Identiteitskaart gebruikt om een klantenkaart aan te maken? Dat is dan 10.000 € boete…

Op 17 september 2019 legde de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit een boete van 10.000 € op aan een onderneming die haar  klanten verplichtte hun elektronische identiteitskaart (hierna: eID) te laten inlezen om een klantenkaart te kunnen krijgen. Een alternatief – zoals het schriftelijk bezorgen van de relevante persoonsgegevens, wat de klager had voorgesteld – was er niet. Wie zijn identiteitskaart niet wilde laten inlezen, kreeg dus geen klantenkaart.

De Geschillenkamer stelde drie inbreuken vast, waarvan wij hierna de twee belangrijkste bespreken.

1. Geen minimale gegevensverwerking of dataminimalisatie

Volgens dit basisbeginsel mag je niet méér gegevens verwerken dan nodig voor het doel waarvoor zij worden verwerkt.

De onderneming in kwestie verwerkte de volgende gegevens: naam, voornamen, adres, geboortedatum, geslacht, vanaf wanneer de betrokkene klant is, het bedrag van de aankopen, en het rijksregisternummer om de klant terug te vinden in het klantenbestand.

De Geschillenkamer oordeelde dat het gebruik van het rijksregisternummer (in de barcode van de eID) in strijd was met de verplichte dataminimalisatie want ‘niet ter zake dienend’.

We herinneren eraan dat het gebruik van het rijksregisternummer in beginsel verboden is, tenzij je een voorafgaande machtiging bekwam. Zo’n machtiging kan enkel verleend worden aan een openbare of private instelling van Belgisch recht, die het rijksregisternummer nodig heeft voor het vervullen van taken van algemeen belang. Aangezien een dergelijk belang hier niet aanwezig is, mag de eID van klanten niet gebruikt worden als spaar- of getrouwheidskaart, zelfs niet mét toestemming van de klant.

Daarnaast vond de Geschillenkamer ook het gebruik van geslacht en geboortedatum in strijd met het beginsel van dataminimalisatie. Dat oordeel gold voor het concrete dossier en mag dus niet veralgemeend worden. Zoals de Geschillenkamer zelf ook laat uitschijnen, kan het gebruik van een geboortedatum bijvoorbeeld wel relevant/rechtmatig zijn voor het controleren van de minimumleeftijd voor alcoholverkoop.

2. Onrechtmatigheid van de verwerking

Voor de verwerking van persoonsgegevens is steeds een rechtsgrond vereist (doorgaans: wettelijke verplichting, uitvoering overeenkomst, toestemming, rechtmatig belang). Wanneer beroep wordt gedaan op de rechtsgrond ‘toestemming’, dient deze vrij, specifiek, geïnformeerd én ondubbelzinnig te zijn.

Van een vrije toestemming was hier volgens de Geschillenkamer geen sprake. De klant had immers geen werkelijke vrije keuze: indien hij weigerde om zijn eID te laten inlezen, kreeg hij geen klantenkaart. Een alternatief systeem zonder gebruik van zijn eID, waarbij de klant toch dezelfde voordelen kon genieten, was er niet. Aangezien niet toestemmen voor de klant impliceerde dat hij nadeel ondervond, zou hij zich gedwongen – en dus niet vrij – voelen om zijn toestemming te geven.

Conclusie

Dat de onderneming een fundamenteel beginsel (dataminimalisatie) had geschonden en geen énkele geldige rechtsgrond meer had voor de gegevensverwerking, bestempelde de Geschillenkamer als ‘een grove nalatigheid met een verregaande impact niet alleen op de gegevensverwerking van de klager, maar op deze van alle klanten’. Een geldboete van 10.000 € werd rechtvaardig geacht.

GDPR is geen ‘ver van mijn bed-show’ (meer): zorg dat u in orde bent met de algemene principes van GDPR want het wordt stilaan zeker dat wie niet horen wil, zal voelen in de vorm van een geldboete.