Op 17 september 2019 legde de Gegevensbeschermingsautoriteit (hierna GBA) een boete van €10 000 op aan een drankenhandel die de eID van diens klanten inlas om een klantenkaart aan te maken. De boete werd opgelegd nadat een klant een klacht had ingediend omdat de drankenhandelaar tweemaal, in verschillende vestigingen, weigerde een klantenkaart aan te maken zonder het inlezen van de eID. Het Marktenhof heeft echter op 19 februari 2020 de drankenhandel in het gelijk gesteld en de beslissing van de GBA vernietigd. In wat volgt, schetsen we kort de klacht, de bestreden beslissing en het beroep bij het Marktenhof. We eindigen met een toelichting over het gebruik van de eID.
De oorspronkelijke klacht en de beslissing van de GBA
Enkele maanden voor het opleggen van de boete schakelde de drankenhandel in kwestie over op een nieuw kassasysteem, wat toeliet om over te stappen van een papieren klantenkaart naar een elektronische klantenkaart. Dit nieuwe kassasysteem liet eveneens toe om de barcode van de eID in te scannen en op die manier de aankopen van de klant te registreren. De drankenhandel kon op die manier een overzicht bijhouden van de aankopen van de klant en kon desgewenst een klantenvoordelen toekennen vanaf een bepaald aankoopbedrag.
De klant die de klacht indiende (hierna de betrokkene) wenste echter haar eID niet laten inlezen en verkoos om de nodige gegevens op papier neer te schrijven om zo de klantenkaart alsnog te kunnen aanmaken. De drankenhandel was hier echter niet mee akkoord en deelde aan de betrokkene mee dat hun werkwijze voor de aanmaak van een klantenkaart het inlezen van de eID is. Dit voorval herhaalde zich tweemaal, in een verschillend filiaal.
De betrokkene was niet akkoord met het tweemaal afwijzen van haar verzoek om de klantenkaart aan te maken, louter omdat ze haar eID niet wenste te laten inlezen. Ze diende op 28 augustus 2018 dan ook klacht in bij de GBA.
De Inspectiedienst van de GBA maakte een inspectieverslag op en maakte dit over aan de Geschillenkamer, die bij beslissing van 17 september 2019 een administratieve geldboete van €10 000 oplegde aan de drankenhandel.
Het inspectieverslag noteerde volgende inbreuken:
- Inbreuk op het beginsel van de minimale gegevensverwerking (art. 5.1.c) AVG): volgens de GBA was het rijksregisternummer een persoonsgegeven dat niet ter zake diende, alsook de gegevens ‘geslacht’ en ‘geboortedatum’. Daarnaast is het gebruik van de eID onderworpen aan de eID-wetgeving;
- inbreuk op het beginsel van de rechtmatigheid van de verwerking (art. 6.1 AVG): er was geen rechtsgrond voorhanden voor de desbetreffende verwerking, aangezien men zich volgens de GBA niet op de toestemming kon beroepen aangezien er geen alternatief beschikbaar was;
- inbreuk op de informatieverplichting (art. 13.1.c), 13.1.e) en art. 13.2.a) AVG): er werd aan de betrokkene onvoldoende informatie verstrekt en deze was ook niet steeds helder.
Drankenhandel stelt beroep in bij Marktenhof
De drankenhandel was het niet eens met de beslissing van de GBA en stelde beroep in bij het Marktenhof, dat exclusief bevoegd is voor het beroep tegen beslissingen van de geschillenkamer van de GBA (zie hiervoor art. 108, §2 van de GBA-wet) en dat steeds in eerste en laatste aanleg oordeelt.
De drankenhandel werd door het Marktenhof in het gelijk gesteld en dit om de volgende redenen:
- De GBA verwijst naar de nieuwe eID wetgeving die vereist dat het inlezen van de eID de toestemming van de houder vereist en dat wanneer aan de burger een voordeel of dienst wordt aangeboden via zijn eID, er een alternatief ter beschikking moet worden gesteld. Deze nieuwe eID wetgeving trad echter pas in werking op 23 december 2018, enkele maanden na het indienen van de klacht, en mocht niet retroactief worden toegepast door de GBA. Daarnaast verwijst de GBA ook naar de Aanbeveling nr. 03/2011 over de eID, maar aangezien deze geen wettelijke kracht heeft, aanvaardde het Marktenhof niet dat de GBA zich hierop beriep.
- De GBA stelt dat er een inbreuk werd gepleegd op het beginsel van de minimale gegevensverwerking omdat het geslacht en de geboortedatum worden gevraagd door de drankenhandel. De betrokkene had echter geweigerd om haar eID te laten inlezen, wat betekent dat deze persoonsgegevens niet werden verwerkt en er dus ook geen inbreuk plaatsvond en kan worden aangetoond.
- De GBA stelt dat de klantenkaart niet wordt gebruikt ter controle van het verbod van verkoop van alcohol aan minderjarigen en dat de betrokkene nadeel lijdt door het feit dat ze kortingen kan mislopen zonder klantenkaart. Dit zijn volgens het Marktenhof onbewezen assumpties. Dat de betrokkene geen klantenkaart heeft en dus mogelijks kortingen misloopt, is volgens het Hof geen nadeel maar louter het verloren gaan van een mogelijk extra voordeel.
- De GBA had enkele inbreuken vastgesteld met betrekking tot de informatieverstrekking, waarop de drankenhandel deze toegaf en aangaf bijkomende maatregelen te zullen treffen.
Het Marktenhof was van mening dat de opgelegde boete van €10 000 niet voldoende was gemotiveerd en dat de GBA zich had moeten laten leiden door de criteria van de ernst van de inbreuk, de duur van de inbreuk en de nodige afschrikwekkende werking om nieuwe inbreuken te voorkomen, maar “de GBA bepaalt evidenter wijze zelf welke sanctie volgens haar passend is”, zo stelt het Marktenhof. De GBA had op z’n minst moeten motiveren waarom het opleggen van een minder vergaande sanctie niet mogelijk was.
Het Marktenhof stelt ook nog dat een inbreukpleger voordat hij gesanctioneerd wordt kennis moet krijgen van de aard van de sanctie die de toezichthouder overweegt en van de omvang ervan (in het geval een geldboete wordt overwogen). Een inbreukpleger moet met andere woorden worden gewaarschuwd en moet de mogelijkheid krijgen zich te verdedigen vooraleer een sanctie wordt opgelegd en uitgevoerd.
De opgelegde geldboete is dan ook onwettig, zo besliste het Marktenhof.
Hoe zit het op vandaag met het inlezen van de eID?
Zoals hierboven al staat geschreven, is de wetgeving rond het gebruik van de eID recentelijk gewijzigd (de Wet van 19 juli 1991, zoals gewijzigd door artikel 27 van de Wet van 25 november 2018). Het valt dus te betwisten of het Marktenhof op dezelfde wijze zou oordelen vandaag.
De eID-wetgeving bepaalt dat er een onderscheid moet worden gemaakt tussen gevoeligere en minder gevoelige persoonsgegevens. Zo is het rijksregisternummer en de foto een persoonsgegeven dat als gevoeliger wordt beschouwd en deze mogen dan ook niet zomaar worden verwerkt: de verwerking moet expliciet bij wet, decreet of ordonnantie worden toegelaten. Andere minder gevoelige persoonsgegevens mogen worden verwerkt op voorwaarde dat dit in overeenstemming met de AVG gebeurt.
Daarnaast bepaalt de eID-wetgeving dat voor het gebruik van de eID de toestemming van de betrokkene vereist is. Deze toestemming moet voldoen aan de voorwaarden die de AVG bepaalt en moet dus vrij, specifiek en geïnformeerd zijn. Vrij betekent dat een betrokkene moet kunnen weigeren zonder hiervan een nadeel te ondervinden, wat impliceert dat een alternatief moet worden geboden.
Indien u gebruik wenst te maken van de eID van een betrokkene voor de aanmaak van een klantenkaart of voor het verlenen van een andere dienst, is het van belang om bovenstaande regelgeving op te volgen. Naast het vragen van de toestemming en het bieden van een alternatief is het ook van belang om het beginsel van de minimale gegevensverwerking steeds in het achterhoofd te houden.
Heeft u nog vragen met betrekking tot gegevensverwerking of het gebruik van de eID voor het aanbieden van bepaalde diensten? Contacteer ons.
