Een handelaar bood het aanmaken van een klantenkaart enkel aan door het inlezen van de identiteitskaart van klanten. Indien de klant geen identiteitskaart wenste te gebruiken, was het niet mogelijk om een klantenkaart aan te maken.
Context
Een drankenhandelaar weigert een klantenkaart aan te maken bij gebreke aan het mogen inlezen van een identiteitskaart
Rechtsgrond
Artikel 5.1.c) GDPR: “Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking).”
Artikel 6.1 a) GDPR: “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.”
Artikel 4.11) GDPR: ““toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”
Artikel 13.1. c) en e): “Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; e) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.”
Artikel 13.2.a) GDPR: “Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn.”
Feiten
In deze zaak kaart de klant de aanmaak van een klantenkaart aan die gebeurt door het inlezen van een elektronische identiteitskaart. De klant zou geen klantenkaart kunnen krijgen zonder zijn elektronische identiteitskaart te overhandigen.
De Geschillenkamer baseert zijn oordeel vooral op de vaststellingen van de Inspectiedienst. De Inspectiedienst stelt vast dat de drankenhandelaar de verwerking van de persoonsgegevens voor de aanmaak van een klantenkaart uitsluitend baseert op de gegevens die beschikbaar zijn via de elektronische identiteitskaart, terwijl er geen alternatief voor handen is. Doordat men een barcode gebruikt om de klant terug te vinden in het klantenbestand is het verwerken van een rijksregisternummer totaal irrelevant en dus in strijd met het beginsel van minimale gegevensverwerking. De gegevens ‘geslacht en geboortedatum’ doen eveneens niet ter zake voor een klantenkaart. De inbreuk op artikel 5.1.c) GDPR is bijgevolg bewezen.
De algemene regel van de GDPR schrijft voor dat als een betrokkene geen werkelijke keuze heeft, zich gedwongen voelt om toestemming te geven of het voor hem negatieve gevolgen zal hebben als hij of zij niet toestemt, de toestemming niet geldig is.
Doordat in voorliggend geval de klant, en bij uitbreiding alle klanten, enkel van kortingen kunnen genieten door middel van hun elektronische identiteitskaart, en door de drankenhandelaar geen enkel alternatief wordt aangeboden voor de aanmaak van een klantenkaart teneinde van dit voordeel te kunnen genieten, is het duidelijk dat er geen sprake is van vrije toestemming. De inbreuk op artikel 6.1. GDPR is bijgevolg bewezen.
Op basis van het gebrek aan duidelijke informatieverstrekking aan de betrokkene (de klant), in het bijzonder op het vlak van de rechtsgrond en de bewaartermijn, wordt eveneens besloten tot inbreuk op de artikelen 13.1.c), 13.1. e) en 13.2. a) GDPR.
Uitspraak
Er werd bevolen dat de drankenhandelaar de verwerking in overeenstemming moet brengen met art. 5.1. c), art. 6.1., art. 13.1.c), art. 13.1. e) en 13.2. a) GDPR en een administratieve geldboete van € 10.000,00 werd opgelegd.
Onze mening
Het beginsel van minimale gegevensverwerking is één van de grondbeginselen uit de GDPR. Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het volledig inlezen van een identiteitskaart voor de aanmaak van een klantenkaart is een praktijk die niet strookt met het beginsel van minimale gegevensverwerking. Het is immers niet nodig om het geslacht of geboortedatum op een klantenkaart te vermelden. Om een klantenkaart aan te maken is het immers voldoende om enkel naam- en familienaam en eventueel een e-mailadres van de klant te vragen. Bovendien moet men steeds een alternatief aanbieden in geval een klant weigert zijn identiteitskaart te laten inlezen, zoals een klassiek invulformulier of een afstempelkaart.
Definitief?
Nee, deze beslissing werd eind 2019 voor het Marktenhof in Brussel aangevochten. Het Marktenhof is een specifieke kamer voor marktzaken binnen het Brusselse Hof van Beroep.
Artikel 108,§2 van de Wet tot oprichting van de Gegevensbeschermingsautoriteit geeft het Marktenhof de bevoegdheid om kennis te nemen van het beroep tegen beslissingen van de Geschillenkamer van de GBA: “Tegen de beslissingen van de geschillenkamer op grond van de artikelen 71 en 90 staat beroep open bij het Marktenhof die de zaak behandelt zoals in kort geding overeenkomstig de artikelen 1035 tot 1038, 1040 en 1041 van het Gerechtelijk Wetboek.”
De AVG vereist dat tegen de juridisch bindende beslissingen van de nationale toezichthoudende autoriteiten beroep openstaat bij rechterlijke instanties “volledige rechtsmacht [dienen] uit te oefenen waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het bij hen aanhangige geschil te onderzoeken”[1]
Het Marktenhof kan niet enkel de beslissingen van de GBA vernietigen, maar kan ook zijn eigen beslissing in de plaats stellen van de vernietigde beslissing binnen de grenzen van het gerechtelijke debat. M.a.w. beperkt tot de door de verzoekende partij aangevoerde gronden en de middelen van verdediging van de wederpartij. Zij kan desgevallend de sanctie vervangen door een andere sanctie.
Het Marktenhof had in haar arrest van 19 februari 2020 de beslissing van de GBA nietig verklaard omdat:
- de GBA haar beslissing onder meer had gesteund op de nieuwe eID-wetgeving die pas na de klacht in werking was getreden. Bijgevolg zou de GBA deze wetgeving niet retroactief mogen toepassen;
- de klager zijn identiteitskaart niet aan de handelaar had overhandigd en er bijgevolg geen persoonsgegevens werden verwerkt zodat er ook geen inbreuk kon zijn;
- de geldboete van € 10.000,00 onvoldoende gemotiveerd was.
Het Marktenhof stelde de handelaar dus in het gelijk.
Definitief?
Neen, het Hof van Cassatie vernietigde echter op haar beurt het arrest van het Marktenhof.[2] Zij besliste dat een betrokkene het recht heeft om klacht in te dienen, zelfs wanneer de persoonsgegevens van de betrokkene uiteindelijk zelf niet werden verwerkt omdat hij zijn toestemming niet heeft willen verlenen.
Besluit
Het Marktenhof zal dan ook een nieuwe beslissing in deze zaak moeten nemen. Tot op heden werd er nog geen nieuwe beslissing genomen door het Marktenhof waarbij zij uitspraak zal moeten doen die verenigbaar is met de principiële stelling van het Hof van Cassatie: “Door aldus niet na te gaan of de beslissing van de eiseres inzake de vrije toestemming met het inlezen van de elektronische identiteitskaart om kortingen te verkrijgen, correct was op grond van de artikelen 6.1, a), en 4, 11), AVG, namelijk of krachtens die rechtstreeks toepasselijke bepalingen een alternatief moest worden geboden voor het verkrijgen van kortingen waarbij, specifiek krachtens die bepalingen, het verlies van het voordeel van die kortingen bij weigering van toestemming ook een nadelig gevolg kan inhouden, en op die grond te oordelen dat een inbreuk op artikel 6, lid 1, a), AVG niet bewezen is, schenden de appelrechters de voormelde bepalingen. Het onderdeel is gegrond.”[3]
Integrale beslissing
[1] Zie preambule bij de AVG, overw. 143. Zie ook art. 78 AVG.
[2] https://www.gegevensbeschermingsautoriteit.be/burger/nieuws/2021/10/28/het-hof-van-cassatie-geeft-de-gba-gelijk-in-het-dossier-gebruik-van-de-eid-voor-de-aanmaak-van-een-klantenkaart
[3] Zie overweging (12) van het arrest van het Hof van Cassatie dd. 07 oktober 2021