Feiten
Op 14 oktober 2020 kreeg de gegevensbeschermingsautoriteit een melding van een Twitter-gebruiker over een nieuwsbrief die zij had ontvangen van NMBS over de Hello Belgium Railpass. De Hello Belgium Railpass is een vervoersbewijs met een aantal gratis treinritten die op aanvraag kosteloos aan Belgische inwoners werd verstrekt. De nieuwsbrief bevatte geen mogelijkheid tot uitschrijving ervan.
De geviseerde e-mail die verweerder verstuurde aan de aanvragers van de Hello Belgium Railpass bevat de volgende tekst:
- “Herontdek meer dan 500 bestemmingen in België” vergezeld van een knop ‘Vind inspiratie’;
- “MoveSafe-app: jouw veiligheid” vergezeld van een knop ‘Download de app’
- “Klaar voor je eerste reis?”;
- “Nog vragen? Raadpleeg onze FAQ over het gebruik van je Hello Belgium Railpass”, vergezeld van een knop ‘Bekijk de voorwaarden’;
- De mededeling “We wensen je leuke reizen toe met je Hello Belgium Railpass!”
- Disclaimer “Met bovenstaande communicatie wil NMBS u informeren over de manier waarop u uw Hello Belgium Railpass correct en zo optimaal mogelijk kan gebruiken. NMBS verwerkt uw persoonlijke gegevens om uitvoering te geven aan de overeenkomst die op basis van de Hello Belgium Railpass bestaat. Meer details over hoe NMBS uw persoonsgegevens verwerkt en over uw rechten, vindt u op nmbs.be/privacy”
De inspectiedienst is een onderzoek opgestart en is van oordeel dat de NMBS de privacy van haar reizigers heeft geschonden.
Verweer NMBS
NMBS argumenteerde dat:
- De mail kaderde in de overeenkomst die zij afgesloten had met de reiziger die een Hello Belgium Railpass had besteld en noodzakelijk om de sanitaire veiligheid van de reizigers te garanderen
- De email kadert in de overheidsopdracht van de NMBS en deze taak is uitgesloten van het begrip ‘direct marketing’
- Zij een gerechtvaardigd belang had deze email te versturen
Motivering
De geschillenkamer is van oordeel dat de informatie die de NMBS via de mail aan haar reizigers heeft meegedeeld ook op een andere manier aan de reiziger kon worden gecommuniceerd zoals bv de website zodat het versturen van de email niet verantwoord is in het kader van de ‘overeenkomst tussen reiziger en NMBS’.
Om te beoordelen of de het versturen van email kan verantwoord worden in het kader van het gerechtvaardigd belang van de NMBS om haar diensten te promoten bij haar reizigers, moet er opnieuw nagegaan worden of het versturen van de email noodzakelijk was om het doel te bereiken enerzijds en anderzijds of de ontvanger van de email er mocht van uitgaan dat hij dergelijke direct marketing email zou ontvangen.
De NMBS mag zeker haar diensten promoten maar de geschillenkamer is van mening dat de NMBS daarvoor geen nieuwsbrieven moet gebruiken en bovendien is de geschillenkamer van mening dat de reiziger die een Hello Belgium Railpass koopt er zich niet aan verwacht dat zijn gegevens zullen gebruikt worden voor direct marketing.
De regel van de minimale gegevensverwerking is dus niet gerespecteerd.
De geschillenkamer is ook van mening dat de nieuwsbrief als direct marketing moet worden beschouwd en er dus zeker het recht van bezwaar had moeten aangeboden worden via een opt-out knop. De inhoud is immers niet beperkt tot louter sanitaire inlichtingen maar bevat echt wel een reclameboodschap.
Besluit
De geschillenkamer besliste op 4 mei om NMBS te veroordelen tot een administratieve boete van 10.000 EUR.
De beslissing waarschuwt de ondernemer dat het niet voldoende is om te argumenteren dat direct marketing kadert in een overeenkomst met de geadresseerde of gebaseerd is om een gerechtvaardigd belang. De toets met de minimale gegevenswerking moet steeds worden gemaakt.