Verwerken persoonsgegevens eID-kaart voor klantenkaarten (Loyens & Loeff)

Auteurs: Dorien Surinx en Stéphanie De Smedt (Loyens & Loeff)

Na het Marktenhof buigt ook het Hof van Cassatie zich over de verwerking van persoonsgegevens op de eID-kaart voor het aanmaken van een klantenkaart. Bij de beoordeling van het vrije karakter van toestemming dienen misgelopen kortingen in overweging genomen te worden, zo stelt het Hof. Daarnaast stelt zij ook dat de Gegevensbeschermingsautoriteit kan handelen naar aanleiding van een klacht van een betrokkene, ook al worden er geen persoonsgegevens van die betrokkene verwerkt.

Wat gaf aanleiding tot deze zaak?

Het arrest van het Hof van Cassatie is het slotstuk in het vraagstuk over de rechtmatigheid van de verwerking van de gegevens op de eID-kaart voor klantenkaarten met daaraan verbonden kortingen.

De initiële beslissing van de Gegevensbeschermingsautoriteit

De Gegevensbeschermingsautoriteit had op 17 december 2019 een boete van 10.000 EUR opgelegd aan een drankenhandel voor het onrechtmatig verwerken van gegevens op de eID-kaart. Zij deed dit naar aanleiding van een klacht van een klant die had geweigerd haar eID-kaart te laten inlezen. Doordat de onderneming in kwestie de barcode van de eID-kaart, met daarin vervat het rijksregisternummer, alsook geslacht en geboortedatum, verwerkte, voldeed zij volgens de Autoriteit niet aan het beginsel van minimale gegevensverwerking. Daarenboven was er volgens de Autoriteit geen rechtmatige verwerking bij gebrek aan vrije toestemming vanwege de betrokkene. De drankenhandel gaf immers enkel kortingen aan klanten die een klantenkaart lieten aanmaken, hetgeen enkel mogelijk was mits het uitlezen van de eID-kaart.

Het beroep bij het Marktenhof

De onderneming ging in beroep tegen de beslissing van de Gegevensbeschermingsautoriteit, waarna het Marktenhof zich op 19 februari 2020 uitsprak in het voordeel van de drankenhandel. Wij bespraken deze uitspraak reeds uitgebreid in een eerder artikel.

Het Marktenhof was van oordeel dat er geen inbreuk kon worden vastgesteld op de principes van minimale gegevensverwerking en rechtmatigheid, nu de gegevens van de betrokkene niet daadwerkelijk verwerkt werden en de Autoriteit zich baseerde op de nieuwe eID-wetgeving, die op het moment ven de feiten nog niet van toepassing was. Daarnaast gaf zij ook aan dat het mislopen van kortingen geen echt ‘nadeel’ oplevert, maar eerder een verlies is van een mogelijk extra voordeel. Dit zou impliceren dat er nog steeds vrije toestemming is, ook al loopt de betrokkene klantenkortingen mis wanneer zij zich verzet tegen het verwerken van haar gegevens in het kader van een klantenkaart.

Wat heeft het Hof van Cassatie beslist?

De Gegevensbeschermingsautoriteit ging op haar beurt in beroep tegen de omstreden beslissing van het Marktenhof. Het Hof van Cassatie deed op 7 oktober 2021 uitspraak en oordeelde ditmaal in het voordeel van de Autoriteit.

Het Hof van Cassatie sprak zich uit over twee belangrijke punten:

  • De bevoegdheid van de Gegevensbeschermingsautoriteit om inbreuken vast te stellen bij gebrek aan verwerking van de gegevens van de klagende partij; en
  • De vrije toestemming onder de AVG.

Op het eerste punt stelt het Hof van Cassatie dat een betrokkene steeds het recht heeft om een klacht in te dienen bij de Gegevensbeschermingsautoriteit, in het bijzonder op grond van de principes van minimale gegevensverwerking en rechtmatigheid, ook als zijn/haar persoonsgegevens zelf niet worden verwerkt maar hij/zij enkel een voordeel of dienst niet heeft verkregen net omdat hij/zij geen toestemming tot verwerking van persoonsgegevens wilde geven.

De Gegevensbeschermingsautoriteit kan dus een onderzoek starten en maatregelen nemen ten gevolge van een praktijk van een onderneming, ook al is deze ter kennis gebracht door een persoon wiens gegevens niet werden verwerkt. De rechten van deze persoon werden ten gevolge van deze praktijk immers negatief beïnvloed.

Interessant om op te merken hierbij is dat de Autoriteit ook kan handelen op eigen initiatief, wanneer er ernstige aanwijzingen zijn van een inbreuk. Zij kan dus ook opereren buiten klachten om en kan daarenboven naar aanleiding van een klacht haar onderzoek uitbreiden naar andere praktijken dan diegene die in de klacht worden vermeld.

Op het tweede punt stelde het Hof van Cassatie dat het Marktenhof haar beslissing niet naar recht verantwoorde door geen onderzoek te doen naar het vrije karakter van de toestemming, maar enkel te stellen dat er geen persoonsgegevens werden verwerkt, alsook aan te geven dat het verliezen van een korting geen nadeel is maar enkel het verlies van een extra voordeel, zonder de noodzaak tot een alternatief. Zij spreekt zich dus niet expliciet uit over de dunne lijn tussen een nadeel, enerzijds, en het verlies van een extra voordeel, anderzijds, bij het verkrijgen van een ‘vrije’ toestemming onder de AVG.

Wat betekent dit voor uw onderneming?

Indien u de eID-kaart van uw klanten wenst uit te lezen in het kader van klantenregistratie, klantenkaarten, loyaliteitsprogramma’s en kortingen dient u minstens de volgende punten in overweging te nemen:

  • Minimale gegevensverwerking: u dient enkel de noodzakelijke gegevens voor het vooropgestelde doel te verwerken, hetgeen wilt zeggen dat u zich dient te beperken tot gegevens die relevant zijn voor het aanmaken van klantenkaarten en verstrekken van kortingen en acties. De eID-kaart bevat een scala aan persoonsgegevens die kunnen worden uitgelezen, waaronder voornaam en naam, adres, nationaliteit, geboortedatum en -plaats, geslacht en rijksregisternummer. In het bijzonder de verwerking van het rijksregisternummer moet zoveel mogelijk worden vermeden.
  • Vrije toestemming: aangezien klantenkaarten kaderen binnen de commerciële doeleinden van een onderneming is de meest voor de hand liggende rechtsgrond voor de verwerking de toestemming. Echter, om te spreken van een vrije toestemming, mag de betrokkene geen nadeel ondervinden als gevolg van het niet geven of intrekken van zijn/haar toestemming. De afweging tussen een nadeel en een gemist extra voordeel is niet steeds makkelijk te maken. Het is niettemin aangewezen steeds een alternatief aan te bieden (bijv. steeds de mogelijkheid voorzien om de benodigde gegevens handmatig of via een formulier door te geven).
  • Toestemming voor marketingdoeleinden: wilt u de contactgegevens ook gebruiken in het kader van marketing doeleinden, zoals reclame via e-mail en nieuwsbrieven? Zorg er dan zeker voor dat u ook de specifieke, afzonderlijke toestemming van de klant hiervoor verkrijgt.
  • Informatieverplichting: tot slot, zorg er steeds voor dat de klant helder geïnformeerd wordt over welke gegevens er worden verwerkt, voor welke doelstellingen en op welke grondslag en dat hij/zij weet hoe en via welk kanaal hij/zij zijn/haar rechten kan uitoefenen en de gegeven toestemming kan intrekken.

Bron: Loyens & Loeff