De Gegevensbeschermingsautoriteit sanctioneert een handelaar voor het disproportionele gebruik van de eID om een klantenkaart aan te maken

Geschreven door , Gegevensbeschermingsautoriteit, www.gegevensbeschermingsautoriteit.be

De Autoriteit bestraft een handelaar die als enig middel voor de aanmaak van een klantenkaart, de lezing van de elektronische identiteitskaart voorstelt. De opgelegde administratieve boete bedraagt € 10.000. De elektronische identiteitskaart bevat een grote hoeveelheid gegevens over de houder en het gebruik van deze gegevens wordt, zonder geldige toestemming van de klant, onevenredig geacht met de aangeboden dienst.

 

Uiteenzetting van de feiten: Lezing van de eID in ruil voor een klantenkaart

De GBA ontving een klacht over het gebruik van de elektronische identiteitskaart (eID) door een handelaar voor het verlenen van een commerciële dienst, namelijk de aanmaak van een klantenkaart. Omdat de klager zijn identiteitskaart niet wilde tonen, werd de klantenkaart geweigerd, hoewel hij aanbood zijn gegevens schriftelijk aan de handelaar te sturen om van een klantenkaart te kunnen genieten. De Geschillenkamer van de GBA beoordeelde deze praktijk om verschillende redenen als niet in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

Niet naleven van het beginsel minimale gegevensverwerking

Het beginsel van de minimale gegevensverwerking is een belangrijk beginsel in de AVG, dat vereist dat de verwerkingsverantwoordelijke de hoeveelheid verzamelde persoonsgegevens en de opslagperiode beperkt tot wat strikt noodzakelijk is voor het nagestreefde doel.

Om de klantenkaart aan te maken, eist de handelaar de gegevens te lezen op de eID, zoals naam, voornaam, adres, enz., maar ook de foto en de barcode die gekoppeld is aan het Rijksregisternummer. De Geschillenkamer herinnert eraan dat het Rijksregisternummer een gegeven is dat onderworpen is aan strikte regels voor de raadpleging en het gebruik ervan.

De Geschillenkamer is daarom van mening dat de lezing en het gebruik van de alle gegevens van de elektronische identiteitskaart in een commerciële context disproportionele verwerkingen zijn en niet in verhouding staan tot het doel om een klantenkaart aan te maken.

►Lees ook: Data processing agreements: tips & tricks

Geen geldige toestemming

Om rechtmatig te zijn, moet de verwerking van persoonsgegevens gebaseerd zijn op één van de zes rechtsgrondslagen van de AVG. De handelaar beroept zich op de toestemming als rechtsgrond om de verwerking van de gegevens van de eID te rechtvaardigen, maar de Geschillenkamer betwist de geldigheid van deze rechtsgrond.

Om geldig te zijn moet een toestemming vrij, specifiek en geïnformeerd zijn. De Geschillenkamer is van mening dat de toestemming die in dit geval is gegeven, niet als een vrije toestemming kan worden beschouwd, omdat aan de klant geen ander alternatief wordt geboden. Als de klant weigert zijn elektronische identiteitskaart te laten gebruiken voor de aanmaak van een klantenkaart, wordt hij daardoor benadeeld en kan hij niet genieten van de voordelen en kortingen omdat hem geen alternatief wordt aangeboden.

Hielke Hijmans, Voorzitter van de Geschillenkamer legt uit: "Bedrijven of handelaars moeten bewuster omgaan met persoonsgegevens wanneer zij allerlei persoonsgegevens opvragen voor een dienstverlening, zeker als dit gebeurt zonder geldige toestemming van de klant. De AVG voorziet in principes en verplichtingen die als leidraad moeten dienen om persoonsgegevens op een correcte wijze te verwerken".

Sancties

Gezien de niet-naleving van het beginsel van minimale gegevensverwerking en het ontbreken van een geldige rechtsgrond, besluit de Geschillenkamer de handelaar te gelasten te voldoen aan de vereisten van de AVG en een administratieve boete van 10.000 euro op te leggen.

"Het gebruik van elektronische identiteitskaarten als klantenkaart is een gangbare praktijk. Echter, de toegang tot veel persoonsgegevens is krachtens de AVG niet toegestaan als deze niet strikt noodzakelijk zijn voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De Geschillenkamer beschouwt dit als een ernstige inbreuk en legt daarom een boete op", besluit Hielke Hijmans, Voorzitter van de Geschillenkamer.

David Stevens, Voorzitter van de GBA: "Deze beslissing is een belangrijke nieuwe bouwsteen op de weg naar een betere bescherming van de privacy van onze burgers".