6 FAQ GBA over verzamelen contactgegevens in de horeca nav COVID-19

Geschreven door , Gegevensbeschermingsautoriteit, www.gegevensbeschermingsautoriteit.be
Foto: Janine    

Mag ik het formulier dat door de klanten moet ingevuld worden, uithangen aan mijn deur? 

Nee. De verwerkingsverantwoordelijke van de persoonsgegevens is gebonden aan een vertrouwelijkheidsplicht. Aldus moet hij de persoonsgegevens die hij verwerkt, beschermen tegen ongeoorloofde toegang. Door een lijst van de klanten en hun contactgegevens uit te hangen aan de deur of aan de balie van een gelegenheid kan iedereen de gegevens inkijken of zelfs kopiëren of nadien gebruiken. Dit is in strijd met de AVG.

Moet ik het standaardformulier van de FOD Economie gebruiken?

Nee. De besluiten bepalen niet welk(e) systeem(-emen) (manuele of elektronische) gebruikt mag/mogen of moet(en) worden om de contactgegevens van de klanten te verzamelen. De horeca-uitbaters hebben een zekere mate van vrijheid wat dat betreft.

In alle gevallen wordt het standaardformulier door de FOD enkel aangeboden als voorbeeld en moet het eventueel aangepast worden in functie van de specifieke situatie. 

Mag ik de contactgegevens verzamelen met behulp van elektronische systemen, bijvoorbeeld een app?

Ja. De besluiten voorzien niet welk(e) systeem(-emen) (manuele of elektronische) gebruikt mag/mogen of moet(en) worden om de contactgegevens van de klanten te verzamelen. De horeca-uitbaters hebben een zekere mate van vrijheid wat dat betreft.

Ongeacht het systeem dat gebruikt wordt, geldt dat, om wettelijk te zijn, de invoering en werking ervan in overeenstemming moeten zijn met de beginselen van de AVG. Elektronische systemen kunnen bijkomende verplichtingen met zich meebrengen voor de zaakvoerder die verantwoordelijk is voor de verwerking van de contactgegevens. Bij registratie via een app online moet men er bijvoorbeeld voor zorgen dat de regels betreffende de verzameling van gegevens via cookies nageleefd worden en dat er geen bijkomende persoonsgegevens over de gebruiker verzameld worden. De zaakvoerder moet er ook op toezien dat de leverancier van de app de gegevens niet verwerkt voor zijn eigen doeleinden of dat de gegevens werkelijk vernietigd worden na 14 dagen enz.

Volg op 20 oktober 2020 van 12 uur tot 14 uur het online seminar De gegevensbeschermingseffectbeoordeling (DPIA) – een stappenplan met Bastiaan BRUYNDONCKX en Liese KUYKEN

Mag ik de contactgegevens verzamelen met behulp van de eID?

De besluiten voorzien geen specifiek systeem voor het verzamelen van de contactgegevens. Een verzamelsysteem via eID is dus niet nadrukkelijk verboden. Het is echter niet mogelijk om het lezen van de eID te verplichten om de contactgegevens te verzamelen. De klant moet een alternatief systeem geboden worden.

Zelfs indien de zaakvoerder dit alternatief voorziet, moeten andere beperkingen in verband met de beginselen van de AVG in aanmerking worden genomen.

De verwerkingsverantwoordelijke die de eID wil lezen om de contactgegevens te verzamelen, moet dus een andere wettelijke basis hebben om zijn verwerking te kunnen doen, zoals toestemming. Om geldig te zijn, moet deze voldoen aan alle voorwaarden van de AVG, meer bepaald moet ze specifiek zijn en geïnformeerd en vrij gegeven zijn.

De identiteitskaarten bevatten tal van gegevens die niet verzameld mogen worden in het kader van de besluiten die voorzien in de verzameling van contactgegevens (zoals bijvoorbeeld het fysieke adres). De uitbater moet zich er dus van vergewissen dat vanuit technisch oogpunt enkel de strikt noodzakelijke gegevens op de identiteitskaart gelezen worden. De enige gegevens die in dit verband als noodzakelijk kunnen worden beschouwd zijn de naam en voornaam. Nochtans voorzien de besluiten niet in de verplichting om ze te verzamelen, waardoor het vrijblijvende karakter van de verzameling van deze gegevens benadrukt moet worden. We merken ook op dat noch het telefoonnummer, noch het e-mailadres, die essentiële gegevens zijn voor het doel dat hier beoogd wordt, op de eID staan. Dit doet vragen rijzen over de noodzaak en doeltreffendheid van dit middel aangezien de essentiële contactgegevens, de enige waarin de besluiten voorzien, niet op de identiteitskaart staan en afzonderlijk genoteerd moeten worden.

Voor meer informatie over het lezen van de eID, raadpleeg ons themadossier.

Mogen de verzamelde contactgegevens gebruikt worden voor een ander doel dan contactopsporing in het kader van de strijd tegen Covid-19?

De ministeriële besluiten van 30 juni en 28 juli 2020 bepalen dat deze gegevens “mogen enkel worden gebruikt voor de doeleinden van de strijd tegen COVID-19”, wat laat doorschemeren dat ze door bepaalde autoriteiten hergebruikt zouden mogen worden voor andere doeleinden dan contactopsporing; deze doeleinden zijn jammer genoeg niet gespecificeerd in de besluiten.

De zaakvoerders die verplicht zijn om de contactgegevens van hun klanten te verzamelen, mogen de gegevens die verkregen werden om te voldoen aan deze wettelijke verplichting niet gebruiken voor een ander doel. Zo mogen ze bijvoorbeeld geen bericht sturen naar het e-mailadres dat de klant heeft opgegeven met het oog op de verplichte verzameling van zijn contactgegevens in het kader van de strijd tegen Covid-19 om te vragen of de maaltijd hem is bevallen, of hij wenst terug te keren en of hij zich wil abonneren op de nieuwsbrief. Deze gegevens mogen in geen geval toegevoegd worden aan de databank van klanten en potentiële klanten van de gelegenheid en ook niet meegedeeld mogen worden aan andere ondernemingen.

Op de vraag of deze gegevens doorgegeven zouden mogen worden aan autoriteiten die de bevoegdheid hebben om onderzoek te verrichten, waaronder de verplichte verstrekking van documenten en informatie (bijvoorbeeld in het kader van strafonderzoeken naar aanleiding van feiten die zich hebben voorgedaan in de gelegenheden), lijkt het antwoord ons positief voor zover deze bevoegdheden zijn ingesteld door hogere normen dan voornoemde besluiten (die erin voorzien dat deze gegevens enkel gebruikt mogen worden door de strijd tegen COVID-19).

►Lees ook: FAQ European Data Protection Board on Schrems II

Moet ik als zaakvoerder van een gelegenheid die onderworpen is aan de verplichting om contactgegevens te verzamelen, controleren of de door de klant verstrekte gegevens correct zijn? 

Nee. De AVG voorziet normaal dat de verwerkte gegevens inderdaad correct moeten zijn, doch de besluiten vermelden niet of (en, zo ja, hoe) de horeca-uitbaters zich moeten vergewissen van de juistheid van de gegevens die door hun klanten verstrekt worden. Men kan er dus van uitgaan dat de controle op de juistheid van de door de klanten verstrekte gegevens in dit geval niet verwacht wordt (en dus niet toegelaten is).