de bevoegdheden die strikt worden bepaald door de Code voor de configuratie en uitoefening van eigendom, die het exclusieve voorrecht zijn en blijven van de opdrachtgevers. Hiertoe in de eerste plaats: - beslissingen nemen met betrekking tot de doeleinden van de verwerking van de gegevens van ontvangers van promotiecampagnes met het oog op het verzenden van reclame- of direct-salesmateriaal of commercieel onderzoek of commerciële communicatie uitgevoerd door derden die optreden in outsourcing voor de uitvoering van voornoemde promotie- en marketingactiviteiten van goederen, producten en diensten; - het geven van bindende instructies en richtlijnen aan uitbesteders, in hoofdzaak overeenkomend met de instructies die de verwerkingsverantwoordelijke moet geven aan de manager; - het uitvoeren van controlefuncties met betrekking tot de werkzaamheden van uitbesteders zelf".
Hieruit volgt dan ook als een natuurlijk gevolg dat deze onderwerpen ook een uitdrukkelijke en formele aanwijzing als verwerkingsverantwoordelijken moeten krijgen, overeenkomstig de bepalingen van art. 29 Regelgeving.