12/12/19

Webshops hebben geen toestemming nodig om contact- en verzendgegevens te verwerken onder GDPR

Als webshop heb je persoonsgegevens van je klanten nodig.  Wie schoenen online verkoopt heeft een verzendadres nodig. Schoenen wandelen immers, ondanks alle dure technologie, nog steeds niet op eigen houtje tot bij de klant. 

Een hardnekkig misverstand sinds de intrede van GDPR nu anderhalf jaar geleden is dat je aan je klant altijd toestemming zou moeten vragen om zijn contactgegevens en bijvoorbeeld ook het verzendadres te verzamelen en bij te houden.  Niets is minder waar en je kan omgekeerd zelfs in de problemen komen precies omdat je om toestemming gevraagd hebt om gegevens te verwerken terwijl je dat niet had moeten doen. Lees daarover meer in één van onze vorige artikels op de Sirius Legal blog.  Het is allemaal wat verwarrend voor heel wat online handelaars, dus we proberen een en ander nog eens op een rijtje te zetten naar aanleiding van een recent advies van de European Data Protection Board van afgelopen 8 oktober 2019.

Toestemming is niet de enige grondslag om gegevens te verwerken onder GDPR

Verwerken van persoonsgegevens mag alleen als je daar een gegronde reden of “rechtsgrond” voor hebt.  Over één van die grondslagen, met name toestemming of opt-in, is al veel gezegd en geschreven. Wat echter vaak uit het oog verloren wordt, is dat GDPR nog 5 andere grondslagen voorziet die toelaten om gegevens te verwerken.  Drie daarvan zijn relevant voor webshops: 

  • Soms moet je gegevens verwerken omdat de wet je daartoe verplicht.  Boekhoudwetgeving verplicht je immers om facturen gedurende tien jaar te bewaren.
  • Soms heb je ook een “gerechtvaardigd belang” om gegevens te verwerken zonder toestemming.  Dat kan bijvoorbeeld het geval zijn bij prospectie van nieuwe klanten. We komen binnenkort in een volgende bijdrage terug op het gerechtvaardigd belang, overigens.
  • Ofwel, en daarover willen we het vandaag even hebben, verzamel je data zonder daarvoor toestemming te vragen omdat die data nu eenmaal noodzakelijk zijn om een overeenkomst uit te voeren.

Zorgvuldig kiezen welke grondslag je nu eigenlijk nodig hebt is dus belangrijk. De keuze voor de juiste grondslag onder GDPR is echter niet eenvoudig.  Elke keuze heeft immers implicaties en je kan in principe ook niet zomaar vrij kiezen. We verwezen in de inleiding al naar één van onze vorige bijdragen waarin beschreven wordt hoe enkele organisaties boetes opgelopen hebben omdat ze op het verkeerde moment of op de verkeerde manier om toestemming gevraagd hebben.  Bovendien kan je niet zomaar springen van de ene rechtsgrond naar de andere: als je om toestemming vraagt en je krijgt ze niet, kan je niet zomaar beslissen om toch maar de betreffende gegevens te verwerken op grond van een gerechtvaardigd belang, bijvoorbeeld.  Reden dus om voorzichtig te zijn en weloverwogen keuzes te maken

Specifiek voor webshops

Specifiek voor webshops is het nuttig om even stil te staan bij een rechtsgrond die al te weinig gekend is en gebruikt wordt, namelijk de verwerking van persoonsgegevens zonder toestemming omdat die gegevens “noodzakelijk zijn voor de uitvoering van een overeenkomst”.

Gegevens die je echt nodig hebt om een contract te kunnen uitvoeren, mag je immers sowieso verzamelen en verwerken, ook zonder expliciete opt-in op je website.  Het volstaat bijvoorbeeld dat klanten hun verzendadres invullen op je website om die gegevens te mogen bewaren en gebruiken, ook zonder opt-in vakje dat moet aangekruist worden.  Opt-in vakjes en toestemmingen vertragen en bemoeilijken immers het bestelproces en verminderen bijgevolg de conversie op je webshop en dat vermijd je natuurlijk graag als het even kan.

Niet altijd inzetbaar

Je kan echter niet zomaar alle data die je over je klanten wil verzamelen via je website en alle gebruik dat je van die data wil maken onder “uitvoering van een overeenkomst” stoppen.

De verwerking moet immer absoluut noodzakelijk te zijn voor de uitvoering van een overeenkomst tussen jouw webshop en je klant.  Absoluut noodzakelijk zijn bijvoorbeeld facturatiegegevens en verzendadressen. Zonder die gegevens kan je immers geen bestelling afronden.

Je mag die gegevens vervolgens enkel gebruiken voor het uitvoeren van de overeenkomst.  Als een klant je zijn verzendadres meegeeft, mag je dat adres bijvoorbeeld uitsluitend gebruiken voor de levering en niet om nadien reclame naar dat adres te sturen.  Reclame verzenden is immers niet “noodzakelijk” voor de uitvoering van de bestelling en daarvoor heb je wél een bijkomende toestemming nodig.    

Soms worden gegevens in een aankoopproces ook verwerkt omdat ze eenvoudigweg ‘handig’ zijn om weten. Handig is echter vanzelfsprekend niet hetzelfde als noodzakelijk. Als een webshop bijvoorbeeld ook analytische data of heatmapping data wil verwerken om beter in te schatten hoe een klant surft op de website, is daarvoor wel degelijk toestemming nodig. Zonder die analytische of heatmapping data, kan de bestelling immers ook worden afgehandeld en die data zijn dus niet “noodzakelijk”. 

Europese richtlijnen

De Europese privacytoezichthouders hebben vorige maand uitgebreide richtlijnen gepubliceerd die bovenstaande expliciet bevestigen. Alleen absoluut noodzakelijke gegevens kunnen onder uitvoering van de overeenkomst vallen en dan mogen ze enkel gebruikt worden voor het uitvoeren van de overeenkomst. Wie meer gegevens wil of wie ze wil gebruiken voor andere doeleinden, heeft alsnog toestemming nodig.

Let op met verplichte accounts

Let overigens op met het verplicht aanmaken van accounts op je website alvorens klanten een bestelling kunnen plaatsen.  Het aanmaken van zo’n account vereist immers een toestemming of opt-in en onder GDPR moet toestemming “vrij” gegeven zijn, wat betekent dat klanten ook moeten kunnen bestellen als ze géén toestemming geven om een account aan te maken.  In dat laatste geval is je rechtsgrond om hun gegevens te verwerken de “uitvoering van de overeenkomst” zoals hierboven beschreven, met alle daaraan verbonden consequenties: Je kan de gegevens enkel gebruiken voor het afhandelen van de bestelling en in se moeten ze daarna gewist worden.  Je kan gegevens van dat soort klanten dus moeilijk recupereren voor latere marketingdoeleinden. 

dotted_texture