Bescherming van persoonsgegevens bij verkoop klantenbestand in faillissement
Het klantenbestand van een failliete webwinkel wordt door de curator doorverkocht aan de hoogste bieder. Mag dat zomaar?
Is de curator in faillissement gebonden aan de AVG/privacy regels?
Wanneer een bedrijf failliet gaat, verliest de directie de beschikking en het beheer over het vermogen van de onderneming. In de plaats daarvan wordt een curator aangewezen die het beheer van de onderneming overneemt. Uiteindelijk moet de curator ervoor zorgen dat zoveel mogelijk schuldeisers van de failliete onderneming krijgen waar ze recht op hebben.
Daarbij kan het ook voorkomen dat een curator het waardevolle klantenbestand van de onderneming (denk bijvoorbeeld aan een webwinkel) doorverkoopt. Zo werd het volledige klantenbestand van het in september 2018 failliet verklaarde Hoorhetgoed Retail Shop, een webwinkel voor gehoorapparaten, voor een paar duizend euro doorverkocht aan de hoogste bieder. Dit roept een aantal vragen op: Hoe verhoudt zich dit met de privacy van de in dat bestand opgenomen personen? Mag de curator dergelijke klantenbestanden zomaar verkopen? Moet de curator zich in dit verband niet ook aan de AVG en/of andere privacyregels houden? Is er mogelijk zelfs sprake van een datalek?
Kort en goed: Ja, de curator mag klantenbestanden verkopen, mits deze daarbij handelt conform de AVG. Dit blog gaat nader in op de vereiste rechtmatige grondslag waar de curator zich in dit verband op zou kunnen baseren.
Kan de boedelvereffening worden beschouwd als een wettelijke verplichting?
Een klantenbestand bestaat doorgaans uit: namen, adressen, telefoonnummers en e-mailadressen. Dit zijn ‘persoonsgegevens’ in de zin van de AVG. Het klantenbestand van Hoorhetgoed bestond zelfs uit medische gegevens, welke kwalificeren als ‘bijzondere persoonsgegevens’. Wanneer persoonsgegevens worden opgeslagen en doorgegeven is er sprake van een ‘verwerking’ van persoonsgegevens. De AVG is van toepassing op iedere verwerking van persoonsgegevens. Aangezien de curator in dat verband het doel en de middelen van de verwerking bepaalt, is deze aan te merken als ‘verwerkingsverantwoordelijke’ en daarmee degene die zal moeten aantonen dat aan de verplichtingen uit de AVG is voldaan. Dit houdt onder andere in dat voor de verwerking van persoonsgegevens een ‘rechtmatige grondslag’ bestaat. Zo is een verwerking bijvoorbeeld rechtmatig indien er sprake is van toestemming, de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting, dan wel in het kader van de gerechtigde belangen van de verwerkingsverantwoordelijke.
Curatoren hebben op grond van de Faillissementswet de taak om de boedel te beheren en vereffenen teneinde opbrengsten te generen om zoveel mogelijk de schuldeisers te betalen. Sommige curatoren menen dat deze in de wet vastgelegde kerntaak daarmee een rechtmatige grondslag vormt voor de verwerking van de persoonsgegevens in bijvoorbeeld het klantenbestand. Hier kunnen evenwel vraagtekens bij geplaatst worden. Zo valt het verwerken van persoonsgegevens (bijvoorbeeld bij de verkoop van een klantenbestand) niet expliciet onder het vereffenen van de boedel. Het vereffenen van de boedel door de curator kan meer worden gezien als een ‘taak’ in plaats van een (wettelijke) ‘verplichting’.
Wat vindt de Autoriteit Persoonsgegevens (AP)?
In 2001 meende de Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), nog dat curatoren klantenbestanden niet mogen verkopen en dat de Faillissementswet hen daar niet toe verplicht.
In een zaak uit 2004 waarbij de persoonsgegevens van tienduizenden klanten van een failliet mediabedrijf waren verkocht, werd door een aantal voormalige klanten de vernietiging van hun persoonsgegevens geëist. In de privacyverklaring van de failliete onderneming was namelijk vermeld dat hun persoonsgegevens nimmer aan derden verkocht zouden worden. De Rechtbank Amsterdam oordeelde dat de gegevens desalniettemin door de curator verkocht mochten worden, omdat het ‘onschuldige en niet privacy gevoelige gegevens’ (namelijk een naam en een veelal zakelijk e-mail adres) betrof.
Enkele jaren later, in 2017, publiceerde de AP – geheel tegenstrijdig met haar eerdere oordeel uit 2001 – een bericht dat er voor curatoren wel sprake is van een wettelijke verplichting en daarmee rechtmatige grondslag voor de verwerking van persoonsgegevens in een klantenbestand. Afgezien van de tegenstrijdigheid met haar eerdere oordeel, is dit standpunt ook tegenstrijdig met het standpunt van de Duitse privacytoezichthouder die in 2015 benadrukte dat het verkopen van klantbestanden door de curator niet zonder meer is toegestaan.
Opvallend is ook dat de AP haar standpunt uit 2017 inmiddels weer heeft verwijderd van de website. Hoe de AP momenteel tegen het aanwezige spanningsveld tussen de taak van de curator enerzijds en de privacywetgeving anderzijds aankijkt, is onduidelijk. Een woordvoerder van de AP stelde in De Groene Amsterdammer van april 2019: “Wanneer in een privacystatement staat dat persoonsgegevens nooit met derden worden gedeeld, mag dit ook na faillissement niet”. Hieruit kan evenwel geen duidelijk standpunt worden afgeleid. Immers, zou het delen van persoonsgegevens met derden wel zijn toegestaan als dat in algemene bewoordingen is opgenomen in een privacystatement? Dat lijkt mij te kort door de bocht en bovendien onvoldoende specifiek.
De ‘toestemming’ of het ‘gerechtvaardigd belang’ als rechtmatige grondslag?
Dat de vraag, op welke rechtmatige grondslag een curator zich kan baseren bij de verkoop van een klantenbestand na faillissement, door de Nederlandse privacytoezichthouder onbeantwoord blijft, betekent niet dat de persoonsgegevens na faillissement nooit kunnen worden verkocht. Een curator zou zich kunnen baseren op de toestemming van de betrokkenen. Dit is echter bewerkelijk aangezien het moet gaan om vooraf gegeven ‘vrije, specifieke en ondubbelzinnige’ toestemming. Ga er maar aan staan bij duizenden klanten. Een wellicht meer voor de hand liggende optie is de ‘gerechtvaardigd belang’ grondslag, vergelijkbaar als bij een overname of fusie.
Een geldig beroep op de grondslag van het ‘gerechtvaardigd belang’ vereist een belangenafweging tussen het belang van de curator om de boedel te vereffenen en het privacybelang van de betrokkenen. Hierbij moet de curator alle omstandigheden van het geval in acht nemen, zoals: de aard van de gegevens, de wijze waarop de gegevens worden verwerkt, de gevolgen van de verwerking voor de betrokkenen, de redelijke verwachtingen van de betrokkenen en de waarborgen die de verwerkingsverantwoordelijke heeft genomen om de privacy impact te beperken.
Een goed, praktisch voorbeeld is bijvoorbeeld de verkoop van het klantenbestand van online reisorganisatie TravelBird aan concurrent Secret Escapes na faillissement eind 2018. De curator lichtte alle betrokkenen in over de aanstaande wijziging en gaf hen twee weken de gelegenheid om bezwaar te maken tegen de overdracht van hun persoonsgegevens. In de kennisgeving werd onder meer aangegeven dat de nieuwe eigenaar de persoonsgegevens niet voor andere doeleinden zou gebruiken dan in het kader van de voortzetting van de failliete onderneming, zulks in overeenstemming met de privacyverklaring van de failliete onderneming. Op basis van deze specifieke omstandigheden kan de belangenafweging in het voordeel van de curator uitvallen en is er dus sprake van een gerechtvaardigd belang dat prevaleert boven de privacybelangen van de betrokkenen.
Echter, zou het hier gaan om medische- of andere bijzondere (meer privacygevoelige) persoonsgegevens of zou de opvolgend eigenaar de persoonsgegevens in het klantenbestand (tevens) voor andere doeleinden gaan gebruiken dan in het kader van de voorzetting van de failliete onderneming, dan zullen de privacybelangen mogelijk weer prevaleren. Kortom, indien de curator zich wil beroepen op de gerechtigd belang grondslag dient er per geval een zorgvuldige belangenafweging plaats te vinden. Het is van belang om die afweging ook goed te documenteren voor het geval er op een later moment vragen zou zijn, vanuit de betrokkenen, dan wel vanuit de AP.
Tot slot, let ook op vanuit kopers perspectief!
Hoewel de focus van deze blog ligt op de verkoop van het klantenbestand vanuit de failliete onderneming als verkoper, is het ook voor de koper opletten geblazen. Immers, zijn de persoonsgegevens conform de eisen van de AVG verzameld en opgeslagen in het klantenbestand? Hebben zich in de tussentijd geen datalekken voorgedaan? Kunnen met de curator garanties worden overeengekomen omtrent AVG/privacy compliance? Indien hier geen afspraken over zijn gemaakt en/of achteraf blijkt dat bij de verkoop de AVG niet correct is nageleefd, riskeert de curator en mogelijk ook de koper een boete. Daarnaast kunnen betrokkenen een schadevergoedingsvordering instellen bij de koper. Kortom, ook vanuit het perspectief van de koper, is het van belang om bij de aankoop van klantenbestand op te letten en duidelijke afspraken omtrent aansprakelijkheid te maken.
Meer weten over privacy en de AVG in het kader van faillissement of overnames? Neem contact op met Chantal Bakermans.