Handelaar veroordeeld tot boete van 10.000 € voor het opvragen van eID

allef-vinicius-468838-unsplash

De Gegevensbeschermingsautoriteit (GBA) heeft een boete van € 10.000 opgelegd aan een handelaar die voor de aanmaak van een klantenkaart, de elektronische identiteitskaart (eID) van zijn klanten eiste. Aangezien een privacybewuste klant zijn eID weigerde voor te leggen, weigerde de handelaar op zijn beurt een klantenkaart te geven, hoewel de klant nog aanbood om zijn gegevens schriftelijk voor te leggen. Gevolg: een klacht bij de GBA met een geldboete tot gevolg. Mr. Franklin vat de beslissing voor u samen.

Schending van het beginsel van minimale gegevensverwerking

Een van de essentiële beginselen van de GDPR, is dat de verwerking van persoonsgegevens moet beperkt zijn tot wat strikt noodzakelijk is voor het nagestreefde doel (beginsel van minimale gegevensverwerking).
Hier knelt onmiddellijk het eerste schoentje bij de handelaar in kwestie. Een ID-kaart bevat erg veel persoonsgegevens en voor de aanmaak van een klantenkaart niet alle gegevens nodig die op je eID staan. De GBA tilt het zwaarst aan de verwerking van de foto en de barcode waarin het rijksregisternummer is opgenomen. Het verwerken van het rijksregisternummer is in de regel verboden. Maar ook het verwerken van het geslacht en de geboortedatum ziet de GBA als disproportioneel met het principe van minimale gegevensverwerking.

De verwerking was niet rechtmatig

Het tweede schoentje knelt bij de rechtmatigheid van de verwerking. Om persoonsgegevens conform de GDPR te verwerken, moet de verwerkingsverantwoordelijk zich altijd op een van de zes wettelijke grondslagen kunnen beroepen.

De handelaar in kwestie beriep zich op de toestemming van zijn klanten. Hiermee is de kous echter niet af: toestemming is pas geldig als ze vrij, specifiek en geïnformeerd is. In dit geval is er volgens de GBA helemaal geen sprake van een vrije toestemming, omdat de klanten geen alternatief aangeboden kregen om bij de handelaar in kwestie een klantenkaart te verkrijgen. Hierdoor dwingt de handelaar zijn klanten als het ware om toch hun eID voor te leggen, aangezien ze anders bepaalde klantenvoordelen zouden missen.
De GBA heeft aanvullend onderzocht of deze verwerking toch zou kunnen slagen op basis van de gerechtvaardigde belangen van de handelaar. Hierbij moet het belang van de onderneming doorwegen op de belangen van de betrokkene. Het inlezen van een eID kaart en de daaraan gekoppelde verwerking van al deze gegevens

Geldboete

Op basis van deze overwegingen heeft de GBA een geldboete van 10.000 € opgelegd aan de betrokken handelaar. De GBA onderstreept hierbij de grove nalatigheid van de handelaar en de verregaande impact op de klanten.

Besluit

Het gebruik van elektronische identiteitskaarten als klantenkaart is een gangbare praktijk. Echter, de toegang tot veel persoonsgegevens is krachtens de GDPR niet toegestaan als deze niet strikt noodzakelijk zijn voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De De GBA beschouwt dit als een ernstige inbreuk en legt daarom een boete op van 10.000 euro aan de handelaar.
De belangrijkste les uit deze zaak is dan ook om een ID kaart enkel op te vragen als je deze effectief nodig hebt voor jouw verwerkingsdoel.

Related Posts

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.