GDPR – Wees waakzaam bij het gebruik van het rijksregisternummer

De Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) heeft in september 2019 een handelaar bestraft voor het buitenproportioneel gebruik van de elektronische identiteitskaart om een klantenkaart aan te maken.


Nathalie Ragheno, COMPETENTIECENTRUM RECHT & ONDERNEMING
16 november 2021

Een klant vond dat die eis tegenstrijdig was met de GDPR en diende klacht in bij de GBA. Als gevolg van die klacht werd de handelaar die de gegevens van de elektronische identiteitskaart wou gebruiken om een nieuwe klantenkaart  aan te maken veroordeeld tot een administratieve boete van 10.000 euro. En dat om verschillende redenen. Op de elektronische identiteitskaart staan heel wat gegevens over de eigenaar en het gebruik van die gegevens, waaronder het gebruik van het rijksregisternummer, wordt zonder toestemming van de klant als buitensporig gezien in vergelijking met de voorgestelde dienst, in dit geval de aanmaak van een klantenkaart. Het rijksregisternummer is duidelijk een irrelevant gegeven, dat niet verwerkt mag worden voor de aanmaak van een eenvoudige klantenkaart. Bovendien bood de handelaar geen alternatief aan voor het gebruik van de identiteitskaart en zo kon de klant niet vrijelijk zijn toestemming geven.

Die beslissing werd eind 2019 aangevochten voor het Marktenhof, de beroepsinstantie voor de beslissingen van de GBA. Het Marktenhof verklaarde de ingediende klacht nietig en beval de terugbetaling van 10.000 euro. De hoofdreden van het Marktenhof was dat de aanklager zijn identiteitskaart niet aan de handelaar had gegeven, waardoor de handelaar de gegevens ook niet effectief verwerkt had.

Het Hof van Cassatie, waarbij de zaak aanhangig werd gemaakt, verklaarde het arrest van het Marktenhof vervolgens nietig. Het Marktenhof zal dus een nieuwe beslissing moeten nemen over de zaak. 

Het Hof van Cassatie erkende dat een persoon het recht heeft om bezwaar aan te tekenen bij de GBA tegen een verwerkingswijze die volgens die persoon in strijd is met zijn rechten. Dat is eveneens het geval als de persoonsgegevens van de betrokken persoon niet verwerkt werden, bijvoorbeeld doordat die persoon weigerde om toestemming te geven. Volgens het Hof van Cassatie ontneemt dat niet het recht van de betrokken persoon om een klacht in te dienen tegen die praktijk.

Het is interessant dat de GBA na het besluit van het Marktenhof haar werkmethodes heeft aangepast. Voortaan stuurt ze een sanctieformulier naar de verwerkingsverantwoordelijke als ze van plan is om een boete op te leggen. De GBA geeft in haar beslissingen ook steeds concreter en explicieter de hoogte van de boetes aan, afhankelijk van de omstandigheden van de overtreding. Andere gegevensbeschermingsautoriteiten, zoals de Nederlandse autoriteit bijvoorbeeld, hebben regels en richtlijnen goedgekeurd voor de bepaling van administratieve boetes, zodat de verwerkingsverantwoordelijken op voorhand weten waaraan ze zich kunnen verwachten.

VBO – Het VBO pleit voor de invoering van een privacy ruling zoals die al bestaat op fiscaal gebied. Dat zou zeker en vast een constructieve en efficiënte oplossing zijn voor de verwerkingsverantwoordelijken, die daardoor op meer rechtszekerheid kunnen rekenen.

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEVEN

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.