De Gegevensbeschermingsautoriteit (GBA) heeft een boete van € 10.000 opgelegd aan een handelaar die voor de aanmaak van een klantenkaart, de elektronische identiteitskaart (eID) van zijn klanten eiste. Aangezien een privacybewuste klant zijn eID weigerde voor te leggen, weigerde de handelaar op zijn beurt een klantenkaart te geven, hoewel de klant nog aanbood om zijn gegevens schriftelijk voor te leggen. Gevolg: een klacht bij de GBA met een geldboete tot gevolg. Mr. Franklin vat de beslissing voor u samen.
Schending van het beginsel van minimale gegevensverwerking
Een van de essentiële beginselen van de GDPR, is dat de verwerking van persoonsgegevens moet beperkt zijn tot wat strikt noodzakelijk is voor het nagestreefde doel (beginsel van minimale gegevensverwerking). Hier knelt onmiddellijk het eerste schoentje bij de handelaar in kwestie. Een ID-kaart bevat erg veel persoonsgegevens en voor de aanmaak van een klantenkaart niet alle gegevens nodig die op je eID staan. De GBA tilt het zwaarst aan de verwerking van de foto en de barcode waarin het rijksregisternummer is opgenomen. Het verwerken van het rijksregisternummer is in de regel verboden. Maar ook het verwerken van het geslacht en de geboortedatum ziet de GBA als disproportioneel met het principe van minimale gegevensverwerking.
De verwerking was niet rechtmatig
Het tweede schoentje knelt bij de rechtmatigheid van de verwerking. Om persoonsgegevens conform de GDPR te verwerken, moet de verwerkingsverantwoordelijk zich altijd op een van de zes wettelijke grondslagen kunnen beroepen.
De handelaar in kwestie beriep zich op de toestemming van zijn klanten. Hiermee is de kous echter niet af: toestemming is pas geldig als ze vrij, specifiek en geïnformeerd is. In dit geval is er volgens de GBA helemaal geen sprake van een vrije toestemming, omdat de klanten geen alternatief aangeboden kregen om bij de handelaar in kwestie een klantenkaart te verkrijgen. Hierdoor dwingt de handelaar zijn klanten als het ware om toch hun eID voor te leggen, aangezien ze anders bepaalde klantenvoordelen zouden missen. De GBA heeft aanvullend onderzocht of deze verwerking toch zou kunnen slagen op basis van de gerechtvaardigde belangen van de handelaar. Hierbij moet het belang van de onderneming doorwegen op de belangen van de betrokkene. Het inlezen van een eID kaart en de daaraan gekoppelde verwerking van al deze gegevens.
Geldboete
Op basis van deze overwegingen heeft de GBA een geldboete van 10.000 € opgelegd aan de betrokken handelaar. De GBA onderstreept hierbij de grove nalatigheid van de handelaar en de verregaande impact op de klanten.
Besluit
Het gebruik van elektronische identiteitskaarten als klantenkaart is een gangbare praktijk. Echter, de toegang tot veel persoonsgegevens is krachtens de GDPR niet toegestaan als deze niet strikt noodzakelijk zijn voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De GBA beschouwt dit als een ernstige inbreuk en legt daarom een boete op van 10.000 euro aan de handelaar. De belangrijkste les uit deze zaak is dan ook om een ID kaart enkel op te vragen als je deze effectief nodig hebt voor jouw verwerkingsdoel.
Mr. Franklin heeft een grote expertise in het begeleiden van start-ups en scale-ups als juridische en strategische partner. Meer weten over de juridische verplichtingen van een vennootschap? Neem vrijblijvend contact met ons op.
Comments