GDPR-schending: administratieve boete opgelegd

GDPR

Regelgeving

U kon er vorig jaar niet omheen: de inwerkingtreding van de GDPR (de General Data Protection Regulation). Deze Europese verordening bevat een set van regels die de privacy van burgers beter moet beschermen en hun rechten in verhouding tot (grote) bedrijven moet versterken.

De implementatie van deze regelgeving bleek echter geen sinecure te zijn en zal waarschijnlijk nog enige tijd in beslag nemen. Er gaan immers nog steeds misverstanden de ronde (bijvoorbeeld de bewering dat u voor alle gegevens die u verzamelt toestemming nodig zou hebben), alsook bevat de wet heel wat normen die verdere interpretatie door Rechtbanken of de toezichthoudende autoriteiten zullen vereisen. Ook de toezichthouder in ons land (de Gegevensbeschermingsautoriteit of de GBA) had enige tijd nodig om zich te organiseren, doch heeft inmiddels de eerste boetes uitgeschreven. De beslissingen van de GBA zullen heden een belangrijke bron van informatie worden om de GDPR regelgeving te interpreteren en te implementeren.

Casus

Recentelijk publiceerde de GBA een beslissing op haar website waaruit bleek dat de Geschillenkamer een boete had opgelegd aan een handelaar wegens schending van de GDPR. De zaak werd opgestart naar aanleiding van een klacht van een klant. De handelaar in kwestie stelde het verlenen van een commerciële dienst, meer bepaald de aanmaak van een klantenkaart, afhankelijk van het lezen van de elektronische identiteitskaart (eID) van de klant. De klant ging niet akkoord en stelde voor om de nodige gegevens schriftelijk te bezorgen aan de handelaar. De handelaar weigerde echter een klantenkaart af te leveren.

De Geschillenkamer stelde onder meer vast dat de handelaar het beginsel van de minimale gegevensverwerking had geschonden. Dit houdt in dat bedrijven enkel de gegevens van personen mogen verzamelen die noodzakelijk zijn om een bepaald (gerechtvaardigd) doel te bereiken. Bij het lezen van de eID bekomt de handelaar heel wat gegevens van de klant, zoals de naam, voornaam, adres, maar ook de foto en de barcode die gekoppeld is aan het Rijksregisternummer. De GBA oordeelde dat het lezen van de eID en het gebruik van de gegevens op de eID niet in verhouding staat tot het doel om een klantenkaart aan te maken. De handelaar dient niet al deze gegevens te bezitten om de betreffende dienst te verlenen. De Geschillenkamer wees er bovendien op dat het Rijksregisternummer een persoonsgegeven is die aan strikte regels is onderworpen voor raadpleging en gebruik ervan.

De les die hieruit moet worden getrokken voor bedrijven, is dat zij bij het verzamelen van persoonsgegevens zich steeds de vraag moeten stellen welke gegevens zij effectief nodig hebben om hun doel te bereiken. Het beginsel van de minimale gegevensverwerking is een belangrijk principe in de GDPR en schending ervan kan leiden tot sancties.

In deze zaak oordeelde de Geschillenkamer bovendien dat de handelaar geen geldige rechtsgrond had voor de gegevensverwerking. De handelaar had opgeworpen dat hij toestemming bekwam van zijn klanten voor het verwerken van hun gegevens op de eID. De Geschillenkamer veegde dit van tafel. Er kan in deze context geen sprake zijn van vrije toestemming, aangezien de klant geen enkel alternatief werd geboden. Als de klant zou weigeren zijn eID te laten lezen, dan kon hij geen klantenkaart bekomen en niet genieten van de voordelen en kortingen die aan een klantenkaart zijn verbonden.

De handelaar werd door de GBA een administratieve boete opgelegd van 10.000 EUR.

Vermijdbaar?

GDPR zit overal, bij elke uitwisseling van gegevens met derden zijn raakvlakken mogelijk en zelfs waarschijnlijk. Eens de GBA op kruissnelheid zal komen, ontsnapt er potentieel niemand meer aan haar boetes. En deze zijn niet van de poes. Overheden en grote bedrijven richten een eigen dienst op om zich in regel te stellen en te houden met GDPR. Voor het merendeel van de ondernemers is dit echter onbetaalbaar.

PC Advocaten biedt u een oplossing: Mr. Maxime Korber is na intense opleiding houder van van het getuigschrift ‘Certified DPO (GDPR)‘, in het Nederlands ‘Functionaris Gegevensbescherming (AGV)‘. Hij kan uw onderneming GDPR-gewijs doorlichten, adviseren en implementeren hoe u zich in regel kunt stellen. Voor grote of kleine vragen bel 056 323 097 of mail mk@pc-advocaten.be.

Deel dit op