Geen korting zonder klantenkaart, geen klantenkaart zonder identiteitskaart.

De vakantie is voorbij. Ook de GBA (de Gegevensbeschermingsautoriteit) die toeziet op het respecteren van de privacywetgeving, neemt de draad (weer) op. Bij beslissing 06/2019 dd. 17/09/2019 werd een administratieve geldboete van 10.000,00 EUR opgelegd wegens schending van de privacy bij het opmaken van een klantenkaart.

Bespreking van de feiten.

Een handelaar weigert een klantenkaart aan te maken als de klant/betrokkene niet instemt met het uitlezen van zijn/haar elektronische identiteitskaart. Na klacht en verder onderzoek komt men tot volgende bevindingen:

- De handelaar wil geen klantenkaart aanmaken indien de klant niet wenst dat zijn/haar elektronische identiteitskaart wordt uitgelezen;

- Er worden verschillende klantengegevens door de handelaar verwerkt die niet dienstig zijn, meer bepaald het geslacht en geboortedatum van de klant,

  evenals de barcode van de elektronische identiteitskaart die het rijksregisternummer bevat, om het beoogde doeleinde te bereiken;

- Er bestaat een discrepantie tussen de verklaringen van de handelaar en de eigen privacyverklaring betreffende de doorgifte van gegevens aan derden;

- De privacyverklaring geeft onvoldoende informatie aan de betrokkene, meer bepaald op het vlak van de rechtsgrond van de verwerking en de

  bewaartermijnen.

Bespreking van de beslissing.

De GBA oordeelt dat voormelde vaststellingen van de Inspectiedienst inbreuken betreffen op verschillende kernprincipes van de GDPR:

1. Dataminimalisatie.

Overeenkomstig art. 5.1.c en overweging 39 GDPR dient de verwerking van persoonsgegevens  dienend te zijn en beperkt te worden tot wat noodzakelijk is om het beoogde doel te  bereiken, in casu het opstellen van een klantenkaart.

Door het uitlezen van de elektronische identiteitskaart, verwerkt de handelaar volgende  persoonsgegevens van de klant: de naam, de voornamen, het adres, de geboortedatum, het  geslacht en de barcode waarin het rijksregisternummer zit vervat.

De GBA wijst erop dat de geboortedatum en het geslacht niet dienend noch noodzakelijk zijn  voor de handelaar om het verwerkingsdoel te bereiken, al kan hierover nog discussie  worden gevoerd met oog op klantenbinding, bvb voor verjaardagacties en/of - kortingen op  die datum, … .

Waarover geen enkele discussie kan bestaan is, dat het onder geen enkel beding een  handelaar toegestaan kan zijn om het rijksregisternummer van de klant op te slaan of te linken  aan de gegevens van de klant.

Immers is de verwerking van het rijksregisternummer overeenkomstig de Wet op het  Rijksregister verboden zonder wettelijke grondslag en dient er een machtiging door het  Sectoraal Comité van het Rijksregister verleend te worden.

De verwerking van het rijksregisternummer is niet enkel overmatig en een inbreuk op de  dataminimalisatie, maar wordt ook strafrechtelijk beteugeld door voormelde Wet op het  Rijksregister.

2. Rechtmatigheid van de verwerking.

De handelaar in kwestie stelt dat de elektronische identiteitskaart ingelezen wordt met  toestemming van de klant en de verwerking dus gebaseerd zou zijn op de toestemming zoals  is bepaald in art. 6.1.a GDPR en gedefinieerd in artikel 4.11 GDPR:

““toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en  ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een  verklaring of een ondubbelzinnige actieve  handeling hem betreffende  verwerking van persoonsgegevens aanvaardt”

Uit de klacht van de betrokkene is duidelijk af te leiden dat de handelaar geweigerd heeft een  klantenkaart op te maken als de klant zijn/haar elektronische identiteitskaart niet liet uitlezen.

Derhalve kan er geen sprake zijn van een “vrije” toestemming zoals omschreven in art. 4.11, GDPR, gezien er geen enkel alternatief is voor de klant om een klantenkaart te bemachtigen  en van de voordelen te genieten.

Het hoeft geen verder betoog dat dit een inbreuk op de GDPR is, dit des te meer omdat de  handelaar zich beroept op de rechtvaardigingsgrond van de toestemming.

Daarenboven verwijst de GBA ook naar de Wet van 19 juli 1991 betreffende de  bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de  verblijfsdocumenten. Op grond van deze wet is het mogelijk voor ondernemingen om de  elektronische identiteitskaart van haar klanten uit te lezen binnen een duidelijk afgebakend  kader zoals omschreven in art. 6§4:

“Het Rijksregisternummer en de foto van de houder mogen enkel gebruikt worden  indien  hiertoe gemachtigd is door of krachtens een wet, een decreet of een  ordonnantie. De elektronische identiteitskaart mag enkel gelezen of gebruikt   worden met de vrije, specifieke en geïnformeerde toestemming van de houder van de  elektronische identiteitskaart.

Wanneer een voordeel of dienst aangeboden wordt aan een burger via zijn  elektronische identiteitskaart in het kader van een informaticatoepassing, moet  eveneens  een alternatief dat het gebruik van de  elektronische identiteitskaart niet vereist, voorgesteld worden aan de betrokken persoon.”

Opnieuw moet worden vastgesteld dat de handelaar ook niet aan de wetgeving specifiek voor  het uitlezen van elektronische identiteitskaarten voldaan heeft, gezien er geen enkel  alternatieve mogelijkheid om een klantenkaart aan te maken aanwezig was/is. 

Meer nog, dergelijke miskenning van voormelde wet kan ook strafrechtelijk gesanctioneerd  worden.

Noot:

Interessant in deze beslissing is dat de GBA, zonder dat de handelaar het als verweermiddel  heeft aangewend, het gerechtvaardigd belang van de handelaar als mogelijke  verwerkingsgrond heeft onderzocht.

Nochtans is een uitlezing van een elektronische identiteitskaart slechts mogelijk na de  toestemming van de klant (zie supra art. 6§4 Wet van 19 juli 1991).

De GBA  bevestigt hier wel door dat een vrije, specifieke en geïnformeerde toestemming  uit de ene wet niet noodzakelijk correspondeert met de term toestemming uit een andere  wettekst.

Het enige jammerlijke aan de beslissing van de GBA is dat zij niet duidt hoe zij deze  belangenafweging heeft uitgevoerd.

3. Informatie aan de betrokkene

Net als dataminimalisatie en rechtmatigheid van de verwerking, is transparantie één van de  sleutelbegrippen van de GDPR. Eén van de doelstellingen van de verordening is namelijk dat  elke persoon de controle over zijn of haar persoonsgegevens blijft behouden.

Dit kan enkel door duidelijk in de privacyverklaring mee te delen wat er precies met  persoonsgegevens zal gebeuren of gebeurt, of er sprake is van doorgifte aan derden, hoelang  deze bewaard  worden, wat de rechten van betrokkene zijn en hoe deze kunnen worden  uitgeoefend.

De vaststelling dat een verwerkingsverantwoordelijke, in casu de handelaar, zelf niet op de  hoogte is van hetgeen in zijn of haar privacyverklaring wordt gesteld, is net zoals voorgaande  inbreuken onrustwekkend.

Is dit onwetendheid of opnieuw het mooiste voorbeeld van een copy-paste-beleid die vele  ondernemingen toepassen als het over hun juridische teksten gaat, denk maar aan de  algemene voorwaarden.

Besluit.

In dit dossier is er niet enkel miskenning van de GDPR maar ook van andere wetgeving die opgesteld is om bescherming te bieden aan natuurlijke personen en hun identiteitsgegevens.

De GBA kon wegens schending van enkele van deze rechtsregels de zaak ook doorverwijzen naar het parket voor verder onderzoek met oog op strafrechtelijke vervolging, maar zij heeft geopteerd voor een administratieve sanctie van 10.000,00 EUR en een bevel tot aanpassing van de verwerking overeenkomstig de GDPR.

Wel toont deze beslissing aan dat de GBA volledig actief is, er geenszins voor terug deinst haar bevoegdheden uit te oefenen en zelfs een serieuze administratieve sanctie op te leggen.

De tijd dat ondernemingen lichtzinnig en straffeloos met de privacywetgeving omgingen dient met deze beslissing een einde te kennen.

Nogmaals is het toepasselijk om de Voorzitter van Gegevensbeschermingsautoriteit, David Stevens, te citeren “Tijd van sit back and relax over GDPR is voorbij”.

Wenst u meer informatie over de GDPR en/of het handhavingsbeleid , aarzel niet om ons te contacteren, maarten.verhaghe@vdvadvocaten.be of maarten.verhaghe@vdv-ilaw.com