De Gegevensbeschermingsautoriteit (“GBA”) begint langzaam doch zeker op toerental te geraken wat betreft de sanctionering op basis van de GDPR en gegevensbeschermingsregelgeving.
In mei 2019 werd er alvast voor het eerst een boete opgelegd.
De “gelukkige” was een burgemeester die een boete van 2.000,00 EUR diende te betalen wegens het niet naleven van het finaliteitsbeginsel.
Concreet werden er e-mailadressen – verkregen in het kader van een verkavelingswijziging – aangewend voor verkiezingsdoeleinden, waarvoor de betrokkenen geen toestemming hadden gegeven.
Ondertussen werden er ook nog een hele reeks andere interessante beslissingen van de Geschillenkamer van de GBA gepubliceerd, waarin verschillende sancties werden opgelegd (de geschillenkamer kan schikkingen voorstellen, bevelen geven tot naleving van concrete verplichtingen zoals bijvoorbeeld de rechten van betrokkenen, dwangsommen en administratieve boetes opleggen en verwerkingen bevriezen of verbieden).
Wij bespreken hieronder één van de recente beslissingen van de GBA, zodat u een inkijk krijgt op de redeneerwijze van de GBA en de concrete toepassing van enkele gegevensbeschermingsprincipes. Op die manier kan u hieruit zelf al enkele nuttige lessen trekken om gebeurlijke sancties van de GBA te voorkomen.
Beslissing m.b.t. een klacht wegens gebruik van de elektronische identiteitskaart (eID) voor de aanmaak van een klantenkaart dd. 17 september 2019
Samenvatting
De GBA legde in deze zaak een administratieve geldboete op van 10.000,00 EUR aan een onderneming die voor de aanmaak van klantenkaarten uitsluitend beroep deed op het uitlezen van de eID (elektronische identiteitskaart).
Een klant van de kwestieuze onderneming weigerde zijn eID te laten uitlezen en stelde voor zijn gegevens schriftelijk mee te delenmet het oog opde aanmaak van de klantenkaart. Dit werd echter geweigerd, hetgeen tot een klacht bij de GBA leidde. Deze gaf de klant gelijk en legde de onderneming een boete op, alsook het bevel om de verwerking van de gegevens in overeenstemming te brengen met de principes van de GDPR.
Toepasselijke rechten/principes
In deze zaak werd het principe van de ‘minimale gegevensverwerking’ geschonden. Dit principe houdt in dat gegevensverwerkers uitsluitend de persoonsgegevens mogen verwerken die zij werkelijk nodig hebben om het doel van de verwerking te bereiken, niets meer. Een verwerkingsverantwoordelijke (degene die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt) moet de persoonsgegevens die verwerkt worden m.a.w. tot het strikte minimum beperken. Hetzelfde geldt overigens voor de bewaartermijn van de verwerkte persoonsgegevens; deze moet eveneens tot het strikte minimum beperkt worden.
In de voorliggende zaak had de onderneming in kwestie dit principe geschonden door het uitlezen van de eID noodzakelijk te maken voor de aanmaak van een klantenkaart. Bij het uitlezen van de eID worden er immers inherent méér persoonsgegevens verwerkt dan strikt noodzakelijk voor de aanmaak van een klantenkaart, zoals bv. het rijksregisternummer (dat bovendien streng geregeld wordt in de gegevensbeschermingsregelgeving en in de regel niet in een commerciële context verwerkt mag worden).
Ook al gebruikt de onderneming het rijksregisternummer niet in de strikte zin van het woord, dan nog is er sprake van de verwerking ervan, gezien de eID kaart in zijn totaliteit (inclusief het rijksregisternummer) wordt uitgelezen en het rijksregisternummer als dusdanig eveneens geconsulteerd kan worden. Een ‘gedeeltelijke’ uitlezing van de eID is vooralsnog onmogelijk.
In die zin dient ook de (medegedeelde)finaliteit van de verwerkingsteeds in acht te worden genomen: wat wil je als onderneming precies met de persoonsgegevens doen (het ‘verwerkingsdoeleinde’)?
Indien men bv. enkel een korting wil geven wanneer de klant fysiek in de winkel langskomt, heeft men in principe enkel de naam mogen opvragen.
Wil men daarentegen bv. (digitale) kortingsbonnen opsturen, dan zal men ook het e-mailadres of de postadresgegevens nodig van de klant.
Het is belangrijk dat de concrete finaliteit van de verwerking steeds aan de klant wordt medegedeeld (“waarvoor gebruiken we jouw gegevens?”) en dat de gevraagde persoonsgegevens ook steeds aan die finaliteit zijn aangepast.
Zo komen we bij een ander belangrijk principe dat in deze zaak geschonden werd: hetprincipe van de vrije, ondubbelzinnige en geïnformeerde toestemming.
De klant moet precies kunnen weten welke persoonsgegevens van hem verwerkt worden en voor welke doeleinden vooraleer hij hiermee instemt: o.a. de verwerkingsgrond (bv. de toestemming van de klant), het doeleinde (bv. de aanmaak van een klantenkaart die in de winkel zelf gebruikt dient te worden) en de bewaartermijn van de verwerkte persoonsgegevens moeten voldoende duidelijk omschreven worden.
De privacyverklaring is hierbij alvast een belangrijk instrument.
Bovendien moet de toestemming steedsvrijzijn om geldig te kunnen zijn: de toestemming van de persoon waarvan de persoonsgegevens verwerkt worden, moet volledig vrij zijn van enige dwang.
In de voorliggende zaak kon de toestemming niet vrij gegeven worden aangezien aan de klant geen enkele andere keuze werd gelaten dan het inlezen van zijn eID, met het oog op de aanmaak van de klantenkaart.
Het voorstel van de klant om de noodzakelijke gegevens schriftelijk mede te delen werd namelijk geweigerd. Er kon m.a.w. geen vrije en bijgevolg geen geldige toestemming bestaan.
Bestaat er geen geldige toestemming en kan men ook op geen enkele andere rechtsgrond onder de GDPR een beroep doen, dan verwerkt men persoonsgegevens zonder geldige rechtsgrond, hetgeen een ernstige inbreuk uitmaakt op de gegevensbeschermingsregelgeving.
Wat moet u onthouden?
Bij de verwerking van persoonsgegevens, voor welk doeleinde dan ook, waarbij u de toestemming als rechtsgrond voor de verwerking heeft gekozen, moet u :
- het principe van de minimale gegevensverwerking en de finaliteit van de verwerking naleven: zijn de gevraagde en te verwerken persoonsgegevens in kwestie écht noodzakelijk voor het beoogde verwerkingsdoeleinde? Is er een minder verstrekkende optie?
- de vrije, specifieke en geïnformeerde toestemmingvan de betrokken persoon verkrijgen: heeft deze vooraf zijn toestemming voor de verwerking van de persoonsgegevens met het oog op het specifieke en vooraf gekende verwerkingsdoeleinde zonder enige dwang én met kennis van zaken gegeven?
Weet dat uw onderneming deze principes altijd in acht dient te nemen bij de verwerking van persoonsgegevens en neem hiertoe de noodzakelijke maatregelen. Een sluitende privacyverklaring is alvast steeds een cruciaal element in uw gegevensbeschermingsbeleid, alsook als onderdeel van een eenvoudige en transparante ‘onboarding’ procedure.
Twijfelt u nog ergens over? Aarzel dan niet om een GDPR specialist te consulteren.
Ons GDPR-team staat alvast voor al uw vragen klaar!