De Belgische Gegevensbeschermingsautoriteit legde de voorbije twee jaar erg weinig boetes op in vergelijking met haar collega’s in de buurlanden. Behalve twee kleinere boetes in een niet-commerciële context, legde ze eigenlijk maar één stevige boete op aan een commercieel bedrijf. Die ene boete werd recent vernietigd in beroep door het zogeheten “Marktenhof”, een speciale afdeling van het Hof van Beroep in Brussel dat bevoegd is voor beroepsprocedures tegen de GBA, het BIPT, de FSMA en andere marktregulatoren.
Terug naar af dus voor de Gegevensbeschermingsautoriteit en een serieuze slag ook voor GDPR compliance in het algemeen in België. Bedrijven dreigen meer nog dan voordien een gevoel van straffeloosheid te krijgen. Dat zou nochtans geen verstandig besluit zijn bij nader onderzoek van dit verhaal…
Klantenkaart aangemaakt op basis van identiteitskaart
In 2018 ontving de Gegevensbeschermingsautoriteit een klacht van een klant over een drankenhandel. De klager wilde een klantenkaart van de bewuste drankenhandel en om die klantenkaart te kunnen krijgen, werd zij verplicht om haar elektronische identiteitskaart te laten inlezen in het kassasysteem van de drankenhandel. De dame in kwestie wilde haar identiteitskaart echter niet elektronisch laten inlezen. Ze voelde dat aan als een inbreuk op haar privacy. In plaats daarvan stelde zij voor om de persoonsgegevens die nodig waren om een klantenkaart aan te maken gewoon op papier te schrijven. De drankenhandel weigerde dit en weigerde haar vervolgens eenvoudigweg de klantenkaart met de melding dat die alleen elektronisch aangemaakt kon worden.
We schreven eerder al uitgebreid over deze zaak, je kan het artikel hier raadplegen.
Waarom is dit in strijd met GDPR?
De GBA onderzocht vervolgens in 2019 de klacht van de dame en stelde drie inbreuken op de Algemene Verordening Gegevensbescherming vast, waarvoor zij een boete van 10.000 euro oplegde.
In de eerste plaats was volgens de GBA het beginsel van de “minimale gegevensverwerking” niet nageleefd. Dit stelt eenvoudigweg dat je niet meer gegevens mag verzamelen en verwerken dan je écht nodig hebt en dat je ze niet langer mag bewaren dan strikt noodzakelijk is. Om de klantenkaart aan te maken, las de drankenhandelaar in dit geval alle gegevens eID in, zoals naam, voornaam, adres, enz., maar ook de foto en de barcode die gekoppeld is aan het Rijksregisternummer. De GBA wees er in haar beslissing op dat het Rijksregisternummer een gegeven is dat onderworpen is aan strikte regels voor de raadpleging en het gebruik ervan en dat dat niet zomaar systematisch verzameld en verwerkt mag worden.
De GBA stelde bovendien vast dat de drankenhandel geen geldige toestemming verkreeg van haar klanten om al die gegevens elektronisch te verzamelen. Gegevens verwerken kan slechts op basis van een zeer beperkt aantal gronden. In dit geval baseerde de drankenhandel zich op de toestemming van zijn klanten (“mogen wij uw gegevens verzamelen in het kader van het beheer van uw klantenkaart?”. Probleem was echter dat zo’n toestemming “vrij” moet zijn, wat betekent dat klanten ook moeten kunnen kiezen om géén toestemming te geven om hun elektronische ID-kaart uit te lezen, maar in dat geval daarvoor niet afgestraft mogen worden door geen klantenkaart te krijgen. Met andere woorden, ook wie geen toestemming geeft om zijn ID-kaart uit te lezen, moet een klantenkaart kunnen krijgen en dat was hier niet het geval.
Deze beslissing van de GBA was in onze ogen in alle elementen logisch en een correcte toepassing van de basisbeginselen uit de GDPR. Het systematisch verzamelen van zoveel detailgegevens over klanten, inclusief het Rijksregisternummer, enkel en alleen maar voor marketingdoeleinden (in dit geval klantenbinding via een klantenkaart) kan op geen enkele manier verantwoord worden onder GDPR.
Vernietigd in beroep
Voor de Gegevensbeschermingsautoriteit was dit destijds een soort van voorbeeldzaak. De Voorzitter van de Geschillenkamer Hielke Hijmans, zei destijds op de website van de GBA: “Bedrijven of handelaars moeten bewuster omgaan met persoonsgegevens wanneer zij allerlei persoonsgegevens opvragen voor een dienstverlening, zeker als dit gebeurt zonder geldige toestemming van de klant. De AVG voorziet in principes en verplichtingen die als leidraad moeten dienen om persoonsgegevens op een correcte wijze te verwerken“. De Voorzitter van de GBA voegde daaraan toe: “Deze beslissing is een belangrijke nieuwe bouwsteen op de weg naar een betere bescherming van de privacy van onze burgers”
Voor de Gegevensbeschermingsautoriteit is het dan ook een ernstige stap achteruit om nu vast te stellen dat het Marktenhof deze beslissing in beroep heeft vernietigd.
Belangrijk om weten daarbij is dat het Marktenhof inhoudelijk de redenering van de GBA eigenlijk niet weerlegt. Het feit dat de drankenhandel in kwestie de beginselen van de AVG of GDPR niet gerespecteerd heeft, wordt niet betwist.
De ganse beslissing van het Marktenhof draait rond de wijze waarop de boete van de GBA tot stand kwam en de procedures die daarbij gevolgd werden. Zo stelt het Marktenhof vast dat de beslissing van de GBA slordig gemotiveerd was en dat de beschrijving van de feiten die in de beslissing gegeven werd, niet altijd helemaal overeenstemde met de stukken uit het dossier en met de feiten.
Het Marktenhof oordeelde ook dat het bedrag van de opgelegde boete (10.000) onvoldoende gemotiveerd werd door de Gegevensbeschermingautoriteit. De GBA bepaalt zelf welke sanctie zij oplegt, maar daarbij moet ze wel rekening houden met een aantal criteria, zoals “de ernst van de inbreuk; de duur van de inbreuk; de nodige afschrikkende werking om verdere inbreuken te voorkomen” en zij moet haar beslissing in het licht van die criteria motiveren en onderbouwen.
Bovendien, zegt het Marktenhof dat “De inbreukpleger moet voordat hem een sanctie wordt opgelegd kennis krijgen van de aard van sanctie die overwogen wordt en van de omvang ervan (in geval een geldboete overwogen wordt). De inbreukpleger moet gewaarschuwd warden (met als doel het nodeloos sanctioneren te vermijden) en de gelegenheid krijgen zich te verdedigen omtrent de door de Geschillenkamer voorgestelde bedragen van de boete, voordat de sanctie effectief wordt opgelegd en uitgevoerd“.
Wat moeten we hieruit onthouden?
Laat je niet misleiden door deze beslissing. Ze doet zoals gezegd geen enkele uitspraak over de grond van de zaak, waarover ook weinig discussie mogelijk is. Elke gegevensverzameling en -verwerking onder de AVG of GDPR moet proportioneel zijn en als je je op toestemming baseert moet die toestemming “vrij” gegeven zijn.
Wat wél blijkt uit deze beslissing is dat de GBA wellicht nog kampt met enkele -logische- groeipijnen. Dit was de eerste échte geldboete onder GDPR (met uitzondering van twee eerder anekdotische gevallen) en het is duidelijk dat de Geschillenkamer van de GBA nog moet groeien in haar rol. Toekomstige beslissingen zullen ongetwijfeld beter en preciezer gemotiveerd worden en dat betekent ook dat toekomstige inbreukplegers wellicht minder makkelijk de dans zullen ontspringen.
Wat we met andere woorden vooral moeten onthouden is dat er effectief controles zijn op het naleven van de GDPR en dat bij niet-naleving effectief boetes opgelegd worden, boetes die in de toekomst beter gemotiveerd zullen zijn en waar minder makkelijk aan ontsnapt zal kunnen worden. Deze beslissing zal de toekomstige werking van de GBA eerder versterken dan verzwakken in onze ogen.
Bereid je bedrijf dus tijdig voor door middel van een grondige GDPR compliance oefening en zorg zeker ook voor een grondige compliance oefening binnen je marketing departement.
