Wie recent nog eens op café of restaurant geweest is, heeft het al gemerkt: tegenwoordig is het verplicht om je gegevens achter te laten. Je hebt er waarschijnlijk al iets van opgevangen, maar dat komt omdat er een virus in het land is en men aan contactonderzoek wil kunnen doen. Onlangs heeft de Gegevensbeschermingsautoriteit aangegeven wat de horecaonderneming al dan niet mag doen in het kader van deze noodzakelijke verzameling van persoonsgegevens. Laat het duidelijk zijn dat de impact op de privacy heel beperkt is.
Gebruik van de verzamelde persoonsgegevens
Om persoonsgegevens te mogen verwerken, is er steeds een grondslag nodig. In dit geval is dat een wettelijke grondslag. Daarbij moet meteen ook rekening worden gehouden met de bepalingen van het ministerieel besluit.
Het MB geeft aan dat de persoonsgegevens enkel mogen worden gebruikt “in het kader van de strijd tegen COVID-19”. Dat wil zeggen dat de horecaonderneming ze niet mag gebruiken voor andere doeleinden, zoals marketingdoeleinden. Ook mag de horecaonderneming nooit zelf contact opnemen met klanten op basis van deze persoonsgegevens. Bovendien moet de horecaonderneming de gegevens na 14 dagen vernietigen. Dan zijn ze per slot van rekening niet meer relevant.
Welke persoonsgegevens verzamelen?
Welke persoonsgegevens al dan niet mogen worden verzameld, is geregeld door art. 3, 10° MB 30 juni 2020 houdende dringende maatregelen om de verspreiding van het coronavirus COVID-19 te beperken. De privacy-impact wordt daarbij beperkt tot:
- De contactgegevens van 1 klant per tafel of reservering
- Het telefoonnummer of het e-mailadres
Daarnaast geeft de Gegevensbeschermingsautoriteit aan dat het ook toegestaan is om zelf het tafelnummer en de duur van het bezoek te noteren. Het staat het restaurant vrij om te bepalen hoe ze deze gegevens verzamelen. Dat kan bijvoorbeeld via een app of een formulier. Wanneer een klant echter weigert om deze gegevens achter te laten, moet de klant de toegang tot de zaak worden geweigerd.
Sommige ondernemers vragen echter meer persoonsgegevens van de klant. Vaak wordt bijvoorbeeld ook de naam van de klant gevraagd. Op basis van het MB is dit niet toegestaan. Hier is geen wettelijke grondslag voor.
De Gegevensbeschermingsautoriteit geeft wel aan dat het te verantwoorden valt om de naam te vragen, zolang dit op een vrijwillige basis is. In dat geval is toestemming de grondslag. Dat wil anderzijds ook zeggen dat de klant altijd kan weigeren, zonder dat daar negatieve consequenties aan verbonden zijn. Een weigerende klant mag de toegang niet worden geweigerd. Dit weigeringsrecht moet ook zo worden aangegeven.
Als klant kan je je met andere woorden altijd beperken tot een telefoonnummer of mailadres, maar je bent wel verplicht om je werkelijke gegevens achter te laten. Het staat je anderzijds wel vrij om hiervoor een apart mailadres aan te maken.
Mag een horecagelegenheid om mijn eID vragen?
De Gegevensbeschermingsautoriteit heeft duidelijk aangegeven dat zoiets nooit verplicht kan worden. Dat is ook logisch: een eID bevat het telefoonnummer of het mailadres van de klant niet. Het waarschuwt er bovendien voor dat er mogelijk niet voldaan is aan de doeltreffendheids- en noodzakelijkheidseis. Daarom raadt de Gegevensbeschermingsautoriteit het af.
Als het toch wordt gedaan, gelden minstens volgende regels:
- Het inlezen van de eID kan enkel op vrijwillige basis. Dit moet ook zo worden aangegeven.
- De enige informatie die wettelijk van de identiteitskaart kan worden opgehaald, is de naam en de voornaam van de betrokkene. De andere gegevens (bv. telefoonnummer) moeten dan nog steeds manueel worden genoteerd.
- Bij digitale platformen waar het eID nodig is om in te loggen en de noodzakelijke gegevens achter te laten, moet er altijd een alternatief systeem worden aangeboden.
Informatieverplichtingen
Zoals dat in AVG altijd het geval is, moeten de personen van wie de persoonsgegevens worden verwerkt steeds geïnformeerd worden. Men mag niet aannemen dat iedereen op de hoogte is van de geldende maatregelen. Daarom moet de horecaonderneming het volgende aangeven:
- Wat de grondslag is voor de registratie van het telefoonnummer of het mailadres (voldoen aan de wettelijke verplichting van art. 3, 10° MB 30 juni 2020 houdende dringende maatregelen om de verspreiding van het coronavirus COVID-19 te beperken)
- Welke gegevens vrijwillig kunnen worden achtergelaten (bv. de naam)
- Waarvoor de gegevens worden gebruikt (contactopsporing)
- Hoelang en waar de gegevens worden bewaard (14 dagen)
- Met wie de gegevens worden gedeeld (bv. Vlaams Agentschap Zorg en Gezondheid, enkel in het geval van een vastgestelde besmetting)
- De identiteit van de persoon die de gegevens verwerkt
Let op: er wordt een formulier aangeboden op de website van de FOD Economie. Dit formulier kan als basis dienen voor de informatieverplichtingen, maar moet wel aangevuld en verbeterd worden. Zo staat er op het formulier niet wie de gegevens verwerkt of aan welke bevoegde autoriteiten de gegevens bij een besmetting worden meegedeeld.
Veiligheidsvoorschriften
Ook zoals bij andere verwerkingen van persoonsgegevens moet de horecaonderneming toezien op een passende beveiliging. Het mag voor buitenstaanders niet mogelijk zijn om toegang te krijgen tot de persoonsgegevens. Werken met een schriftje dat op een tafel aan de ingang van het restaurant ligt, is met andere woorden niet toegestaan. Een afgesloten kast, kist of het werken met verzegelde enveloppen is volgens de Gegevensbeschermingsautoriteit wel voldoende. Bij de vernietiging kan dan bijvoorbeeld gebruik worden gemaakt van een papierversnipperaar.
Beperkte controleplicht
Ten slotte heeft de horecaonderneming een beperkte controleplicht. Ze zijn enkel verplicht om na te gaan of een klant zijn telefoonnummer of e-mailadres heeft achtergelaten, maar daar stopt het ook. Het is niet de taak van de horecaonderneming om na te gaan of een telefoonnummer of mailadres al dan niet correct is.
