Goed -lees: GDPR-compliant- omgaan met deelnemerslijsten is voor veel bedrijven een prangende vraag.
Tijdens de voorbereiding voor dit artikel komt net het bericht binnen dat de Nederlandse Autoriteit Persoonsgegevens een zware boete geeft aan de Nederlandse tennisbond voor het “verkopen” van leden data. Een relevant verhaal, omdat je leden perfect kan vervangen door deelnemers aan een event. En omdat de data niet letterlijk verkocht geweest is, zoals bepaalde databedrijven dat doen. Maar wel omdat het gedeeld is in het kader van een sponsorovereenkomst. En nét dat laatste gebeurt ook regelmatig met deelnemerslijsten.
Maar laat me beginnen bij het begin. Op de vraag of deelnemerslijsten persoonsgegevens bevatten, zal iedereen zonder twijfel volmondig “ja” antwoorden. En dat is uiteraard juist. Zelfs als die lijst geen namen bevat, maar enkel functies en bedrijven, moet je de data als persoonsgegevens beschouwen. Voor sommige functies, zoals CEO of CFO, heb je namelijk aan de functie en het bedrijf voldoende om de persoon die erachter zit te kunnen afleiden. Dat maakt het dus met 100% zekerheid persoonsgegevens.
Het doel van de verwerking van gegevens van deelnemers is uiteraard dat ze deelnemen aan een event. Je wil namelijk met hen je praktische afspraken kunnen communiceren. Of ze voor het event al dan niet betalen, is hier niet belangrijk. Ook bij deelname aan een gratis event kan je ervan uitgaan dat er een overeenkomst is en mag je dus “contract” inroepen als rechtsgrond.
De gegevens gebruiken in het kader van het event zelf is dus geen probleem. Het wordt een ander verhaal als het gaat over het delen van de gegevens met andere deelnemers of derden.
Gaat het over het delen met de deelnemers, dan is de vraag of dit verenigbaar is met het oorspronkelijke doel. Stel, het gaat om een cursus en de deelnemers aan deze cursus moeten samen taken voorbereiden. Dan is het duidelijk dat ze daarvoor elkaars contactgegevens nodig hebben. In dat geval is het delen van een deelnemerslijst, zelfs mét e-mailadres en telefoonnummer, geen enkel probleem. Is er echter geen verband met het oorspronkelijke doel, dan moet je een andere rechtsgrond hebben.
Dan blijven enkel gerechtvaardigde belangen (van de verwerkingsverantwoordelijke) en toestemming (consent) nog over. Om beroep te doen op gerechtvaardigde belangen moet het delen van de deelnemerslijsten voor de verwerkingsverantwoordelijke zo belangrijk zijn dat dit opweegt tegen het recht op privacy van deelnemers. En dat is moeilijk verdedigbaar. In dat geval vraag je best aan de deelnemers bij inschrijving voor het event of ze akkoord zijn dat je hun gegevens met de andere deelnemers deelt.
Een ander verhaal is het delen van deelnemerslijsten met sponsors. Dit is vergelijkbaar met de case van de Nederlandse tennisbond. Ook hier zijn er in theorie twee mogelijke rechtsgronden: gerechtvaardigde belangen en toestemming. Het delen van gegevens van deelnemers of leden met sponsors wordt hier beschouwd als verkoop van gegevens. Bedrijven, die als hoofdactiviteit het verkopen van gegevens hebben, zullen daarentegen wel gerechtvaardigde belangen inroepen. Want het gaat hier om hun hoofdactiviteit. Maar dit is niet het geval voor het delen van gegevens met event sponsors. Ik adviseer om ook hiervoor toestemming te vragen aan de deelnemers.
Denk er ook aan dat je als ontvanger van zo’n deelnemerslijst de gegevens verkrijgt van een derde en dus moet voldoen aan artikel 14 van GDPR. Daarin staan je verplichtingen om de betrokkenen te informeren, onder andere over de bron van de gegevens. Wil je de ontvangen gegevens dus gebruiken, dan moet je ook hieraan voldoen.
Hebt u nog vragen over GDPR? UBA leden kunnen gratis beroep doen op de GDPR line voor eerstelijnsadvies. Onze partner Quadata helpt u dan graag verder.