Deze “Toelichting Gerechtvaardigd Belang” is integraal onderdeel van de “Privacyverklaring Database” van CompanySpotter BV, gevestigd aan de Koninginnegracht 46-I te Den Haag en geregistreerd in het Nederlandse handelsregister onder nummer 78391857. Voor alle vragen rondom de inhoud van deze verklaring of het uitoefenen van uw rechten inzake privacy hebben wij een Functionaris Gegevensbescherming aangesteld welke bereikbaar is via [email protected].
Het gerechtvaardigd belang kan slechts als rechtsgrond voor de verwerking van persoonsgegevens dienen indien het de drievoudige toets van het Europese Hof van Justitie doorstaat. (1) De doeltoets, (2) de noodzakelijkheidstoets en (3) de afwegingstoets. Uit het onderstaande volgt dat de verwerking op grond van het gerechtvaardigd belang (van CompanySpotter) als rechtsgrond voor de verwerking van persoonsgegevens dient aangezien het de drievoudige toets doorstaat. Vooraleer de drievoudige toets wordt toegelicht, zal het bestaande kader worden besproken waarbinnen de verwerking plaats vindt.
De GDPR is een verordening die de burgers van de Europese Unie beoogt te beschermen. In de doelstellingen van de Europese Unie valt terug te lezen dat zij zich inzet voor de duurzame ontwikkeling van Europa, op basis van een evenwichtige economische groei en van prijsstabiliteit, een sociale markteconomie met een groot concurrentievermogen. Middels het leveren van haar diensten draagt CompanySpotter actief bij aan deze doelstelling van de Europese Unie.
De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor deze gegevens zijn verzameld. Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen, waarbij het belangrijk is om (onder andere) te oordelen of de initiële verstrekking verenigbaar is met het doel van de verwerking. Hierbij is de belangrijkste vraag of de verwerking van persoonsgegevens plaats vindt voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld.
De door CompanySpotter verwerkte persoonsgegevens zijn door de betreffende organisaties/betrokkenen bewust openbaar gedeeld (bijvoorbeeld via de website van het bedrijf). De betrokkene verstrekt voormelde informatie met als doel om actief deel te nemen aan het handelsverkeer. Hierbij hoort het vinden van potentiële nieuwe klanten en leveranciers, het gevonden worden door potentiële nieuwe klanten en leveranciers en het wederzijds uitwisselen van relevante marktinformatie teneinde op de hoogte te blijven van ontwikkelingen binnen de eigen branche, regio en markt. Gelet op het moment en de context van de verzameling van de persoonsgegevens, mag er door de betrokkene redelijkerwijs verwacht worden dat de gegevens verder worden verwerkt in de lijn van de doelstelling van de actieve deelname aan het handelsverkeer. Sterker nog, het levert een actieve bijdrage aan het versterken van het initiële doel.
Een belangrijke functie van CompanySpotter is het fungeren als zoekmachine. Op 26 november 2014 heeft de Artikel 29-werkgroep een advies gepubliceerd over de richtlijnen voor de tenuitvoerlegging van het arrest van het Hof van Justitie van de Europese Unie ("Google Spain and Google Inc. v. Agencia Española de Protección de Datos (AEPD) en Mario Costeja González”). Het advies vormt een leidraad van de werkgroep voor exploitanten van zoekmachines. In het advies komt naar voren dat (onder andere) de volgende onderwerpen relevant zijn in de beoordeling van de situatie:
With regard to careful consideration, the following considerations of the GDPR, among others, are relevant:
Uit eerdergenoemde overwegingen kan het volgende afgeleid worden:
Een gebrek aan essentiële (juiste) bedrijfsinformatie zet een rem op de ontwikkeling van de economie en stuit het (her)opleven ervan. Bovendien brengt dit de economie, en vooral de (Europese) organisaties, schade toe door gezonde ondernemingen bloot te stellen aan de nefaste gevolgen van contracteren met insolvente of zelfs malafide bedrijven. Actuele bedrijfsinformatie stelt organisaties in staat om op gerichte wijze nieuwe marktsegmenten te exploreren, met name door de toegang tot pertinente gegevens met betrekking tot de doelgroepen of marksegment van de ondernemingen. Deze ondernemingen kunnen op deze manier bijkomende, gezonde en dus rendabele handel genereren.
In die zin zorgt de verwerking van de gegevens voor een “level playing field” doordat niet enkel grote(re) ondernemingen toegang hebben tot de bedrijfsinformatie, maar kleine ondernemingen ook de nefaste gevolgen van het contracteren met insolvente of zelfs malafide bedrijven kunnen voorkomen, hun zorgvuldig opgebouwde zakelijke databases actueel kunnen houden en de kans krijgen om gericht te kunnen prospecteren (zonder bijvoorbeeld willekeurig bedrijven te moeten contacteren).
In het kader van maatschappelijk verantwoord ondernemen, het reduceren van overlast als gevolg van ongewenste direct marketing, het stimuleren van concurrentie en het voorkomen van monopolyposities vervult CompanySpotter een belangrijke rol.
CompanySpotter heeft een actueel belang om persoonsgegevens te verwerken teneinde deze ter beschikking van haar klanten te stellen. Dit houdt in dat er sprake is van concrete, vooropgestelde verwerkingsdoelstellingen. De gegevens die CompanySpotter aan haar klanten ter beschikking stelt, vervullen meerdere doeleinden, waaronder marketingdoeleinden, analysemogelijkheden, datamanagement en de beperking van financiële risico’s en fraudebestrijding.
Aangezien er concrete, vooropgestelde verwerkingsdoelstellingen vastgesteld zijn, wordt aan de doeltoets voldaan.
De verwerking dient noodzakelijk te zijn voor de verwezenlijking van de behartigde belangen, waarbij nagegaan dient te worden of voormelde doelstellingen niet redelijkerwijze en even doeltreffend met andere middelen, die minder afbreuk aan de rechten van de betrokkene, bereikt kunnen worden. Deze toets moet onderzocht worden in samenhang met het beginsel van minimale gegevensverwerking.
De verwerking van de persoonsgegevens is noodzakelijk voor verwezenlijking van het maatschappelijk doel van CompanySpotter en dus voor haar activiteiten, zoals onder andere vastgelegd bij de Nederlandse Kamer van Koophandel middels de SBI-code (de code die door de Europese Unie en haar lidstaten toegekend wordt aan een bepaalde klasse van commerciële of niet-commerciële economische activiteiten). Het betreft hier dienstverlenende activiteiten op het gebied van informatietechnologie en dan specifiek het ontwikkelen, produceren en uitgeven van software. En ten aanzien van informatie en communicatie, het uitgeven van databanken.
Bovendien heeft CompanySpotter diverse maatregelen geïmplementeerd voor minimale gegevensverwerking. Het is immers de bedoeling van CompanySpotter om bedrijfsinformatie te commercialiseren en niet de informatie van natuurlijke personen (niet-ondernemingen). Teneinde haar database strikt tot bedrijfsinformatie te beperken, neemt CompanySpotter diverse maatregelen om de verwerking van persoonsgegevens tot het minimum te beperken. De gegevens die CompanySpotter verwerkt zijn dan ook beperkt tot de noodzakelijke gegevens voor het nastreven van de hoger omschreven doeleinden. Tenslotte worden door CompanySpotter gegevens niet langer dan noodzakelijk bewaard.
Aangezien de verwerking noodzakelijk is voor de verwezenlijking van de behartigde belangen en de doelstellingen, wordt aan de noodzakelijkheidstoets voldaan.
Er dient te worden nagegaan of de nagestreefde belangen van CompanySpotter zwaarder wegen dan de grondrechten van de betrokkenen, waarbij rekening gehouden dient te worden met de bijzondere omstandigheden van het concrete geval en de redelijke verwachtingen van de betrokkenen.
Deze afweging vindt plaats op basis van de volgende elementen: de aard van de betrokken persoonsgegevens en de “intensiteit” van de verwerking, de concrete wijze van verwerking en de toegang tot de gegevens en de redelijke verwachtingen van de betrokkene dat zijn persoonsgegevens niet worden verwerkt wanneer hij, in de omstandigheden van het geval, redelijkerwijs geen verdere verwerking ervan kan verwachten.
Ten aanzien van de aard van de betrokken persoonsgegevens en de “intensiteit” van de verwerking kan worden geconcludeerd dat de gegevens primair bedrijfsinformatie betreft en CompanySpotter überhaupt geen gevoelige persoonsgegevens verwerkt. Desalniettemin kan hieruit – in het algemeen – afgeleid worden dat CompanySpotter het risico van een inbreuk dient te beoordelen en hierbij moet nagaan hoe ingrijpend deze inbreuk is op de rechten van de betrokkene. In dat kader wordt rekening gehouden met volgende elementen:
Ten aanzien van de concrete wijze van verwerking en de toegang tot de gegevens is het belangrijk om te concluderen dat CompanySpotter de gegevens in een beveiligde omgeving beheert die op maat gemaakt werd voor deze doeleinden en voorziet in een beveiligingsniveau wat passend is bij deze verwerking. De toegang tot (de persoonsgegevens die onderdeel uitmaken van) de gegevens is strikt beperkt tot de klanten van CompanySpotter. Deze klanten krijgen slechts toegang tot deze gegevens nadat zij zich ertoe verbinden de Algemene Voorwaarden (en overige contractuele documenten) van CompanySpotter na te leven. In deze contractuele documenten wordt strikt bepaald op welke wijze met de gegevens omgegaan dient te worden, rekening houdend met de GDPR alsook additionele bijzondere wetgeving.
Voorafgaand aan de operationele activiteiten van CompanySpotter heeft er een risicoanalyse omtrent de informatiebeveiliging plaatsgevonden. Dit heeft ons inzage verschaft in potentiële risicogebieden en daar zijn passende (beveiligings-)maatregelen voor getroffen. Deze risicoanalyse wordt met een vaste regelmaat herzien om er voor te zorgen dat deze altijd actueel is en alle maatregelen in lijn zijn met de huidige situatie en te anticiperen op mogelijke risico’s in de voorzienbare toekomst.
Ten aanzien van de redelijke verwachtingen van de betrokkene dat zijn persoonsgegevens niet worden verwerkt wanneer hij, in de omstandigheden van het geval, redelijkerwijs geen verdere verwerking ervan kan verwachten dient te worden opgemerkt dat de verwachtingen van de betrokkenen (in bepaalde mate) afhankelijk is van het gegeven of de betrokken gegevens reeds beschikbaar zijn in voor het publiek toegankelijke bronnen. In voorkomend geval dient ervan uitgegaan te worden dat er een minder grote aantasting van de rechten van de betrokkenen voorhanden is.
De door CompanySpotter verwerkte persoonsgegevens betreffen slechts de vertegenwoordigers van de bedrijven. Naast de naam van deze vertegenwoordiger, zijn de daarbij geregistreerde contactgegevens, zoals adres, emailadres en telefoonnummer, uitsluitend in de database opgenomen als contactgegeven van de desbetreffende organisatie. Deze gegevens zijn door de betreffende organisaties/betrokkenen bewust openbaar gedeeld (bijvoorbeeld via de website van het bedrijf). Gelet hierop is de kans klein dat de verwerking een negatieve impact heeft op de rechten van de betrokkene.
De betrokkenen verstrekt voormelde informatie aan het publiek met als doel om actief deel te nemen aan het handelsverkeer. Gelet op het moment en de context van de verzameling van de persoonsgegevens, mag er door de betrokkene redelijkerwijs verwacht worden dat zijn gegevens verder worden verwerkt in de lijn van de doelstelling van de actieve deelname aan het handelsverkeer.
Aangezien de gegevens in ieder geval reeds openbaar zijn, is er dus een minder grote aantasting van de rechten van de betrokkenen voorhanden. Met name kunnen betrokkenen eerder verdere verwerking van de (publiek beschikbare) persoonsgegevens verwachten.
Aangezien de belangen van CompanySpotter, rekening houdend met de maatregelen die CompanySpotter voorzien heeft, zwaarder wegen dan de rechten van de betrokkene, wordt aan de derde voorwaarde voldaan.