3 mei 2019

Britse Autoriteit Persoonsgegevens legt eerste boete op

ico logo

Op 12 april jl. heeft de Britse Information Commissioner's Office (ICO, de Britse Autoriteit Persoonsgegevens) een boete van £ 400.000 opgelegd aan Bounty. Deze onderneming kreeg de boete wegens het onrechtmatig delen van persoonsgegevens van meer dan 14 miljoen zwangere vrouwen, nieuwe en aanstaande ouders en hun baby’s met derde bedrijven zoals kredietverstrekkers en marketingbureaus.

Bounty, een bedrijf dat een ouderschapsclub organiseert, deelde ongeveer 34,4 miljoen databestanden met 39 andere bedrijven die deze gegevens gebruikten in hun direct-marketingactiviteiten. De bestanden bevatten niet alleen persoonsgegevens van mogelijk kwetsbare nieuwe en aanstaande moeders, maar ook de geboortedatum en het geslacht van het nieuwgeboren kind. Deze gegevens werden door de deelnemers van de ouderschapsclub verstrekt bij inschrijving via de website of app van het bedrijf. Het bedrijf wordt door de Britse Autoriteit vooral verweten dat het niet transparant genoeg is naar consumenten toe over het aantal bedrijven en de naam van de grootste bedrijven met wie persoonsgegevens worden gedeeld. Volgens de Autoriteit is weliswaar afdoende duidelijk gemaakt dat Bounty persoonsgegevens deelt met derde bedrijven maar niet met hoeveel en wordt de identiteit van de vier grootste afnemers niet bekend gemaakt. Daardoor is geen sprake van de volgens de AVG vereiste afdoende informatie over de desbetreffende verwerking vereist voor een geldige toestemming. Een eventueel gegeven toestemming is derhalve niet werkzaam.

Deze zaak is belangrijk, niet alleen vanwege de grote omvang van het aantal betrokkenen maar ook omdat duidelijk is dat van een toestemming als bedoeld in de AVG pas sprake kan zijn als deze gebaseerd is op duidelijke en heldere informatie over het doel van de verwerking en met wie de persoonsgegevens verwerkt worden. In een geval als dit, waarin op grote schaal met een omvangrijke groep derde bedrijven persoonsgegevens worden gewisseld, is enkel een verwijzing naar alleen een categorie van derden of een algemene omschrijving van de groep van derden met wie gegevens gedeeld worden onvoldoende.

Als laatste herinnert de Britse Autoriteit nog even aan het feit dat de opgelegde boete vrij laag is omdat deze gebaseerd is op de maximale boete van £ 500.000 die volgens de Data Protection Act (de voorganger van de AVG) kan worden opgelegd. Onder de AVG zijn de maximale boetes aanzienlijk hoger, namelijk € 20.000.000 of 4% van de wereldwijde jaaromzet van het bedrijf.

Meer informatie

Meer weten over deze of andere juridische kwesties? Neem contact op met of