Always a click ahead
Geen korting zonder klantenkaart, geen klantenkaart zonder identiteitskaart.
De vakantie is voorbij. Ook de GBA (de Gegevensbeschermingsautoriteit) die toeziet op het respecteren van de privacywetgeving, neemt de draad (weer) op. Bij beslissing 06/2019 dd. 17/09/2019 werd een administratieve geldboete van 10.000,00 EUR opgelegd wegens schending van de privacy bij het opmaken van een klantenkaart.
Bespreking van de feiten.
Een handelaar weigert een klantenkaart aan te maken als de klant/betrokkene niet instemt met het uitlezen van zijn/haar elektronische identiteitskaart. Na klacht en verder onderzoek komt men tot volgende bevindingen:
- De handelaar wil geen klantenkaart aanmaken indien de klant niet wenst dat zijn/haar elektronische identiteitskaart wordt uitgelezen;
- Er worden verschillende klantengegevens door de handelaar verwerkt die niet dienstig zijn, meer bepaald het geslacht en geboortedatum van de klant,
evenals de barcode van de elektronische identiteitskaart die het rijksregisternummer bevat, om het beoogde doeleinde te bereiken;
- Er bestaat een discrepantie tussen de verklaringen van de handelaar en de eigen privacyverklaring betreffende de doorgifte van gegevens aan derden;
- De privacyverklaring geeft onvoldoende informatie aan de betrokkene, meer bepaald op het vlak van de rechtsgrond van de verwerking en de
bewaartermijnen.
Bespreking van de beslissing.
De GBA oordeelt dat voormelde vaststellingen van de Inspectiedienst inbreuken betreffen op verschillende kernprincipes van de GDPR:
1. Dataminimalisatie.
Overeenkomstig art. 5.1.c en overweging 39 GDPR dient de verwerking van persoonsgegevens dienend te zijn en beperkt te worden tot wat noodzakelijk is om het beoogde doel te bereiken, in casu het opstellen van een klantenkaart.
Door het uitlezen van de elektronische identiteitskaart, verwerkt de handelaar volgende persoonsgegevens van de klant: de naam, de voornamen, het adres, de geboortedatum, het geslacht en de barcode waarin het rijksregisternummer zit vervat.
De GBA wijst erop dat de geboortedatum en het geslacht niet dienend noch noodzakelijk zijn voor de handelaar om het verwerkingsdoel te bereiken, al kan hierover nog discussie worden gevoerd met oog op klantenbinding, bvb voor verjaardagacties en/of - kortingen op die datum, … .
Waarover geen enkele discussie kan bestaan is, dat het onder geen enkel beding een handelaar toegestaan kan zijn om het rijksregisternummer van de klant op te slaan of te linken aan de gegevens van de klant.
Immers is de verwerking van het rijksregisternummer overeenkomstig de Wet op het Rijksregister verboden zonder wettelijke grondslag en dient er een machtiging door het Sectoraal Comité van het Rijksregister verleend te worden.
De verwerking van het rijksregisternummer is niet enkel overmatig en een inbreuk op de dataminimalisatie, maar wordt ook strafrechtelijk beteugeld door voormelde Wet op het Rijksregister.
2. Rechtmatigheid van de verwerking.
De handelaar in kwestie stelt dat de elektronische identiteitskaart ingelezen wordt met toestemming van de klant en de verwerking dus gebaseerd zou zijn op de toestemming zoals is bepaald in art. 6.1.a GDPR en gedefinieerd in artikel 4.11 GDPR:
““toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”
Uit de klacht van de betrokkene is duidelijk af te leiden dat de handelaar geweigerd heeft een klantenkaart op te maken als de klant zijn/haar elektronische identiteitskaart niet liet uitlezen.
Derhalve kan er geen sprake zijn van een “vrije” toestemming zoals omschreven in art. 4.11, GDPR, gezien er geen enkel alternatief is voor de klant om een klantenkaart te bemachtigen en van de voordelen te genieten.
Het hoeft geen verder betoog dat dit een inbreuk op de GDPR is, dit des te meer omdat de handelaar zich beroept op de rechtvaardigingsgrond van de toestemming.
Daarenboven verwijst de GBA ook naar de Wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten. Op grond van deze wet is het mogelijk voor ondernemingen om de elektronische identiteitskaart van haar klanten uit te lezen binnen een duidelijk afgebakend kader zoals omschreven in art. 6§4:
“Het Rijksregisternummer en de foto van de houder mogen enkel gebruikt worden indien hiertoe gemachtigd is door of krachtens een wet, een decreet of een ordonnantie. De elektronische identiteitskaart mag enkel gelezen of gebruikt worden met de vrije, specifieke en geïnformeerde toestemming van de houder van de elektronische identiteitskaart.
Wanneer een voordeel of dienst aangeboden wordt aan een burger via zijn elektronische identiteitskaart in het kader van een informaticatoepassing, moet eveneens een alternatief dat het gebruik van de elektronische identiteitskaart niet vereist, voorgesteld worden aan de betrokken persoon.”
Opnieuw moet worden vastgesteld dat de handelaar ook niet aan de wetgeving specifiek voor het uitlezen van elektronische identiteitskaarten voldaan heeft, gezien er geen enkel alternatieve mogelijkheid om een klantenkaart aan te maken aanwezig was/is.
Meer nog, dergelijke miskenning van voormelde wet kan ook strafrechtelijk gesanctioneerd worden.
Noot:
Interessant in deze beslissing is dat de GBA, zonder dat de handelaar het als verweermiddel heeft aangewend, het gerechtvaardigd belang van de handelaar als mogelijke verwerkingsgrond heeft onderzocht.
Nochtans is een uitlezing van een elektronische identiteitskaart slechts mogelijk na de toestemming van de klant (zie supra art. 6§4 Wet van 19 juli 1991).
De GBA bevestigt hier wel door dat een vrije, specifieke en geïnformeerde toestemming uit de ene wet niet noodzakelijk correspondeert met de term toestemming uit een andere wettekst.
Het enige jammerlijke aan de beslissing van de GBA is dat zij niet duidt hoe zij deze belangenafweging heeft uitgevoerd.
3. Informatie aan de betrokkene
Net als dataminimalisatie en rechtmatigheid van de verwerking, is transparantie één van de sleutelbegrippen van de GDPR. Eén van de doelstellingen van de verordening is namelijk dat elke persoon de controle over zijn of haar persoonsgegevens blijft behouden.
Dit kan enkel door duidelijk in de privacyverklaring mee te delen wat er precies met persoonsgegevens zal gebeuren of gebeurt, of er sprake is van doorgifte aan derden, hoelang deze bewaard worden, wat de rechten van betrokkene zijn en hoe deze kunnen worden uitgeoefend.
De vaststelling dat een verwerkingsverantwoordelijke, in casu de handelaar, zelf niet op de hoogte is van hetgeen in zijn of haar privacyverklaring wordt gesteld, is net zoals voorgaande inbreuken onrustwekkend.
Is dit onwetendheid of opnieuw het mooiste voorbeeld van een copy-paste-beleid die vele ondernemingen toepassen als het over hun juridische teksten gaat, denk maar aan de algemene voorwaarden.
Besluit.
In dit dossier is er niet enkel miskenning van de GDPR maar ook van andere wetgeving die opgesteld is om bescherming te bieden aan natuurlijke personen en hun identiteitsgegevens.
De GBA kon wegens schending van enkele van deze rechtsregels de zaak ook doorverwijzen naar het parket voor verder onderzoek met oog op strafrechtelijke vervolging, maar zij heeft geopteerd voor een administratieve sanctie van 10.000,00 EUR en een bevel tot aanpassing van de verwerking overeenkomstig de GDPR.
Wel toont deze beslissing aan dat de GBA volledig actief is, er geenszins voor terug deinst haar bevoegdheden uit te oefenen en zelfs een serieuze administratieve sanctie op te leggen.
De tijd dat ondernemingen lichtzinnig en straffeloos met de privacywetgeving omgingen dient met deze beslissing een einde te kennen.
Nogmaals is het toepasselijk om de Voorzitter van Gegevensbeschermingsautoriteit, David Stevens, te citeren “Tijd van sit back and relax over GDPR is voorbij”.
Wenst u meer informatie over de GDPR en/of het handhavingsbeleid , aarzel niet om ons te contacteren, maarten.verhaghe@vdvadvocaten.be of maarten.verhaghe@vdv-ilaw.com