Direct marketing is een van de sectoren die in het Strategisch Plan van de GBA als prioriteit zijn aangemerkt. Het belang van de uitdaging is evenredig aan het aantal actoren dat gebruik maakt van de verwerking van persoonsgegevens om dagelijks directmarketingcommunicatie te versturen naar miljoenen mensen in België, die van hun kant hun rechten willen kunnen begrijpen en doeltreffend uitoefenen.
De Eerstelijnsdienst van de GBA werd in de loop van 2021 veel benaderd voor informatieverzoeken, bemiddelingen en klachten over verwerkingen van persoonsgegevens in verband met directmarketingactiviteiten.
In 2021 heeft de GBA voor het eerst een "data broker" (of gegevenshandelaar) bestraft. Zij heeft het bedrijf Family Service een boete van 50.000 euro opgelegd. Het bedrijf verdeelt de bij jonge ouders welbekende "roze dozen" die staaltjes, speciale aanbiedingen en informatie voor toekomstige moeders bevatten. Niet alleen hield het bedrijf zich niet aan zijn transparantieplicht door zijn klanten niet op duidelijke en begrijpelijke wijze mee te delen dat hun gegevens aan derden werden verkocht/verhuurd, maar het deelde ook met zakelijke partners, zonder geldige toestemming, gegevens over meer dan 1 miljoen klanten en hun kinderen. Gezien het aantal betrokkenen (ongeveer 21,10% van de Belgische bevolking), de ernst van de inbreuk en de aard van de verwerkte gegevens (met name gegevens over kinderen), besloot de Geschillenkamer van de GBA dat een relatief zware sanctie nodig was. In het kader van die beslissing wees de GBA erop dat het van essentieel belang is dat data brokers, vanwege hun invasieve businessmodel, in volledige transparantie werken, en op zodanige wijze dat de burgers de controle over hun gegevens kunnen behouden.
De Geschillenkamer heeft zich ook uitgesproken in verschillende dossiers betreffende verzoeken van bezwaar tegen directmarketingcommunicatie, waarop bedrijven niet, of minstens niet op afdoende wijze, hadden gereageerd. Dit is bijvoorbeeld het geval in haar beslissingen 19/2021, 59/2021, 80/2021, 81/2021, 91/2021, 137/2021. Zij heeft ook uitspraak gedaan in dossiers die specifiek betrekking hebben op verzoeken betreffende de bron van de gegevens die bij direct marketing worden gebruikt (beslissingen 32/2021 en 53/2021).
De GBA heeft in 2021 ook gebruik gemaakt van haar toezichthoudende bevoegdheid door in twee gevallen bedrijven te contacteren die gegevens verwerkten om directmarketingcommunicatie te versturen. In het eerste geval schreef een bedrijf personen aan voor reclamedoeleinden door gebruik te maken van gegevens die bij andere organisaties waren verkregen. De GBA is van deze verwerkingen in kennis gesteld nadat zij meldingen van verschillende burgers had gekregen. Zij heeft daarom een monitoringdossier geopend om meer informatie te krijgen over de manier waarop het bedrijf omging met de persoonsgegevens die het verwerkte.
In het tweede geval heeft de GBA, opnieuw naar aanleiding van meldingen die de Eerstelijnsdienst had ontvangen, een bedrijf onder de loep genomen dat bepaalde organisaties helpt prospects te contacteren. De GBA heeft contact opgenomen met het bedrijf om met name te achterhalen waar het de gegevens vandaan haalde die het in het kader van zijn contactactiviteiten voor marketingdoeleinden gebruikte, en op welke rechtsgrond deze verwerkingen waren gebaseerd.
De GBA heeft ook verschillende bedrijven bevraagd in verband met hun "affiliate marketing"-activiteiten. Affiliate marketing is een vorm van internetmarketing waarbij adverteerders hun partners (“affiliates”) belonen voor de gegenereerde verkopen of "leads" die de affiliate heeft aangeleverd. Zo kunnen affiliates een vergoeding krijgen wanneer zij, dankzij hun tussenkomst, ervoor zorgen dat personen zich abonneren op een dienst of een lidmaatschap aangaan. In het bijzonder werden persoonsgegevens verzameld door middel van kennelijk twijfelachtige online wedstrijden.
Als de GBA naar aanleiding van haar contacten met die bedrijven vindt dat zij over ernstige aanwijzingen beschikt voor het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de fundamentele beginselen van de bescherming van persoonsgegevens, heeft haar Directiecomité zich het recht voorbehouden een formeel onderzoek tegen de verwerkingsverantwoordelijke in te stellen via haar Inspectiedienst.[1]
[1] De wijze waarop het Directiecomité aanwijzingen van inbreuken in de zin van artikel 63, § 1, 1° WOG vaststelt en behandelt, werd door het in oktober 2022 vernieuwde Directiecomité geëvalueerd en zal, indien nodig, in het jaarverslag van 2022 worden toegelich