Een ID-kaart vragen als klantenkaart is niet toegelaten volgens het Hof van Cassatie (Mr. Franklin)

Auteur: Arne Saerens (Mr. Franklin)

In 2019 legde de Gegevensbeschermingsautoriteit (GBA) na een klacht een boete van €10.000 op aan een drankenhandel omdat zij voor de aanmaak van een klantenkaart vereiste dat de elektronische identiteitskaart (eID) ingelezen werd. De drankenhandel ging echter in beroep tegen deze beslissing bij het Marktenhof, dat de GBA op kritische toon terugfloot. De GBA liet het hier echter niet bij en haalt bijna twee jaar na het opleggen van de boete voor het Hof van Cassatie alsnog haar gelijk. Wij vatten hieronder de kernpunten samen.

De initiële beslissing

De GBA legde destijds een sanctie op aan de drankenhandel omdat het verplichte gebruik van de eID voor de aanmaak van een klantenkaart impliceerde dat talrijke hierin opgenomen gegevens van klanten werden verwerkt, met name hun (voor)naam en adres, leeftijd, geslacht, foto en de barcode waarin het Rijksregisternummer is vervat.

De GBA achtte het lezen en gebruiken van al deze gegevens onevenredig met het doel van de verwerking, aangezien de GDPR vereist dat de verwerkte persoonsgegevens beperkt blijven tot wat strikt noodzakelijk is voor het nagestreefde doel (“minimale gegevensverwerking”). In het bijzonder de verwerking van leeftijd, geslacht, en Rijksregisternummer werden geacht niet ter zake te dienen om een klantenkaart aan te maken en de hieraan gerelateerde voordelen toe te kennen.

Bovendien vertrouwde de drankenhandel voor deze verwerking op de toestemming van haar klanten. Echter was deze toestemming niet geldig, aangezien dit niet beschouwd kon worden als een vrije keuze van de klant. Klanten beschikten namelijk niet over een alternatieve optie om een klantenkaart te laten aanmaken en te genieten van de kortingen en andere voordelen die dit met zich meebracht. De klaagster bood namelijk aan om de nodige gegevens dan maar schriftelijk te verstrekken, maar dit werd geweigerd door de drankenhandel. Klanten die weigerden om hun eID te laten inlezen, werden aldus benadeeld omdat zij geen klantenkaart konden krijgen.

Er ligt in het kader van de GDPR geen geldige toestemming voor wanneer de toestemming niet vrijelijk is verleend, met name wanneer de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. In casu was er geen sprake van vrije toestemming omdat klanten enkel van de voordelen van een klantenkaart konden genieten door middel van hun eID, zonder dat enig alternatief beschikbaar was. In dit verband verwijst de GBA tevens naar de wet van 1991 betreffende de bevolkingsregisters en de identiteitskaarten, die wanneer een voordeel of dienst wordt aangeboden aan een burger via zijn elektronische identiteitskaart in het kader van een informaticatoepassing, uitdrukkelijk vereist dat hierbij eveneens een alternatief wordt voorgesteld dat het gebruik van de elektronische identiteitskaart niet vereist.

De GBA besloot op deze gronden tot een grove nalatigheid met een verregaande impact op de klanten van de drankenhandel, in welk verband zij een boete van €10.000 gerechtvaardigd achtte.

Beslissing vernietigd door het Marktenhof

De drankenhandel was het niet eens met de beslissing van de GBA en tekende beroep aan bij het Brusselse Marktenhof. Het Marktenhof geeft de drankenhandelaar gelijk en oordeelt dat aangezien de betrokken klant haar eID niet had aangeboden, er ook geen enkele verwerking van haar gegevens had plaatsgevonden, waardoor geen daadwerkelijke inbreuk aangetoond zou zijn door de GBA. De beslissing van de GBA wordt op 19 februari 2020 dan ook vernietigd.

Het Marktenhof wijst ook op andere tekortkomingen in de betreffende beslissing. Zo stelt zij dat de GBA voor wat betreft de noodzaak om een alternatieve mogelijkheid te voorzien voor de aanmaak van een klantenkaart, verwijst naar nog niet toepasselijke wetgeving (met name een op het moment van de feiten nog niet in werking getreden wijziging in voornoemde wet betreffende de bevolkingsregisters en de identiteitskaarten). Ook zou de GBA onterecht uitgaan van de onbewezen assumptie dat de klaagster een onbetwistbaar nadeel zou lijden door het feit dat ze door geen klantenkaart te kunnen krijgen, kortingen zou mislopen. Dit vormt volgens het Marktenhof geen nadeel, maar enkel het verlies van een mogelijk extra voordeel. Dit zou anders zijn wanneer de eID wordt gevraagd om een wettelijk of contractueel recht (zoals het recht op garantie) te bekomen of behouden.

De beslissing zou bovendien niet afdoende gemotiveerd zijn, met name wat betreft de opgelegde boete, door louter te stellen dat de inbreuk een fundamenteel rechtsbeginsel van gegevensbescherming betreft en het gaat om een “grove nalatigheid”. Het Marktenhof stelt dat de GBA bij de bepaling van de sanctie alle concrete elementen van het dossier in rekening moet nemen, waaronder de ernst en duur van de inbreuk, of het al dan niet gaat om een eenmalige inbreuk, of er opzet is aangetoond, en de benodigde afschrikkende werking om verdere inbreuken te voorkomen.

Het Marktenhof maakt duidelijk dat de inbreukpleger, voordat de GBA hem een sanctie oplegt, kennis moet krijgen van de aard en omvang van de overwogen sanctie, zodat hij gewaarschuwd wordt (om nodeloos sanctioneren te vermijden) en bovendien de gelegenheid krijgt om zich hiertegen te verdedigen. Dit bij gebreke aan door de GBA gepubliceerde algemeen toepasselijke richtsnoeren of schalen omtrent op te leggen sancties (bv. op basis van een opdeling van mogelijke inbreuken in verschillende categorieën met daaraan gekoppeld minimum- en maximumboetebedragen).

De GBA heeft haar werkwijze inmiddels aangepast aan deze rechtspraak, door voortaan steeds een boeteformulier te bezorgen aan de verwerende partij wanneer zij voornemens is om een geldboete op te leggen. Zij motiveert het bedrag van iedere boete sindsdien in elke beslissing concreter en uitdrukkelijker in functie van alle omstandigheden van de inbreuk. Algemene beleidsregels of richtsnoeren zijn evenwel nog niet beschikbaar. Ter vergelijking heeft bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens wel dergelijke boetebeleidsregels en richtsnoeren vastgesteld voor de bepaling van administratieve geldboetes, zodat organisaties op voorhand weten waar ze zich aan kunnen verwachten.

GBA haalt alsnog haar gelijk voor het Hof van Cassatie

Het Hof van Cassatie fluit het Marktenhof in haar arrest van 7 oktober 2021 echter terug. Het Hof bevestigt dat een betrokkene het recht heeft om een klacht in te dienen bij de GBA tegen een verwerkingspraktijk waarvan hij meent dat deze inbreuk maakt op zijn AVG-rechten, waaronder het recht om zijn persoonsgegevens minimaal te laten verwerken in het kader van de verstrekking van een voordeel of dienst. Dit geldt ook wanneer de persoonsgegevens van de betrokkene zelf niet werden verwerkt, met name wanneer de betrokkene weigerde om toe te stemmen met de verwerking, net omdat deze volgens hem inbreuk maakt op de regels inzake gegevensbescherming. In casu stemde de betrokkene inderdaad niet in met de verwerking, waardoor zij het gewenste voordeel in de vorm van een klantenkaart niet verkreeg. Dit ontneemt de betrokkene volgens het Hof van Cassatie niet het recht om tegen deze praktijk een klacht in te dienen. Er wordt in dit geval immers nog steeds inbreuk gemaakt op de rechten van de betrokkene, die niet van een voordeel of dienst kan genieten tenzij hij zijn gegevens laat verwerken volgens een inbreukmakende praktijk.

Voor wat betreft de wetswijziging met betrekking tot de eID die nog niet van toepassing was op het moment van de feiten (8 en 30 juni 2018), stelt het Hof van Cassatie dat het Marktenhof nog steeds dient na te gaan of de bewuste toestemming krachtens de GDPR al dan niet voldeed aan de vereisten van artikel 6.1, a) GDPR en artikel 4, 11) GDPR, en of er in dit verband een alternatief had moeten worden geboden voor de aanmaak van een klantenkaart. Hierbij kan ook het verlies van het voordeel van kortingen bij weigering een nadelig gevolg inhouden dat ervoor kan zorgen dat de toestemming niet vrij gegeven en dus ongeldig is. In tegenstelling tot de wetswijziging omtrent de eID, was de GDPR immers wel reeds ten volle van toepassing op het moment van de feiten.

De beslissing van het Marktenhof werd op bovenstaande gronden vernietigd. Het Marktenhof zal nu een nieuwe beslissing moeten nemen in de zaak op grond van de elementen aangereikt door het Hof van Cassatie. Wij updaten deze blog wanneer wij de finale uitspraak van het Marktenhof vernemen.

Bron: Mr. Franklin