Dat mag niet zomaar, ook wettelijk niet en daar zou je ook actie op kunnen ondernemen. Het doorgeven van persoonsgegevens mag alleen als aan bepaalde voorwaarden is voldaan. Er zijn zes in de wet vastgelegde gronden waarop een gegevensverstrekking gebaseerd kan zijn: de toestemming, de overeenkomst, de wettelijke verplichting, een vitaal belang van de betrokkene, de uitvoering van een publiekrechtelijke taak en het gerechtvaardigd belang. Als iemand dus je gegevens doorgeeft, dan moet dat gebaseerd zijn op één van deze zes gronden.
"Waar kunt u klagen als u meent dat een organisatie uw persoonsgegevens ten onrechte aan een andere organisatie heeft verstrekt?
Ga met uw vragen of klachten altijd eerst naar de organisatie die uw persoonsgegevens aan een andere organisatie heeft verstrekt. Dit is de zogeheten verantwoordelijke. De verantwoordelijke kan zijn uw werkgever, energiebedrijf, gemeente, bank, zorginstelling of een webshop waar u producten heeft aangeschaft.
Als u meent dat uw persoonsgegevens onrechtmatig zijn gebruikt en de verantwoordelijke reageert niet of niet naar uw tevredenheid op uw verzoek of klacht, dan kunt u naar de rechter gaan met een beroep op de rechtsbescherming die de Wet bescherming persoonsgegevens biedt. U kunt de rechter dan bijvoorbeeld vragen om een verbod, herstel van de (nadelige) gevolgen of een schadevergoeding.
U kunt ook een signaal afgeven bij het CBP.
Het CBP gebruikt de informatie uit uw signalen voor het maken van keuzes in het kader van zijn toezichthoudende taak. Het CBP doet dit op basis van een risicoanalyse. De ernst van de overtreding en het aantal mensen dat hierdoor wordt geraakt, zijn hierbij belangrijke criteria. Het CBP kan naar aanleiding van uw signaal een onderzoek starten. U wordt daarover in de regel niet persoonlijk geïnformeerd, tenzij uw signaal daartoe aanleiding geeft."
Bovenstaande tussen aanhalingstekens gezette tekst is gekopieerd uit: http://www.mijnprivacy.nl/VEELGESTELDEVRAGEN/Pages/Doorgifte+algemeen.aspx
Daar vind je ook meer informatie.