Boete voor inlezen eID-kaart voor klantenkaart vernietigd

Author info

Op onze blog berichtten we al eerder dat de GBA een geldboete van 10.000 EUR aan een handelaar had opgelegd voor het inlezen van de elektronische identiteitskaart (eID) voor het aanmaken van een klantenkaart. Een klant had een klacht ingediend bij de GBA omdat haar twee keer en in verschillende vestigingen van de handelaar een klantenkaart werd geweigerd. Zij wou haar e-ID niet laten inlezen door de kassabediende en diende een klacht in bij de GBA. Het Marktenhof stelt de handelaar echter in het gelijk. Een korte toelichting.

1. De klacht en de bestreden beslissing van de GBA

1.1. Waarover ging de oorspronkelijke klacht?

De handelaar, een drankenhandel met drie vestigingen in België, schakelde in 2018 van een papieren klantenkaart om voordelen toe te kennen over naar een elektronisch kassasysteem. Het nieuwe kassasysteem liet toe om de barcode op de achterkant van de eID in te scannen om voordelen op de aankopen toe te kennen

Een klant, een 51-jarige anonieme vrouw, ging echter niet akkoord met het scannen van haar eID. Zij wou wel de nodige gegevens om een klantenkaart aan te maken op papier zetten, maar dat werd niet aanvaard door de drankenhandel. 

De vrouw diende op 28 augustus 2018 een klacht in bij de GBA. 

1.2. Wat oordeelde de GBA?

Op basis van het inspectieverslag van de Inspectiedienst legde de Geschillenkamer bij beslissing 06/2019 van 17 september 2019 een administratieve geldboete van 10.000 EUR op aan de drankenhandel voor inbreuken op:

  • het beginsel van minimale gegevensverwerking (art. 5.1.c) AVG): de GBA oordeelde dat het rijksregisternummer niet ter zake dienend was. Bovendien is het gebruik van het rijksregisternummer via de barcode van de eID om klanten terug te vinden in een klantenbestand onderworpen aan de eID-wetgeving. Daarnaast waren ook de gegevens ‘geslacht’ en ‘geboortedatum’ niet ter zake dienend; en
  • het beginsel van de rechtmatigheid van de verwerking (art. 6.1 AVG): de toestemming voor het inlezen van de eID zou niet vrij gegeven zijn omdat er geen alternatief voorhanden was. Er was ook geen andere rechtsgrond toepasselijk volgens de GBA; en 
  • de informatieverplichtingen (art. 13 AVG): de GBA oordeelde dat de informatieverstrekking aan de betrokkenen onvoldoende was.

2. Beroep bij het Marktenhof

De handelaar ging niet akkoord met het oordeel van de Geschillenkamer en stelde beroep in bij het Marktenhof in Brussel. Het Marktenhof zijn specifieke kamers voor marktzaken binnen het Brusselse hof van beroep. 

Het Marktenhof heeft een aantal exclusieve bevoegdheden waaronder het beroep tegen beslissingen van de geschillenkamer van de GBA. Artikel 108, §2 van de Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (“GBA-wet”) bepaalt het volgende:

Tegen de beslissingen van de geschillenkamer op grond van de artikelen 71 en 90 staat beroep open bij het Marktenhof die de zaak behandelt zoals in kort geding overeenkomstig de artikelen 1035 tot 1038, 1040 en 1041 van het Gerechtelijk Wetboek.

Het Marktenhof oordeelt steeds in eerste en laatste aanleg.

3. Marktenhof stelt drankenhandel in het gelijk

3.1. Minimale gegevensverwerking en toestemming

3.1.1. Nieuwe eID-wetgeving niet van toepassing

Voor een inbreuk op het beginsel van minimale gegevensverwerking mocht de Geschillenkamer zich volgens het Marktenhof niet baseren op de onwettige motieven van de Inspectiedienst. Die onwettige motieven waren de gewijzigde eID-wetgeving en Aanbeveling nr. 03/2011 over de eID. 

De nieuwe eID-wetgeving(artikel 6, §4 van de Wet van 19 juli 1991, zoals gewijzigd door artikel 27 van de Wet van 25 november 2018) vereist:

  • Toestemming van de houder: de vrije, specifieke en geïnformeerde toestemming van de houder van de eID voor het inlezen ervan, en
  • Het aanbieden van een alternatief: dat wanneer een voordeel of dienst aangeboden wordt aan een burger via zijn eID in het kader van een informaticatoepassing een alternatief dat het gebruik van de elektronische identiteitskaart niet vereist moet voorgesteld worden.

Het Marktenhof oordeelde echter dat er geen rekening mag worden gehouden met de nieuwe eID-wetgeving omdat deze pas in werking trad na datum van de klacht. De GBA mag deze wetgeving dus niet retroactief toepassen. Daarnaast hield het Marktenhof ook geen rekening met Aanbeveling nr. 03/2011 over het aanbieden van een alternatief omdat deze geen wettelijke kracht heeft.

3.1.2. Geen verwerking van ‘geslacht’ en ‘geboortedatum’

Volgens de Geschillenkamer was het verwerken van de gegevens ‘geslacht’ en ‘geboortedatum’ niet in overeenstemming met het beginsel van minimale gegevensverwerking omdat deze gegevens niet ter zake dienend zijn voor een klantenkaart. 

Het Marktenhof oordeelde echter dat er geen verwerking van de gegevens van de vrouw is gebeurd omdat zij had geweigerd om haar eID-kaart door de drankenhandel te laten inlezen. Volgens het Marktenhof toont de GBA dus geen daadwerkelijke inbreuk aan.

3.1.3. Onbewezen assumpties

Het Marktenhof stelt ook nog dat de Geschillenkamer zich bij haar beslissing had gebaseerd op een aantal onbewezen assumpties, namelijk:

  • Dat een klantenkaart van een drankenhandel niet zou gebruikt worden ter controle van het verbod van verkoop van alcohol aan minderjarigen;
  • Dat er een onbetwistbaar nadeel zou zijn door het feit dat de klant kortingen zou mislopen zonder klantenkaart. Dit vormt volgens het Marktenhof geen nadeel, omdat alleen een mogelijk extra voordeel verloren gaat. Volgens het Marktenhof zou dit anders zou zijn als de eID-kaart gevraagd zou worden om een wettelijk of contractueel recht te bekomen of te behouden, zoals het recht op garantie.

3.2. Informatieverstrekking

De Inspectiedienst had ook nog een aantal inbreuken vastgesteld op vlak van informatieverstrekking aan betrokkenen. De drankenhandel was bij het verstrekken van informatie tegenstrijdig of onduidelijk over de mededeling van gegevens aan derden, de rechtsgrond en de bewaartermijn. 

De drankenhandel gaf deze inbreuken toe en gaf aan dat er bijkomende maatregelen zouden worden genomen om de gegevensverwerking in overeenstemming te brengen met de AVG.

3.3. De sanctie is niet afdoende gemotiveerd en dus onwettig

Het Marktenhof oordeelde dat de opgelegde sanctie, een geldboete van 10.000 EUR, niet afdoende gemotiveerd was. De enkele vermelding dat de inbreuk betrekking heeft op een fundamenteel rechtsbeginsel van gegevensverwerking is niet voldoende. 

Volgens het Marktenhof zouden de onderstaande criteria moeten worden getoetst aan alle elementen uit het dossier bij het opleggen van een geldboete:

  • De ernst van de inbreuk,
  • De duur van de inbreuk,
  • De nodige afschrikkende werking om verdere inbreuken te voorkomen.

Aangezien de GBA geen richtsnoeren publiceert (zoals de boetebeleidsregels van de Nederlandse Autoriteit Persoonsgegevens) die voor iedereen toegankelijk zijn, moet volgens het Marktenhof minstens gemotiveerd worden waarom een minder vergaande sanctie dan het opleggen van een geldboete van 10.000 EUR niet van aard zou kunnen zijn om aan de inbreuken een einde te stellen.

Daarnaast stelt het Marktenhof dat de inbreukpleger kennis moet krijgen van de aard van de sanctie die wordt overwogen en de omvang ervan voordat hem een sanctie wordt opgelegd. Met andere woorden, de inbreukpleger moet gewaarschuwd worden met als doel nodeloos sanctioneren te vermijden en de gelengheid krijgen zich te verdedigen tegen de voorgestelde sanctie.

Het Marktenhof besluit dat de opgelegde geldboete onwettig was.  

4. Mag het inlezen van de eID-kaart nu?

Het arrest van het Marktenhof had betrekking op oude eID-wetgeving

Indien uw organisatie in het kader van een klantenkaart of een getrouwheidsprogramma gebruik maakt van de eID, is het aan te raden om rekening te houden met de wet- en regelgeving die nu van toepassing is, in het bijzonder de ondertussen gewijzigde eID-wetgeving.

Meer hierover leest u in een andere blog.

Update: het Hof van Cassatie heeft het arrest van het Marktenhof deels vernietigd op 7 oktober 2021. Uit het arrest volgt dat een betrokkene steeds het recht heeft om een klacht in te dienen bij de Gegevensbeschermingsautoriteit, ook als er van de klager geen persoonsgegevens worden verwerkt. Daarnaast stelde het Hof van Cassatie dat de beslissing niet naar recht was verantwoord omdat er geen onderzoek werd gedaan naar het vrije karakter van de toestemming.

Heeft u nog vragen over de elektronische identiteitskaart (eID) of over uw klantenkaart of getrouwheidsprogramma en de bijhorende verwerking van persoonsgegevens? Contacteer Timelex.