Cum a ajuns o copie de buletin să coste 10.000 €?
0În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunţat o sancţiune de 10.000 de euro pentru nerespectarea minimizării datelor prelucrate şi justificarea prelucrării în baza unui consimţământ invalid.
Citirea eID-ului în schimbul unui card de fidelitate
Autoritatea a primit o reclamaţie cu privire la utilizarea cărţii electronice de identitate (eID) de către un comerciant pentru furnizarea unui serviciu comercial, şi anume crearea unui card de fidelitate. Deoarece reclamantul a refuzat să-şi ofere cartea de identitate, oferindu-se totodată să-şi trimită datele în scris, comerciantul a refuzat eliberarea cardului de fidelitate.
Autoritatea a evaluat această practică din mai multe motive ca nerespectând Regulamentul general privind protecţia datelor (GDPR):
- Nerespectarea principiului minimizării datelor prelucrate
Principiul minimizării prelucrărilor de date este un principiu important în GDPR, care impune operatorului să limiteze cantitatea de date cu caracter personal colectate şi perioada de stocare la ceea ce este strict necesar pentru scopul urmărit.
Pentru a crea cardul de fidelitate, comerciantul necesită citirea datelor de pe eID, cum ar fi numele, prenumele, adresa etc., dar şi fotografia şi codul de bare care este legat de numărul Registrului naţional belgian.
Autoritatea subliniază că numărul registrului naţional (echivalentul CNP-ului) este un subiect care este supus unor reguli stricte în ceea ce priveşte consultarea şi utilizarea sa.
Prin urmare, autoritatea a opinat că citirea şi utilizarea tuturor datelor de pe cardul de identitate electronic într-un context comercial reprezintă o prelucrare disproporţionată în raport cu scopul creării unui card de client.
- Fără un consimţământ valabil
Pentru a fi legală, prelucrarea datelor cu caracter personal trebuie să se bazeze pe una din cele şase baze legale ale GDPR. Comerciantul se bazează pe consimţământ ca bază legală pentru a justifica prelucrarea datelor din eID, dar Autoritatea a contestat validitatea acestuia.
Pentru a fi valabil, consimţământul trebuie să fie gratuit, specific şi informat. Autoritatea a opinat că prelucrarea datelor din eID în baza consimţământului, în acest caz, nu poate fi considerat ca fiind oferit liber, deoarece clientului nu i se oferă o altă alternativă. Dacă clientul refuză să permită utilizarea cărţii sale de identitate electronică pentru crearea unui card de client, acesta va fi penalizat şi nu se va putea bucura de beneficii şi reduceri, deoarece nu i se va oferi o alternativă.
„Companiile sau comercianţii trebuie să gestioneze datele cu caracter personal mai conştient atunci când solicită tot felul de date cu caracter personal pentru un serviciu, mai ales dacă acest lucru se întâmplă fără acordul valid al clientului. GMS oferă principii şi obligaţii care ar trebui să ghideze servesc la procesarea corectă a datelor cu caracter personal” a explicat Hielke Hijmans, preşedintele Camerei Disputelor a autorităţii de supraveghere belgiene.
O copie de buletin la preţ de xerox profesional
Având în vedere nerespectarea principiului minimizării datelor prelucrate şi lipsa unei baze legale valabile, autoritatea a decis să aplice o amendă administrativă de 10.000 de euro.
„Utilizarea cărţilor de identitate electronice drept card de client este o practică obişnuită. Cu toate acestea, accesul la multe date cu caracter personal nu este permis în cadrul GDPR dacă nu este strict necesar pentru furnizarea unui serviciu şi nu există o bază legală valabilă pentru aceasta. Camera litigiilor consideră că aceasta a fost o încălcare gravă şi, prin urmare, impune o amendă” , concluzionează Hielke Hijmans, preşedintele Camerei Disputelor. David Stevens, preşedintele autorităţii de supraveghere: „Această decizie este un element important aşezat pe drumul către o mai bună protejare a vieţii private a cetăţenilor noştri”.
De câte ori nu vi s-a cerut buletinul la bancă pentru a putea face o amărăciune de plată?! Poate n-or avea toate aceleaşi politici şi nu vreau sa generalizez, însă este clar că încă suntem departe de a înţelege cum ne afectează indolenţa cu care împărţim date, asemeni un dealer la masa de poker, fără a fi conştienţi că datele noastre sunt potul şi suntem all in.
Abia când nepăsarea noastră va produse efecte, ne vom face curaj şi vom îndrăzni să ne împotrivim când ne vor fi solicitate date în mod excesiv sau chiar ilegal. Însă până vom ajunge în acel punct, avem de parcurs un drum lung, anevoios, cu mersul piticului.