In vergelijking met onze buurlanden legde de Belgische Gegevensbeschermingsautoriteit maar weinig boetes op. Naast twee kleine boetes legde het de afgelopen jaren eigenlijk maar één zware boete op aan een drankenhandel. Die trok nu naar het Marktenhof en de boete werd vernietigd. Een slag in het gezicht van de Gegevensbeschermingsautoriteit.
Wat is het Marktenhof?
Het Marktenhof is een speciale afdeling van het Hof van Beroep dat enkel uitspraken doet over rechtszaken tegen markregulatoren zoals de FSMA (de “beurswaakhond”), BIPT (de “telecomwaakhond”) en de Gegevensbeschermingsautoriteit. Het gaat om specifieke beroepskwesties rond marktzaken die voorheen nog voor de Raad van State kwamen. De rechters die er zetelen beschikken over een uitzonderlijke juridisch-technische marktenexpertise.
Waarover ging het?
Een dame wou bij een drankenhandel een klantenkaart verkrijgen, maar moest daarvoor haar elektronische identiteitskaart laten inlezen. Zij wou dit niet doen en vond het een inbreuk op haar privacy. Ze stelde daarop voor om de benodigde persoonsgegevens gewoon even op te schrijven. De drankenhandel vond dat niet kunnen en benadrukte dat het echt wel noodzakelijk was om de elektronische identiteitskaart in te lezen. De vrouw wilde niet van haar standpunt afwijken en uiteindelijk weigerde de drankenhandel om een klantenkaart aan te maken. De betrokken dame diende een klacht in bij de Gegevensbeschermingsautoriteit.
De Gegevensbeschermingsautoriteit opende een onderzoek en stelde twee inbreuken vast:
- Het beginsel van minimale gegevensverwerking is niet nageleefd: de drankenhandel mag niet meer gegevens verwerken dan strikt noodzakelijk is. Het rijksregisternummer, dat eveneens werd ingelezen, mag daarbij niet zomaar worden verwerkt en dat deed de drankenhandel nochtans wel;
- De drankenhandel had geen geldige toestemming verkregen om deze gegevens te verzamelen. Nochtans werd de toestemming wel gevraagd, maar in het kader van de GDPR is vereist dat die toestemming “vrij” is. Er kan geen sprake zijn van een vrije toestemming als klanten geen klantenkaart kunnen krijgen als ze hun toestemming niet geven.
Op basis hiervan legde de Gegevensbeschermingsautoriteit de drankenhandel een boete op van 10.000 euro. Voor de Gegevensbeschermingsautoriteit was dit een voorbeeldzaak en dat werd ook zo op de website van de Gegevensbeschermingsautoriteit aangegeven:
“Deze beslissing is een belangrijke nieuwe bouwsteen op de weg naar een betere bescherming van de privacy van onze burgers” (Voorzitter Geschillenkamer H. Hijmans op de website van de Gegevensbeschermingsautoriteit)
Vernietiging door het Marktenhof
In de procedure voor het Marktenhof, waar men de inhoudelijke redenering van de Gegevensbeschermingsautoriteit niet weerlegde, werd de boete uiteindelijk vernietigd. Eigenlijk werd de inbreuk op de privacyregels niet betwist, maar wel de manier waarop de boete door de Gegevensbeschermingsautoriteit tot stand kwam. De motivatie was “slordig” en de beschrijving van de feiten stemde niet altijd overeen met de stukken uit het dossier. Bovendien had de GBA de boete van 10.000 euro onvoldoende gemotiveerd. Dat is nochtans vereist: de GBA moet haar boetes steeds motiveren op basis van:
- De ernst van de inbreuk
- De duur van de inbreuk
- De nodige afschrikkende werking om verdere inbreuken te voorkomen
Ten slotte is vereist dat de inbreukpleger altijd eerst gewaarschuwd moet worden en de gelegenheid moet krijgen om zich te verdedigen vooraleer de boete wordt opgelegd en uitgevoerd.
Het mag duidelijk zijn dat de Gegevensbeschermingsautoriteit het moeilijk heeft om krachtdadig in te grijpen. In de toekomst zal het nog meer tijd moeten investeren in de motivatie en de juiste procedurele afwerking, waardoor het nog minder dossiers zal kunnen opvolgen.