Wat u moet weten.

Zowel de Belgische Gegevensbeschermingsautoriteit (“GBA”) als het Belgische Marktenhof hebben zich reeds uitgesproken over het gebruik van de elektronische identiteitskaart (“eID”) voor het aanmaken van een klantenkaart die klanten recht geeft op kortingen. In een recent arrest draagt ook het Belgische Hof van Cassatie nu zijn steentje bij aan deze zaak. De desbetreffende zaak bevat interessante inzichten inzake de rechten van betrokkenen, het beginsel van minimale gegevensverwerking en de vrije toestemming die wellicht ook buiten België relevant zijn.

Zo stelt het Hof van Cassatie dat de betrokkenen hun rechten (bijv. het recht op minimale gegevensverwerking) kunnen doen gelden zelfs wanneer hun persoonsgegevens niet werden verwerkt. Indien een betrokkene net omwille van een vermeende inbreuk zijn of haar toestemming (en dus de verwerking) weigert, en daardoor een voordeel of dienst niet heeft verkregen, kan er met andere woorden nog steeds sprake zijn van een inbreuk op de AVG wanneer de toezichthoudende autoriteit na onderzoek vaststelt dat de praktijk daadwerkelijk een inbreuk vormt. Volgens het Hof wordt de AVG wel degelijk geschonden, wanneer de betrokkenen verplicht worden om persoonsgegevens te laten verwerken volgens een inbreukmakende praktijk opdat zij van een voordeel of dienst kunnen genieten. Op basis van een recente beslissing, lijkt de GBA deze rechtspraak niet toe te passen indien er wel degelijk een andere mogelijkheid bestaat om de dienst te gebruiken, die geen inbreuk vormt op de AVG. In dat geval oordeelde de GBA dat de betrokkene alsnog geen belang had en heeft zij daarom de klacht geseponeerd.

Verder nuanceert het Hof van Cassatie het standpunt van het Marktenhof over het begrip ‘vrije’ toestemming. Het Marktenhof leek te stellen dat het mislopen van een mogelijk extra voordeel (i.e. de kortingen) nooit als een nadelig gevolg kon worden beschouwd. Dat zou volgens het Marktenhof anders zijn wanneer de toestemming gekoppeld wordt aan het bekomen of behouden van een wettelijk of contractueel recht (bijv. het recht op garantie). Het Hof van Cassatie stelt dat het verlies van een voordeel of dienst bij weigering van toestemming wel degelijk kan leiden tot een toestemming die niet vrij is gegeven. Het Marktenhof dient dit opnieuw in concreto na te gaan.

Wat u moet doen.

Indien een betrokkene van mening is dat hij of zij niet vrij kan instemmen met de verwerking, bijvoorbeeld omdat uw onderneming de beginselen van minimale gegevensverwerking of integriteit en vertrouwelijkheid niet respecteert, heeft hij of zij het recht om een klacht in te dienen bij de bevoegde gegevensbeschermingsautoriteit. Een effectieve verwerking van zijn persoonsgegevens is niet vereist om een daadwerkelijk belang aan te tonen bij het indienen van de klacht, maar het weigeren van de verwerking moet wel op zijn persoonsgegevens betrekking hebben en moet tot gevolg hebben dat hij de dienst of het voordeel niet kan genieten.

Indien uw onderneming gebruikt wenst te maken van de eID als klantenkaart, moet u het beginsel van minimale gegevensverwerking in acht nemen. Alleen de persoonsgegevens die effectief nodig zijn voor het aanmaken en beheer van de klantenkaart, mogen worden uitgelezen. Let specifiek op voor het uitlezen van het rijksregisternummer, de afbeelding en de vingerafdrukken. Het verwerken van deze data is aan strikte voorwaarden onderworpen.

Om hun rechten die voortvloeien uit het beginsel van minimale gegevensverwerking te kunnen uitoefenen, is het noodzakelijk dat de betrokkenen weten welke persoonsgegevens er precies voor welke doeleinden worden gebruikt, hoelang deze worden bewaard en aan wie zij mogelijk worden doorgegeven. Het correct opnemen van deze informatie in uw privacyverklaring en het toegankelijk maken van dit document voorafgaand aan de verwerking, is uiterst belangrijk.

In België mag de eID voor het gebruik van een klantenkaart enkel gelezen of gebruikt worden met de vrije, specifieke en geïnformeerde toestemming van de houder ervan. Daarnaast is het ook verplicht om voor een alternatief te zorgen. Zo kan u bijvoorbeeld voor de aanmaak van uw klantenkaarten ook voorzien in een procedure voor de handmatige registratie van de klantengegevens, waarover u de betrokkenen ook voldoende duidelijk moet informeren.

Tot slot, indien u kortingen verbindt aan het gebruik van een klantenkaart (en de hiermee gepaard gaande verwerking van persoonsgegevens), is het aangewezen om te onderzoeken (en te documenteren) dat het verlies van zulke kortingen indien een betrokkene geen persoonsgegevens wenst te delen, geen “nadelig gevolg” met zich meebrengt. Ook de EDPB bevestigt dat de AVG niet elke stimulans verbiedt om toestemming te verkrijgen, maar wel dat het aan uw onderneming is om aan te tonen dat toestemming onder alle omstandigheden vrijelijk is verleend.

We kijken alvast uit naar het arrest van het Marktenhof dat zij nu in de plaats moet stellen van het door het Hof van Cassatie vernietigde arrest. We houden u hieromtrent op de hoogte.