Winkelier. Winkelier creditcard; definitieve bevindingen



Vergelijkbare documenten
de bank ambtshalve onderzoek de bank Definitieve Bevindingen

Het College bescherming persoonsgegevens (CBP) heeft een onderzoek gedaan naar aanleiding van de klacht bij brief van 10 maart 2006 A.

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

verklaring omtrent rechtmatigheid

Vangnetregeling huursubsidie

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

1b. vraag: kan artikel 8, onder f, als grondslag voor verwerking dienen ten behoeve van fraudebestrijding:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

Stichting RDC. Informatieverplichting

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Bevindingen De bevindingen van het CBP luiden als volgt:

NVAB. A. ter Linden en N.M. van Seumeren

In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

R e g i s t r a t i e k a m e r. Holding UVI Z. ..'s-gravenhage, 29 april Ons kenmerk 98\ Onderwerp Gebruik persoonsgegevens

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

SCA Hygiene Products Zeist B.V. AANGETEKEND. Eindbrief onderzoek CBP. Geachte directie,

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

Inhoud van het wetsvoorstel

Gelders Archief. Defintieve bevindingen inzake onderzoek Gelders Archief. Geachte,

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 20 februari Ons kenmerk z Onderwerp

Arbodienst. Klacht; verzoeker/arbodienst

Stichting Waarschuwingsregister Logistieke Sector. z Postbus KS ZOETERMEER

NBVA. 6 februari 2001diversemr. R. Wishaw, mw. mr. C. Zandee

Het CBP voldoet hierbij aan dit verzoek. Kader

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

Bij brief heeft het CBP u laten weten de beslissing op het bezwaarschrift te verdagen.

In deze brief behandel ik achtereenvolgens: 1. De situatie van gegevensverwerking binnen BJZ zoals u die beschrijft 2. De beantwoording van uw vragen

Reglement bescherming persoonsgegevens Lefier StadGroningen

Continuon. Convenant gegevensuitwisseling Nuon/GGD

U heeft contact gezocht met het College bescherming persoonsgegevens (CBP) inzake het navolgende.

Beschrijving uniforme maatregelen m.b.t. Direct marketing

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

8.50 Privacyreglement

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Ons kenmerk [VERTROUWELIJK] Contactpersoon [VERTROUWELIJK]

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 14 juni Ons kenmerk z Onderwerp Rouwkrant en privacybescherming

Dienst Maatschappelijke Ontwikkeling ONS KENMERK z

Regiopolitie. Prins Clauslaan 20 Uw brief Postbus Bijlagen 1

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Rapport. Datum: 13 oktober 2003 Rapportnummer: 2003/348

De CIO van de Immigratie- en Naturalisatiedienst. Postbus EH DEN HAAG AANTEKENEN

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

Privacyreglement Magspirit

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

De Staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV DEN HAAG. Wetgevingsadvies lagere regelgeving Quotumwet.

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

R e g i s t r a t i e k a m e r. 14 juli 1998 mr. J. de Zeeuw

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

Ons kenmerk z Contactpersoon Onderwerp Wetgevingsadvies Wet wijziging financieringsstelsel kinderopvang

Gastouderbureau Alles Kids Zoetermeer Privacyreglement

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

1.1 Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

Klager bevindingen en beoordeling inzake klacht verzoeker/scholengemeenschap

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 4 mei Ons kenmerk 98.V Onderwerp standpunt over gegevensverstrekking

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 27 december Ons kenmerk 99.O Onderwerp Monitoring computernetwerk

Bijlagen bij de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek

De Registratiekamer voldoet hierbij gaarne aan uw verzoek.

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

Minister van Financiën. Postbus EE Den Haag

R e g i s t r a t i e k a m e r. OR van een computerbedrijf

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

POSTADRES BEZOEKADRES

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL

R e g i s t r a t i e k a m e r. Gemeente Doetinchem

Privacyreglement versie 1.2, d.d

R e g i s t r a t i e k a m e r. Arrondissementale Stafdienst

Nederlands Instituut van Psychologen inzagerecht testgegevens

Rubriek Onderwerp Nummer Datum document KWALITEIT - BELEID Privacybeleid

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

Toepasselijk recht en kennisname van Privacyreglement

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

Privacyreglement Esma dienstverlening (februari 2018)

de Minister van Sociale Zaken en Werkgelegenheid advies inzake concept-wetsvoorstel Invoeringswet Wet werk en inkomen naar arbeidsvermogen

Protocol bescherming persoonsgegevens van de Trimclub ABC

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

z Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

Regeling Bescherming Persoonsgegevens Studenten en Personeel

Onderzoek. bevindingen. Geachte S,

Uw persoonsgegevens en uw privacy

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Inleiding, toelichting Algemene bepalingen Artikel 1: Begripsbepalingen Artikel 2: Reikwijdte Artikel 3: Doel...

Afdeling Sociale Zaken Gemeente Hilversum

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

REGLEMENT BESCHERMING PERSOONSGEGEVENS. Wageningen University & Research. I Algemene bepalingen II Verwerking van persoonsgegevens...

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Reikwijdte WBP ten aanzien van archiefbescheiden

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Winkelier DATUM 19 januari 2006 CONTACTPERSOON UW BRIEF VAN - UW KENMERK - ONDERWERP Winkelier creditcard; definitieve bevindingen Ingevolge artikel 51, eerste lid, Wet bescherming persoonsgegevens (WBP) heeft het College bescherming persoonsgegevens (CBP) tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Op grond van artikel 60 WBP is het CBP bevoegd om ambtshalve of op verzoek een onderzoek in te stellen naar de rechtmatigheid van een bepaalde gegevensverwerking. Het CBP is naar aanleiding van een door een betrokkene toegezonden afschrift van een mailing van november 2003, een ambtshalve onderzoek gestart. Onderzoek Bij brief van 16 maart 2004 heeft het CBP winkelier in kennis gesteld van het ambtshalve onderzoek naar de verwerking van persoonsgegevens door Winkelier in het kader van het ongevraagd aanbieden van een klanten-creditcard aan houders van een klantenkaart van de betreffende winkel. In deze brief heeft het CBP vragen aan winkelier gesteld. Winkelier heeft bij brief van 26 maart 2004 op de gestelde vragen gereageerd. Bij brief van 13 december 2004 heeft het CBP aan winkelier zijn voorlopige bevindingen in het onderzoek toegezonden. Op 24 januari 2005 heeft uw advocaat per faxbericht inhoudelijk gereageerd op de voorlopige bevindingen. Op 17 maart 2005 heeft het CBP u zijn definitieve eindrapport toegezonden. Bij faxbericht van 24 maart 2005 heeft mr. X zich namens zijn cliënte, bedrijf Y, als belanghebbende tot het CBP gewend met het verzoek publicatie van het eindrapport te heroverwegen omdat het, onder meer, zou berusten op feitelijke onjuistheden. In zijn brief van 25 maart 2005 heeft het CBP X bericht publicatie van het rapport op te schorten. Bij brief van 7 april 2005 heeft X een inhoudelijke reactie gegeven op het rapport van 17 maart 2005. Op 12 juli 2005 heeft er een overleg plaatsgevonden tussen het CBP en vertegenwoordigers van bedrijf Y en X. Vervolgens heeft X bij brief van 10 augustus 2005 nadere informatie aan het CBP gezonden. Op 5 januari 2006 zond het CBP zijn aangepaste rapport voorlopige bevindingen aan Winkelier en bedrijf Y. Op 17 januari 2006 ontving het CBP van X bericht dat bedrijf Y geen aanleiding ziet om op de inhoud van de voorlopige bevindingen te reageren. Van winkelier werd geen reactie op de voorlopige bevindingen ontvangen. Met inachtneming van het bovenstaande stelt het CBP thans zijn definitieve rapport vast. BIJLAGEN BLAD 1

Voorlopige bevindingen Structurering actie Winkelier heeft op 15 september 2003 een vooraankondiging verstuurd aan haar klantenkaarthouders waarin in samenwerking met bedrijf Y een creditcard wordt aangeboden. Indien een klant geen gebruik wenste te maken van het aanbod kon deze dit van 16 september tot en met 3 oktober 2003 laten weten via een gratis telefoonnummer of via een kosteloze antwoordcoupon. Vervolgens heeft winkelier als verantwoordelijke aan bedrijf Y als bewerker opdracht gegeven het adresbestand van haar klantenkaart-houders te controleren door middel van controle met een TPG/EDM-bestand. De mismatches die hieruit voortvloeiden zijn door winkelier nagebeld, waar nodig zijn adressen gecorrigeerd en is opnieuw een vooraankondiging verstuurd. Het geactualiseerde adresbestand, verminderd met de klanten die bezwaar maakten tegen toezending, is daarna aan bedrijf Y als verantwoordelijke ter beschikking gesteld voor het aanbieden van de creditcard. Het bestand bestond uit NAW-gegevens, geboortedatum, sexe en woonland. Begin oktober 2003 is een mailing gestuurd aan de klantenkaart-houders met een unieke toegangscode om de creditcardfaciliteit van de nog toe te sturen creditcard te deblokkeren. Enkele dagen later is de creditcard verstuurd in een gecombineerde mailing van Winkelier en bedrijf Y. Klanten zijn daarbij gevraagd een coupon in te sturen met onder meer hun geboortedatum, telefoonnummer, bankrekeningnummer en sofi-nummer. Zowel in de mail, de bijgevoegde folder en de algemene voorwaarden staat beschreven dat een overeenkomst tussen de klantenkaart-houder en bedrijf Y pas tot stand komt door het gebruik van de creditcardfaciliteit. De door bedrijf Y verstuurde creditcards hebben een geldigheidsduur van 3 jaar. Gedurende deze periode worden ook de gegevens van de inactieve klantenkaart-houders bewaard omdat deze alsnog de creditcard kunnen activeren. Ook gebruikt bedrijf Y deze gegevens voor het doen van enkele activeringsmailingen uit naam van winkelier. Vragen Het CBP heeft zijn onderzoek toegespitst op de verwerking van persoonsgegevens door winkelier aan bedrijf Y ten behoeve van het aanbod voor de creditcard. Het CBP heeft niet onderzocht of de gegevensverwerkingen die bij bedrijf Y in haar hoedanigheid als verantwoordelijke plaatsgevonden, rechtmatig zijn geschied. De vragen van het CBP hebben zich met name gericht op de grondslag voor en het doel van de verwerking van persoonsgegevens van de klantenkaart-houders alsmede de wijze waarop de klantenkaart-houders hierover door Winkelier zijn geïnformeerd. Norm/wettelijk kader Artikel 7 WBP bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Dit betekent dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving, dat het doel moet zijn bepaald alvorens men tot verzamelen overgaat en dat de doelomschrijving duidelijk moet zijn. De doelomschrijving BLAD 2

mag niet zo ruim zijn dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens wel nodig zijn voor dat doel. Artikel 9 WBP bepaalt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bij de beoordeling of een verwerking verenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen, houdt de verantwoordelijke in elk geval rekening met de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen, de aard van de betreffende gegevens, de gevolgen van de beoogde verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Beoordeling Het CBP richt zich in deze definitieve beoordeling op de vraag of de onderzochte gegevensverwerking voortvloeit uit de doelomschrijving en of deze verwerking verenigbaar is met het geformuleerde doel. Het klantenkaart-bestand is aangelegd met als doel: - het binden van klanten aan Winkelier; - het verstrekken van speciale aanbiedingen alléén voor klantenkaart-houders; - het aanbieden van opmerkelijke acties en - het op de hoogte houden van klanten van exclusieve koopzondagen voor klantenkaarthouders. De verwerking van klantgegevens kan alleen plaatsvinden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Winkelier hanteert verschillende verzameldoeleinden voor het klantenkaart-bestand welke doeleinden min of meer met elkaar samenhangen. Uit de omschrijving van de doeleinden blijkt dat de gegevens van de klantenkaarthouders niet zijn verzameld met het doel deze aan derden te verstrekken voor directmarketingdoeleinden. Als het tevens de bedoeling was van winkelier om de gegevens van de klantenkaart-houders aan derden ter beschikking te stellen dan had, in tegenstelling tot de huidige situatie, dit uit de doelomschrijving moeten blijken. Nu het verwerken van klantgegevens voor het aanbieden van een creditcard niet rechtstreeks voortvloeit uit de doelomschrijving van het klantenkaart-bestand, dient deze verwerking van klantgegevens getoetst te worden aan artikel 9 WBP: persoonsgegevens mogen niet verder verwerkt worden op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Artikel 9, tweede lid, WBP geeft hiertoe enkele criteria die het mogelijk maken om te beoordelen of er sprake is van verenigbaar gebruik van klantgegevens. Allereerst dient gelet te worden op de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen. Daarbij speelt een rol welke verwachting klanten hebben bij het gebruik van hun gegevens. Gelet op de gehanteerde doeleinden verwacht BLAD 3

een klantenkaart-houder dat zijn gegevens alleen door en ten behoeve van winkelier worden verwerkt. Niet verwacht kon worden dat gegevens aan derden zoals bedrijf Y konden worden verstrekt. Het CBP is hierom van mening dat het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen geen nauwe verwantschap met elkaar vertonen. 1 Tevens zijn de aard van de gegevens van belang die voor de beoogde verwerking zijn verwerkt. Nu het hier NAW-gegevens, geboortedatum, sexe, telefoonnummer en het woonland betreft die in een niet gevoelige context worden gebruikt, is het CBP van mening dat deze gegevens in de onderhavige situatie naar hun aard niet gevoelig zijn. Ook dient gelet te worden op de gevolgen van de beoogde verwerking voor de betrokkene. Gedacht kan worden aan het zonder bezwaarmogelijkheid toetsen van de kredietwaardigheid of het registreren van krediet bij de Stichting Bureau Krediet Registratie (BKR). 2 Ook kan gedacht worden aan de mogelijkheid dat derden de poststukken met daarin de Creditcard onderscheppen en frauduleus gebruiken. Omdat een toetsing of registratie bij BKR pas kan plaatsvinden na het gebruik van de creditcardfaciliteit (waarmee een overeenkomst tussen de klantenkaart-houder en bedrijf Y tot stand komt) waarover een klantenkaart-houder tijdig en volledig is geïnformeerd, heeft de verwerking geen negatieve gevolgen voor een klantenkaart-houder. Ook is de gehanteerde methodiek om post te versturen kwalitatief voldoende om negatieve gevolgen voor een klantenkaart-houder te voorkomen. Daarbij speelt mee dat bedrijf Y jegens het CBP blijk heeft gegeven voldoende zorgvuldig om te gaan met de eventuele gevolgen voor een klantenkaarthouder van frauduleuze handelingen. Daarnaast dient gekeken te worden naar de wijze waarop de gegevens door winkelier zijn verkregen. Winkelier heeft de gegevens die nodig waren voor de beoogde verwerking verkregen uit het klantenkaart-bestand. Dit bestand is voorzien van gegevens die klanten zelf hebben verstrekt bij de aanvraag voor een klantenkaart. De weging van de hierboven besproken elementen van artikel 9 WBP, individueel maar ook in onderlinge samenhang bezien, bepaalt de mate waarin er jegens de betrokkene in passende waarborgen moet worden voorzien. Het gebrek aan verwantschap tussen de doelen van het klantenkaart-bestand en het doel van de onderhavige verwerking dient opgeheven te worden door de aanwezigheid van passende waarborgen. Als passende waarborg is aanwezig dat klantenkaart-houders tijdig, volledig en vooraf worden geïnformeerd over de gegevensverwerkingen. Daarbij bestaat steeds de mogelijkheid voor klantenkaart-houders om bezwaar te maken tegen verdere verwerking van hun persoonsgegevens. 1 Zie in meer algemene zin Registratiekamer 14 maart 2001, z2000-0962 (VISA-NIRIA). 2 Zie ook Registratiekamer 19 mei 2000, z1999-1105/1069 (VISA-ANWB). BLAD 4

Conclusie Het verstrekken van gegevens door Winkelier aan bedrijf Y met als doel de klantenkaart-houders een aanbieding te doen voor de creditcard, is in het onderhavige geval verenigbaar met het doel waarvoor de gegevens van de klantenkaart-houders zijn verzameld. Afsluiting Een afschrift van dit rapport wordt eveneens verzonden aan bedrijf Y en aan mr. X. Hoogachtend, mr. J. Kohnstamm voorzitter BLAD 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback