De servers en harde schijven van de Canadese failliete computerwinkel Netlink Computer Inc., of NCIX, werden te koop aangeboden zonder dat deze schoongeveegd waren. Op de systemen stonden onder andere details van creditcardbetalingen. Dat las ik bij Tweakers. De curator vond kennelijk dat dit mocht. Zou dit in Nederland een datalek zijn onder de AVG, of valt de curator daar buiten? Kun je als betrokkene nu een schadeclaim indienen bij de curator?
Het openbaar te koop aanbieden van harde schijven met daarop persoonsgegevens lijkt mij evident een datalek. Die persoonsgegevens komen dan op deze manier zonder adequate beveiliging bij derden terecht, waar ze kunnen worden gebruikt zonder toestemming of andere grondslag onder de AVG.
Het maakt voor de AVG niet uit of de verkoop gebeurt door het bedrijf zelf of door de curator die de boedel te gelde maakt. De definitie van een datalek kent geen onderscheid op dit punt.
Er kan een uitzondering zijn in het geval van een failliet bedrijf: wanneer de persoonsgegevens worden verkocht aan een partij die de bijbehorende bedrijfsactiviteit overneemt, dan is het géén datalek. Die partij heeft dan immers een grondslag om die gegevens te verwerken, namelijk het voortzetten van de dienstverlening (bij klantgegevens) of de arbeidsrelatie (bij werknemers). Hij moet dan weten wie de klanten of het personeel zijn, en dan mag hij dat krijgen van het oude bedrijf.
De curator kan er ook voor kiezen om het bestand gewoon aan de hoogste bieder te verkopen. Een klantenbestand met name heeft op zich waarde, die mensen kun je wellicht je eigen product verkopen of een paar jaar servicecontracten aansmeren op de spullen van het oude bedrijf.
Voor deze verkoop is de curator verwerkingsverantwoordelijke. Hij maakt immers deze keuze en stelt daarmee doel (en middelen) vast van de verwerking, de verkoop. Dan is de vraag welke grondslag hij daarvoor heeft. Zonder grondslag mag dit niet, dan zit je in de sfeer van een datalek.
Toestemming van betrokkenen is natuurlijk een mogelijkheid, maar dat is nogal bewerkelijk voor een curator lijkt me. In de praktijk zal hij zich dan ook altijd beroepen op een eigen gerechtvaardigd belang, namelijk geld binnenhalen voor de schuldeisers. Het is dan de vraag of de privacy van de betrokkenen hieronder mag lijden. Dit is de belangenafweging die je onder de AVG altijd moet maken. Gezien de aard van de gegevens en het feit dat het doel niet meer is dan “ik wil geld en het zal me verder een zorg zijn wat jij doet met die gegevens” zal dit niet eenvoudig zijn.
Daar komt bij dat onder het beginsel van doelbinding gegevens niet voor willekeurige andere doelen mogen worden ingezet dan waarvoor ze zijn verzameld. Ook niet als je een nieuwe grondslag weet te verzinnen. (Dit paper van advocaat Marianne Martens legt het veel beter uit.)
En zelfs als je dat allemaal rond krijgt, dan zul je nog steeds mensen vóóraf hierover moeten informeren en hen wijzen op hun rechten, met name hun recht om de gegevens gewist te krijgen. En als het gaat om beoogde direct marketing dan moet daar ook vooraf bezwaar tegen gemaakt kunnen worden.
Alles bij elkaar zie ik niet echt hoe een curator AVG-compliant klantenbestanden kan verkopen, behalve in het specifieke geval van een derde partij die daarmee garantieverplichtingen of dergelijke dienstverlening overneemt.
Arnoud
https://blog.iusmentis.com/2018/10/02/mag-de-curator-onder-de-avg-een-klantenbestand-verkopen/