AVG ook voor curatoren?
Vorige week was in diverse media te lezen dat persoonsgegevens van klanten door curatoren worden doorverkocht aan de hoogste bieder. Dit raakt de privacy van vrijwel iedereen. Wie laat er nou niet zijn of haar gegevens achter bij een (web)winkel? Maar mag de curator deze gegevens wel zomaar verkopen? En waar moet de curator dan rekening mee houden?
De waarde van een klantenbestand
Het klantenbestand van een failliet bedrijf vertegenwoordigt vaak een bepaalde waarde. Voor concurrenten kan het immers erg interessant zijn om te beschikken over de klantgegevens van een failliete concurrent. En aangezien het nu eenmaal de taak is van een curator om zoveel mogelijk geld voor de schuldeisers bij elkaar te verzamelen, zal een curator snel geneigd zijn om een klantenbestand aan de hoogste bieder te verkopen. Privacyregelgeving is hierbij dan vooral lastig voor de curator. Dit kan immers de opbrengst drukken of kan er voor zorgen dat een klantenbestand onverkoopbaar wordt.
De rol van de curator
Als een (web)winkel failliet gaat, krijgt de curator de beschikking over alle gegevens van de failliet. Daar zitten veel persoonsgegevens bij, zoals gegevens van werknemers, klanten en leveranciers. De curator neemt bij een faillissement de rol in die het failliete bedrijf daarvoor had, namelijk van verwerkingsverantwoordelijke. Dat betekent niet alleen dat de curator zich aan de Algemene Verordening Gegevensbescherming (AVG) moet houden, maar ook dat hij gebonden is aan de wijze waarop de failliet de persoonsgegevens heeft verwerkt.
Mag de curator een klantenbestand zomaar verkopen?
De AVG stelt een aantal basiseisen aan het verwerken van persoonsgegevens. Zo mogen persoonsgegevens alleen worden verwerkt als daar een grondslag en een vastgelegd doel voor bestaat. Persoonsgegevens die voor een bepaald doel zijn verzameld, mogen niet voor een heel ander doel worden gebruikt. Bovendien moeten de personen van wie de gegevens zijn, worden geïnformeerd over wat er met hun persoonsgegevens worden gedaan. Zitten er bijzondere persoonsgegevens bij, dan geldt in principe een verbod om deze te verwerken (bijvoorbeeld bij gezondheidsgegevens). Verkocht de failliet bijvoorbeeld medische hulpmiddelen, dan bevatten de klantgegevens al snel gegevens over hun gezondheid.
De grenzen waar de curator tegenaan loopt zijn dus in ieder geval:
- Om wat voor een gegevens gaat het?
Bijzondere persoonsgegevens, zoals gezondheidsgegevens mogen niet worden verwerkt zonder wettelijke uitzondering. - Voor welke doelen waren de klantgegevens verzameld?
De curator is aan die doelen gebonden. - Hoe waren de klanten geïnformeerd?
Daar mogen de klanten ook na faillissement op blijven vertrouwen, dus de curator mag de persoonsgegevens niet in strijd met de verstrekte informatie verkopen. Stel dat in de privacyverklaring van de failliete (web)winkel stond dat de klantgegevens alleen worden gebruikt voor het leveren van de bestelling en niet zullen worden verkocht aan derden, dan is de curator daaraan gebonden.
Wat kan de curator doen?
De curator zal dus eerst moeten nagaan hoe de failliet omging met de persoonsgegevens en wat de klanten daarover is verteld. Om de klantgegevens te mogen verkopen, heeft de curator ook zelf een grondslag nodig. De curator moet weliswaar proberen om zoveel mogelijk geld voor de schuldeisers te verzamelen, maar in de wet is nergens specifiek bepaald dat hij klantenbestanden mag verkopen. Er blijven dan maar twee grondslagen over voor de curator. Toestemming (die moet vrij, specifiek en actief worden gegeven) en het zogenaamde ‘gerechtvaardigd belang’. Als de curator meent dat de boedel een belang heeft bij de verkoop – bijvoorbeeld het behoud van werkgelegenheid – dan zal hij dat belang moeten afwegen tegen het belang van de klanten. De soort gegevens speelt daarbij uiteraard een rol. Ook mag de curator niet meer gegevens verstrekken dan nodig, dus bijvoorbeeld alleen de e-mailadressen en niet de aankoophistorie.
Als de curator de gegevens van de klanten wil verkopen zonder expliciete toestemming te vragen, dan zal de curator de klanten moeten inlichten over de voorgenomen verkoop en de klanten een termijn moeten geven om bezwaar te maken tegen het doorgeven van hun gegevens.
Risico’s voor de curator: aansprakelijkheid en boetes
Een curator is niet snel persoonlijk aansprakelijk voor zijn handelen. Pas als de curator een persoonlijk verwijt kan worden gemaakt en hij niet heeft gehandeld zoals in redelijkheid van hem verwacht mag worden, kan aansprakelijkheid aan de orde zijn. Een curator die zijn taak zorgvuldig verricht dient rekening te houden met de privacy van de klanten van een failliet. Doet hij dat niet, dan kan de curator zomaar met een aansprakelijkheidsclaim worden geconfronteerd. Ook heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid om boetes op te leggen aan de curator.
Curatoren dienen de privacy van klanten te respecteren en de AVG niet te vergeten bij verkoop van een klantenbestand. Uit het onderzoek van Investico blijkt dat zeker nog niet alle curatoren de beginselen van de AVG naleven bij het verkopen van klantenbestanden.
Persoonsgegevens van klanten zijn dus zeker niet altijd in veilige handen bij de curator!