POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Winkelier DATUM 19 januari 2006 CONTACTPERSOON UW BRIEF VAN - UW KENMERK - ONDERWERP Winkelier creditcard; definitieve bevindingen Ingevolge artikel 51, eerste lid, Wet bescherming persoonsgegevens (WBP) heeft het College bescherming persoonsgegevens (CBP) tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Op grond van artikel 60 WBP is het CBP bevoegd om ambtshalve of op verzoek een onderzoek in te stellen naar de rechtmatigheid van een bepaalde gegevensverwerking. Het CBP is naar aanleiding van een door een betrokkene toegezonden afschrift van een mailing van november 2003, een ambtshalve onderzoek gestart. Onderzoek Bij brief van 16 maart 2004 heeft het CBP winkelier in kennis gesteld van het ambtshalve onderzoek naar de verwerking van persoonsgegevens door Winkelier in het kader van het ongevraagd aanbieden van een klanten-creditcard aan houders van een klantenkaart van de betreffende winkel. In deze brief heeft het CBP vragen aan winkelier gesteld. Winkelier heeft bij brief van 26 maart 2004 op de gestelde vragen gereageerd. Bij brief van 13 december 2004 heeft het CBP aan winkelier zijn voorlopige bevindingen in het onderzoek toegezonden. Op 24 januari 2005 heeft uw advocaat per faxbericht inhoudelijk gereageerd op de voorlopige bevindingen. Op 17 maart 2005 heeft het CBP u zijn definitieve eindrapport toegezonden. Bij faxbericht van 24 maart 2005 heeft mr. X zich namens zijn cliënte, bedrijf Y, als belanghebbende tot het CBP gewend met het verzoek publicatie van het eindrapport te heroverwegen omdat het, onder meer, zou berusten op feitelijke onjuistheden. In zijn brief van 25 maart 2005 heeft het CBP X bericht publicatie van het rapport op te schorten. Bij brief van 7 april 2005 heeft X een inhoudelijke reactie gegeven op het rapport van 17 maart 2005. Op 12 juli 2005 heeft er een overleg plaatsgevonden tussen het CBP en vertegenwoordigers van bedrijf Y en X. Vervolgens heeft X bij brief van 10 augustus 2005 nadere informatie aan het CBP gezonden. Op 5 januari 2006 zond het CBP zijn aangepaste rapport voorlopige bevindingen aan Winkelier en bedrijf Y. Op 17 januari 2006 ontving het CBP van X bericht dat bedrijf Y geen aanleiding ziet om op de inhoud van de voorlopige bevindingen te reageren. Van winkelier werd geen reactie op de voorlopige bevindingen ontvangen. Met inachtneming van het bovenstaande stelt het CBP thans zijn definitieve rapport vast. BIJLAGEN BLAD 1
Voorlopige bevindingen Structurering actie Winkelier heeft op 15 september 2003 een vooraankondiging verstuurd aan haar klantenkaarthouders waarin in samenwerking met bedrijf Y een creditcard wordt aangeboden. Indien een klant geen gebruik wenste te maken van het aanbod kon deze dit van 16 september tot en met 3 oktober 2003 laten weten via een gratis telefoonnummer of via een kosteloze antwoordcoupon. Vervolgens heeft winkelier als verantwoordelijke aan bedrijf Y als bewerker opdracht gegeven het adresbestand van haar klantenkaart-houders te controleren door middel van controle met een TPG/EDM-bestand. De mismatches die hieruit voortvloeiden zijn door winkelier nagebeld, waar nodig zijn adressen gecorrigeerd en is opnieuw een vooraankondiging verstuurd. Het geactualiseerde adresbestand, verminderd met de klanten die bezwaar maakten tegen toezending, is daarna aan bedrijf Y als verantwoordelijke ter beschikking gesteld voor het aanbieden van de creditcard. Het bestand bestond uit NAW-gegevens, geboortedatum, sexe en woonland. Begin oktober 2003 is een mailing gestuurd aan de klantenkaart-houders met een unieke toegangscode om de creditcardfaciliteit van de nog toe te sturen creditcard te deblokkeren. Enkele dagen later is de creditcard verstuurd in een gecombineerde mailing van Winkelier en bedrijf Y. Klanten zijn daarbij gevraagd een coupon in te sturen met onder meer hun geboortedatum, telefoonnummer, bankrekeningnummer en sofi-nummer. Zowel in de mail, de bijgevoegde folder en de algemene voorwaarden staat beschreven dat een overeenkomst tussen de klantenkaart-houder en bedrijf Y pas tot stand komt door het gebruik van de creditcardfaciliteit. De door bedrijf Y verstuurde creditcards hebben een geldigheidsduur van 3 jaar. Gedurende deze periode worden ook de gegevens van de inactieve klantenkaart-houders bewaard omdat deze alsnog de creditcard kunnen activeren. Ook gebruikt bedrijf Y deze gegevens voor het doen van enkele activeringsmailingen uit naam van winkelier. Vragen Het CBP heeft zijn onderzoek toegespitst op de verwerking van persoonsgegevens door winkelier aan bedrijf Y ten behoeve van het aanbod voor de creditcard. Het CBP heeft niet onderzocht of de gegevensverwerkingen die bij bedrijf Y in haar hoedanigheid als verantwoordelijke plaatsgevonden, rechtmatig zijn geschied. De vragen van het CBP hebben zich met name gericht op de grondslag voor en het doel van de verwerking van persoonsgegevens van de klantenkaart-houders alsmede de wijze waarop de klantenkaart-houders hierover door Winkelier zijn geïnformeerd. Norm/wettelijk kader Artikel 7 WBP bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Dit betekent dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving, dat het doel moet zijn bepaald alvorens men tot verzamelen overgaat en dat de doelomschrijving duidelijk moet zijn. De doelomschrijving BLAD 2
mag niet zo ruim zijn dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens wel nodig zijn voor dat doel. Artikel 9 WBP bepaalt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bij de beoordeling of een verwerking verenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen, houdt de verantwoordelijke in elk geval rekening met de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen, de aard van de betreffende gegevens, de gevolgen van de beoogde verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Beoordeling Het CBP richt zich in deze definitieve beoordeling op de vraag of de onderzochte gegevensverwerking voortvloeit uit de doelomschrijving en of deze verwerking verenigbaar is met het geformuleerde doel. Het klantenkaart-bestand is aangelegd met als doel: - het binden van klanten aan Winkelier; - het verstrekken van speciale aanbiedingen alléén voor klantenkaart-houders; - het aanbieden van opmerkelijke acties en - het op de hoogte houden van klanten van exclusieve koopzondagen voor klantenkaarthouders. De verwerking van klantgegevens kan alleen plaatsvinden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Winkelier hanteert verschillende verzameldoeleinden voor het klantenkaart-bestand welke doeleinden min of meer met elkaar samenhangen. Uit de omschrijving van de doeleinden blijkt dat de gegevens van de klantenkaarthouders niet zijn verzameld met het doel deze aan derden te verstrekken voor directmarketingdoeleinden. Als het tevens de bedoeling was van winkelier om de gegevens van de klantenkaart-houders aan derden ter beschikking te stellen dan had, in tegenstelling tot de huidige situatie, dit uit de doelomschrijving moeten blijken. Nu het verwerken van klantgegevens voor het aanbieden van een creditcard niet rechtstreeks voortvloeit uit de doelomschrijving van het klantenkaart-bestand, dient deze verwerking van klantgegevens getoetst te worden aan artikel 9 WBP: persoonsgegevens mogen niet verder verwerkt worden op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Artikel 9, tweede lid, WBP geeft hiertoe enkele criteria die het mogelijk maken om te beoordelen of er sprake is van verenigbaar gebruik van klantgegevens. Allereerst dient gelet te worden op de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen. Daarbij speelt een rol welke verwachting klanten hebben bij het gebruik van hun gegevens. Gelet op de gehanteerde doeleinden verwacht BLAD 3
een klantenkaart-houder dat zijn gegevens alleen door en ten behoeve van winkelier worden verwerkt. Niet verwacht kon worden dat gegevens aan derden zoals bedrijf Y konden worden verstrekt. Het CBP is hierom van mening dat het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen geen nauwe verwantschap met elkaar vertonen. 1 Tevens zijn de aard van de gegevens van belang die voor de beoogde verwerking zijn verwerkt. Nu het hier NAW-gegevens, geboortedatum, sexe, telefoonnummer en het woonland betreft die in een niet gevoelige context worden gebruikt, is het CBP van mening dat deze gegevens in de onderhavige situatie naar hun aard niet gevoelig zijn. Ook dient gelet te worden op de gevolgen van de beoogde verwerking voor de betrokkene. Gedacht kan worden aan het zonder bezwaarmogelijkheid toetsen van de kredietwaardigheid of het registreren van krediet bij de Stichting Bureau Krediet Registratie (BKR). 2 Ook kan gedacht worden aan de mogelijkheid dat derden de poststukken met daarin de Creditcard onderscheppen en frauduleus gebruiken. Omdat een toetsing of registratie bij BKR pas kan plaatsvinden na het gebruik van de creditcardfaciliteit (waarmee een overeenkomst tussen de klantenkaart-houder en bedrijf Y tot stand komt) waarover een klantenkaart-houder tijdig en volledig is geïnformeerd, heeft de verwerking geen negatieve gevolgen voor een klantenkaart-houder. Ook is de gehanteerde methodiek om post te versturen kwalitatief voldoende om negatieve gevolgen voor een klantenkaart-houder te voorkomen. Daarbij speelt mee dat bedrijf Y jegens het CBP blijk heeft gegeven voldoende zorgvuldig om te gaan met de eventuele gevolgen voor een klantenkaarthouder van frauduleuze handelingen. Daarnaast dient gekeken te worden naar de wijze waarop de gegevens door winkelier zijn verkregen. Winkelier heeft de gegevens die nodig waren voor de beoogde verwerking verkregen uit het klantenkaart-bestand. Dit bestand is voorzien van gegevens die klanten zelf hebben verstrekt bij de aanvraag voor een klantenkaart. De weging van de hierboven besproken elementen van artikel 9 WBP, individueel maar ook in onderlinge samenhang bezien, bepaalt de mate waarin er jegens de betrokkene in passende waarborgen moet worden voorzien. Het gebrek aan verwantschap tussen de doelen van het klantenkaart-bestand en het doel van de onderhavige verwerking dient opgeheven te worden door de aanwezigheid van passende waarborgen. Als passende waarborg is aanwezig dat klantenkaart-houders tijdig, volledig en vooraf worden geïnformeerd over de gegevensverwerkingen. Daarbij bestaat steeds de mogelijkheid voor klantenkaart-houders om bezwaar te maken tegen verdere verwerking van hun persoonsgegevens. 1 Zie in meer algemene zin Registratiekamer 14 maart 2001, z2000-0962 (VISA-NIRIA). 2 Zie ook Registratiekamer 19 mei 2000, z1999-1105/1069 (VISA-ANWB). BLAD 4
Conclusie Het verstrekken van gegevens door Winkelier aan bedrijf Y met als doel de klantenkaart-houders een aanbieding te doen voor de creditcard, is in het onderhavige geval verenigbaar met het doel waarvoor de gegevens van de klantenkaart-houders zijn verzameld. Afsluiting Een afschrift van dit rapport wordt eveneens verzonden aan bedrijf Y en aan mr. X. Hoogachtend, mr. J. Kohnstamm voorzitter BLAD 5