De Belgische Gegevensbeschermingsautoriteit (GBA) legde recent een winkelier een boete van 10.000 EUR op omdat de aanmaak van de klantenkaart enkel kon gebeuren door het uitlezen van de elektronische identiteitskaart (eID) van de klanten .Een klant die dit weigerde en aanbood zijn gegevens schriftelijk aan de handelaar te geven om van een
klantenkaart te kunnen genieten, kon geen klantenkaart bekomen. Die praktijken kunnen niet, zei de GBA, en wel om volgende redenen:

Principe van ‘minimale gegevensverwerking’
Eén van de principes van de GDPR, de ‘nieuwe’ privacywetgeving, is deze van de minimale gegevensverwerking. Dat houdt in dat u niet meer gegevens mag verwerken dan noodzakelijk is. Om een klantenkaart aan te maken hebt u op zich niet de eID van de klant nodig en hoeft u de kaart al helemaal niet uit te lezen. Op de chip staan immers allerlei bijzondere persoonsgegevens, zoals de pasfoto, het adres, maar ook het rijksregisternummer. Door het uitlezen van de kaart screent het uitleesprogramma al deze bijzondere gegevens om een selectie te maken van bijv. de naam en het e-mailadres. De GBA heeft daarom geoordeeld dat de lezing en het gebruik van alle gegevens van de elektronische identiteitskaart in een commerciële context disproportionele verwerkingen zijn en niet in verhouding staan tot het doel om een klantenkaart aan te maken.

Geldige ‘vrije’ toestemming
Zoals u weet, moet de toestemming sinds de GDPR vrijwillig, onmiskenbaar, actief, geïnformeerd en voor elk specifiek, individueel doel worden gegeven.

Er was geen mogelijkheid om een klantenkaart aan te maken zonder de eID uit te lezen, waardoor klanten die zich hiertegen verzetten, benadeeld werden. Zij konden immers niet genieten van de voordelen en kortingen omdat geen alternatief werd aangeboden. In die zin was er geen vrij(willig)e toestemming.