Menig organisatie vraagt voordat een overeenkomst tot dienstverlening of anderszins tot stand kan komen, in het kader van identificatie van de aanmelder, om allerhande persoonsgegevens. Een van de gegevens die daarbij wordt gevraagd is de geboortedatum. Die geboortedatum wordt dan ingevuld op een normale wijze: een dag, de maand en het jaar waarin men werd geboren.
Artikel 5 van de Algemene Verordening Gegevensbescherming stelt dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkenen rechtmatig behoorlijk en transparant is. Ook mogen persoonsgegevens worden verwerkt wanneer zij voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld, terwijl het gebruik niet verder op een met die doeleinden onverenigbare wijze geschiedt. Artikel 6 bepaalt vervolgens dat een verwerking alleen rechtmatig is wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden, zijnde de doeleinden die conform artikel vijf bekend zijn gemaakt. Verder is in het verband van deze bijdrage van belang dat de verwerking noodzakelijk moet zijn voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
Laten we dit eens nader bestuderen. Een geboortedatum wordt altijd ineens, en dan bedoel ik in één veld, opgevraagd. Dit veld staat veelal bij het onderdeel omtrent uw persoon. Uw geboortedatum is zo, logischerwijze, onderdeel van de identificatie van u als persoon, als wederpartij, bij de tot stand te brengen overeenkomst. Het opvragen en controleren van de geboortedatum is in veel gevallen noodzakelijk om vast te stellen of de aanvrager oud genoeg is om een bepaalde dienst af te nemen, of dat hij of zij oud genoeg is om zelfstandig te contracteren. In verreweg de meeste gevallen zal dit transparant zijn, of zijn weergegeven voor de aanvrager. U moet een bepaalde leeftijd hebben en die kunt u aantonen door het opgeven van uw geboortedatum, terwijl ook duidelijk is dat de wederpartij wil weten – moet weten – met wie hij van doen heeft. De verwerking van het persoonsgegeven “geboortedatum” is derhalve rechtmatig, terwijl het vaststellen van een leeftijdsgrens ook noodzakelijk kan zijn. Tot zover bestaat geen twijfel.
Uit de aard der dingen volgt dat men, met het opgeven van de geboortedatum, ook weet wanneer u jarig bent. Niet zelden ontvangt u dan rond of op uw verjaardag een e-mail of zelfs een ansichtkaart met felicitaties van de dienstverlener. Deze uitingen zijn nog als 1 to 1 communicatie te zien. Veel digitale platforms gaan echter verder door al uw relaties of vrienden op uw verjaardag attenderen. Nu zullen de meeste mensen die attentie werkelijk aardig vinden en daarvan ook gebruik maken, dus velen zullen daarover niet klagen. Er zijn ook dienstverleners die een stapje verder gaan en hun cliënt feliciteren met hun “54e verjaardag”, er aldus blijk van gevend dat zij niet alleen de persoonsgegevens “dag en maand”, maar ook het “geboortejaar” hebben gebruikt bij de verwerking ten behoeve van het aanbieden van een felicitatie.
En dat allemaal is een verwerking die niet overeenkomt met het doel waarvoor de gegevens zijn verstrekt. Als dienstverleners het noodzakelijk of zo maar “leuk vinden” om hun cliënten jaarlijks te feliciteren om zo wellicht aan klantenbinding te doen, zullen zij dat bij de opgave van de geboortedatum ter identificatie, duidelijk moeten maken. Hierbij moeten zij onderscheid maken tussen het gebruik van dag en maand of tevens het geboortejaar.
Of dienstverleners kunnen wegkomen met de stelling dat deze vorm van klantenbinding noodzakelijk is ter behartiging van hun gerechtvaardigde belangen, betwijfel ik.