De “Gegevensbeschermingsautoriteit (GBA)” legde de handelaar deze boete op nadat hij de elektronische identiteitskaart (eID) als enige middel wou aanwenden om een klantenkaart aan te maken. De eID bevat een grote hoeveelheid gegevens over de houder. De handelaar heeft echter de uitdrukkelijke toestemming nodig van zijn klant om hiervan gebruik te maken. Aangezien de klant zijn identiteitskaart niet wou geven, kon er in dit geval geen klantenkaart worden aangemaakt. De Geschillenkamer van de GBA oordeelde na de klacht van de klant dat deze praktijk niet in overeenstemming is met GDPR regelgeving en sprak een boete uit van €10000.
Minimale gegevensverwerking
In de GDPR regelgeving is het beginsel van de “minimale gegevensverwerking” zeer essentieel. Dat bepaalt dat men enkel de hoogst noodzakelijke informatie mag verzamelen die strikt noodzakelijk is om het beoogde doel te bereiken. De Geschillenkamer oordeelde hier dat de lezing en gebruik van alle gegevens op de eID niet in verhouding staan met het doel om een klantenkaart aan te maken. De zogezegde “toestemming” die door de meeste klanten wordt gegeven door het overhandigen van de eID om de klantenkaart aan te maken, is volgens de Geschillenkamer niet vrij, specifiek en geïnformeerd omdat er in dit geval geen alternatief geboden wordt om een klantenkaart aan te maken. Zo ziet u dat een veel voorkomend gebruik u heel wat geld kan kosten. De GDPR wetgeving voorziet in principes en verplichtingen die als leidraad moeten dienen om persoonsgegevens op een correcte wijze te verwerken en zodoende de privacy van de burgers beter te beschermen.
Nood aan een helpende hand?
Ingentia Advocaten voorziet een heel GDPR traject, op maat van uw onderneming, om in regel te zijn met deze recente wetgeving. We starten met een “in company” workshop waarbij u gebruik kan maken van de KMO portefeuille.
Hebt u graag meer informatie hieromtrent? Dan kan u contact opnemen met één van onze DPO’ers (Data Protection Officers) op [email protected] of tel 013/29.61.24.