GBA sanctioneert een handelaar voor het disproportionele gebruik van de eID

De Gegevensbeschermingsautoriteit (GBA) bestraft een handelaar die als enig middel voor de aanmaak van een klantenkaart, de lezing van de elektronische identiteitskaart voorstelt. De elektronische identiteitskaart bevat een grote hoeveelheid vertrouwelijke gegevens en het gebruik van deze gegevens wordt onevenredig geacht met de aangeboden dienst. De opgelegde administratieve boete bedraagt € 10.000.

gdpr_tweedebeboete

Sanctionering na klacht

De GBA ontving een klacht over het gebruik van de elektronische identiteitskaart (eID) voor het verlenen van een commerciële dienst, namelijk de aanmaak van een klantenkaart. Omdat de klager zijn identiteitskaart niet wilde tonen, werd de klantenkaart geweigerd. De Geschillenkamer van de GBA beoordeelde deze praktijk om verschillende redenen in strijd met GDPR.

Niet naleven van het beginsel minimale gegevensverwerking

Het beginsel van de minimale gegevensverwerking is een belangrijk beginsel in de Europese privacywetgeving. Het is de verwerkingsverantwoordelijke toegestaan om persoonlijke gegevens te verzamelen, maar de hoeveelheid, de aard en de opslagperiode van verzamelde gegevens is beperkt tot wat strikt noodzakelijk is voor het nagestreefde doel.

Om de klantenkaart aan te maken, eiste de handelaar de gegevens te lezen op de eID, zoals naam, voornaam, adres,… maar ook de foto en het Rijksregisternummer. Het gebruik van dergelijke gegevens is onderworpen aan strikte regels voor de raadpleging en het gebruik ervan en is niet bestemd voor commerciële doeleinden. De Geschillenkamer oordeelde daarom de eID lezing als een “disproportionele verwerking”.

Sancties

Gezien de niet-naleving van het beginsel van minimale gegevensverwerking en het ontbreken van een geldige rechtsgrond, besluit de Geschillenkamer de een administratieve boete van 10.000 euro op te leggen.

Hielke Hijmans, Voorzitter van de Geschillenkamer verklaart: "Bedrijven of handelaars moeten bewuster omgaan met persoonsgegevens wanneer zij allerlei persoonsgegevens opvragen voor een dienstverlening, zeker als dit gebeurt zonder geldige toestemming van de klant. GDPR voorziet in principes en verplichtingen die als leidraad moeten dienen om persoonsgegevens op een correcte wijze te verwerken".

Bent u al volledig compliant?

Nam u nog geen maatregelen om uw organisatie klaar te maken voor GDPR? Of vermoedt u dat uw bedrijfshandelingen niet volledig afgestemd zijn met de Europese privacywetgeving? Dan is het hoog tijd om in te grijpen. Speel op zeker en neem de beste verzekering tegen GDPR-boetes.

 

Bron: Gegevensbeschermingsautoriteit

 

 

  260