Op 14 juni jl. wees de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit een interessante uitspraak over de vraag of een zorgplatform met beroep op ‘gerechtvaardigd belang’ profielen van zorgverleners mocht aanmaken, dus zonder toestemming te vragen. Het platform trok de gegevens van de zorgverleners van openbare websites.

De Geschillenkamer oordeelde na toepassing van het drietrapssysteem dat er geen beroep op gerechtvaardigd belang kon worden gedaan. De kamer overwoog dat weliswaar aan het eerste criterium (doel) en het tweede criterium (noodzaak) werd voldaan maar dat het platform strandde op het derde criterium (belangenafweging):

56. De Geschillenkamer is van oordeel dat er sprake is van een ernstige inbreuk op de grondrechten van betrokkenen. De verweerster verzamelt op grote schaal – zonder toestemming – persoonsgegevens van tienduizenden beroepsbeoefenaars in de gezondheidszorg. Deze gegevens worden vervolgens gepubliceerd op het platform van de verweerster waaruit zij commerciële winsten haalt. Voor wat betreft de aard van de contactgegevens, stelt de Geschillenkamer vast dat het inderdaad gaat om openbare gegevens. Het openbaar karakter van de persoonsgegevens verhindert niet dat de verwerking ervan passende waarborgen blijft vergen. Het feit dat persoonsgegevens voor het publiek beschikbaar zijn, is een factor waarmee bij de beoordeling rekening kan worden gehouden, vooral als de bekendmaking ervan gepaard ging met een redelijke verwachting van verder gebruik van de gegevens voor bepaalde doeleinden. 13 In dit kader merkt de Geschillenkamer op dat de litigieuze verwerking niet binnen de redelijke verwachtingen van de betrokkene valt. 14 De contactgegevens van de beroepsbeoefenaars worden gepubliceerd op hun eigen website of die van hun groepspraktijk of ziekenhuis, met hun toestemming voor die verwerking. Het valt niet binnen hun redelijke verwachting dat deze gegevens verder worden verwerkt voor andere doeleinden, zoals de publicatie van deze persoonsgegevens door commerciële partijen (in casu gegrond op het commerciële belang van de verweerster).

57. Bij de belangenafweging houdt de Geschillenkamer eveneens rekening met het principe van dataminimalisatie. In dit kader verwijst de Geschillenkamer naar de bewaartermijnen van deze persoonsgegevens die door de verweerster werden bepaald. In het privacybeleid stelt de verweerster het volgende:

“[De verweerster] zal de persoonsgegevens die het verzamelt in elektronische en/of gedrukte vorm bewaren gedurende de tijd die absoluut noodzakelijk is om te voldoen aan de voornoemde verwerkingsdoeleinden en zolang een dergelijke bewaring noodzakelijk wordt geacht voor ons om te voldoen aan onze wettelijke verplichtingen of om onze wettelijke belangen te verdedigen voor een rechtbank.”

58. Deze formulering laat toe dat de verwerkingsverantwoordelijke deze persoonsgegevens voor onbepaalde duur, en eventueel zelfs eindeloos, zou kunnen bewaren. Gelet op het bovenstaande concludeert de Geschillenkamer dan ook dat de verwerking niet in verhouding staat tot het doel.

 

13 Article 29 Working Party, Opinion 06/2014 on the “Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, p.3, te raadplegen via https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2014/wp217_en.pdf.
14 Zie ook beslissing ten gronde 84/2022 dd. 24 mei 2022, te raadplegen via https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-84-2022.pdf.

Het maakt duidelijk dat er grenzen zijn aan scraping van sites voor eigen gewin.

Verder wordt duidelijk dat voor zover het doorverkopen van persoonsgegevens voor marketing door de eerste of tweede toets zou komen, er grote kans is dat die doorverkoop eveneens strandt op de derde toets en dus onrechtmatig is. Het zou mooi zijn als er nu eindelijk bikkelhard tegen de malafide praktijken van adtech bedrijven wordt opgetreden.

PS: de aanbieder kreeg een boete en een bevel de overtredingen te beëindigen: