De Gegevensbeschermingsautoriteit (voorheen Privacycommissie) legde recent een boete op van 10.000 EUR aan een handelaar die een klantenkaart wou aanmaken door het uitlezen van de eID. Ondanks het feit dat de klant voorstelde om schriftelijk zijn gegevens te geven, aanvaardde de handelaar dit niet en legde de klant klacht neer bij de Gegevensbeschermingsautoriteit. Deze gaf de klant gelijk en veroordeelde de handelaar tot een administratieve geldboete.
Principes
Op basis van het principe “minimale gegevensverwerking” mag de handelaar in principe enkel deze persoonsgegevens verzamelen die hij/zij werkelijk nodig heeft voor het doel van de verwerking (in dit geval dus: de aanmaak van een klantenkaart) en de opslagperiode beperken tot de duur die noodzakelijk is in functie van dit doel. Nochtans betekent het uitlezen van een eID steevast het uploaden van persoonsgegevens waarvan je een deel vaak helemaal niet nodig hebt (zoals het rijksregisternummer). Dit is jammer genoeg inherent aan het systeem van de eID.
Bijkomend probleem met de eID is dat het rijksregisternummer een persoonsgegeven is dat door de GBA aan strikte regels voor raadpleging en opslag is onderworpen. Het opvragen en opslaan ervan in een commerciële context is zodus niet te verantwoorden.
Welke persoonsgegevens je wél mag opvragen bij de aanmaak van een klantenkaart hangt af van wat je precies met de klantenkaart wil doen. Om enkel een korting te geven aan je klanten telkens wanneer ze langskomen, heb je geen geboortedatum, telefoonnummer of adres van je klant nodig. Maar stel dat je aan je klantenkaart-klanten jaarlijks een kortingsbon opstuurt met de post, dan heb je het adres wel nodig en dan moet je dit ook voorzien in de privacy policy. Bijvoorbeeld: “Bij het aanmaken van een klantenkaart vragen wij uw adres op, zodat wij u jaarlijks de kortingsbon kunnen toezenden die u bijeen hebt gespaard. De rechtsgrond voor de verwerking is uw toestemming.”
Daarnaast moet het principe van vrije, specifieke en geïnformeerde toestemming ook in herinnering worden gebracht. Een toestemming die niet vrij kan worden gegeven aangezien aan de klant geen enkele andere keuze werd gelaten dan het inlezen van zijn eID, is geen geldige toestemming. Het resultaat is dat je gegevens verwerkt zonder deze te baseren op één van de rechtsgronden in de GDPR, hetgeen een ernstige inbreuk uitmaakt.
Beslissing
De GBA motiveerde de veroordeling tot boete van 10.000 EUR als volgt:
“Het gebruik van elektronische identiteitskaarten als klantenkaart is een gangbare praktijk. Echter, de toegang tot veel persoonsgegevens is krachtens de AVG niet toegestaan als deze niet strikt noodzakelijk zijn voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De Geschillenkamer beschouwt dit als een ernstige inbreuk en legt daarom een boete op.”
Wat moet je hiervan onthouden?
Bij de verwerking van persoonsgegevens, zoals de aanmaak van een klantenkaart moet je steeds de principes van de GDPR in het achterhoofd houden waaronder minimale gegevensverwerking (Heb ik de gegevens die ik vraag écht nodig?) en de vrije, specifieke en geïnformeerde toestemming van de betrokken persoon. De toestemming is niet vrij gegeven wanneer je enkel de voordelen van de klantenkaart kan genieten door je eID te overhandigen en niet door bijvoorbeeld je gegevens zelf te noteren, hetgeen minder “intrusief” is.
Bovendien moet je de verantwoording van het voldoen aan deze principes steeds opnemen in je privacy policy door aan te geven wat je precies met de gegevens zal doen, op basis van welke rechtsgrond, hoe lang je de gegevens zal bewaren,…
Vragen over GDPR in het algemeen of over de GDPR-implementatie binnen jouw bedrijf?
Contacteer Bart Van den Brande via bart@siriuslegal.be of telefoon 02/721 13 00
