De app Freedelity krijgt een sanctie opgelegd voor de manier waarop het gegevens van Belgische consumenten. Het bedrijf biedt klantenkaarten gekoppeld aan je identiteitskaart aan.
De Belgische Gegevensbeschermingsautoriteit (GBA) geeft Freedelity een publiekelijke tik op de vingers in een persbericht. Het bedrijf achter de MyFreedelity-app zou ‘opdringerig en ontransparant’ te werk gaan in het verzamelen van gegevens van Belgische consumenten en schendt op dit manier de GDPR-wetgeving. Freedelity wordt aangemaand om zich binnen een termijn van vier maanden in regel te stellen, op straffe van dwangsommen.
Identiteitskaart als klantenkaart
Het businessmodel van Freedelity is gestoeld op het aanbieden van klantenkaarten op basis van identiteitskaarten. Wie een account aanmaakt, gaat er in principe mee akkoord zijn identiteitskaart te delen met Freedelity en bedrijven die hebben ingetekend op de diensten van het bedrijf. In deelnemende winkels wordt je kaart uitgelezen. Grote merken zoals MediaMarkt maken gebruik van myFreedelity.
De GBA stelt vast dat de toestemming die Freedelity en zijn partners van consumenten verkrijgen niet voldoet aan de eisen van de GDPR. Zo wordt toestemming soms impliciet verondersteld als een consument zijn identiteitskaart scant, wat niet voldoet aan de voorwaarden van ondubbelzinnigheid en specificiteit. Ook de mechanismen om toestemming in te trekken zijn onvoldoende gebruiksvriendelijk. Bovendien verzamelt Freedelity overbodige gegevens zoals het rijksregisternummer en bewaart het deze acht jaar, wat volgens de GBA buitensporig lang is.
Freedelity wordt dringend verzocht zijn werkwijze aan te passen. Zo moet het bedrijf zorgen voor duidelijke en specifieke toestemmingsmechanismen, inclusief eenvoudige opties om toestemming in te trekken. Ook moet de verzameling van niet-essentiële gegevens stoppen en moet overbodige data worden verwijderd. De bewaartermijn van gegevens moet tenslotte worden beperkt tot drie jaar na de laatste activiteit van een consument.
Dwangsommen
Freedelity heeft tot 30 dagen na de beslissing om in beroep te gaan en vier maanden om de gevraagde aanpassingen door te voeren. Blijft het bedrijf in gebreke, dan riskeert het dwangsommen die kunnen oplopen tot 5.000 euro per dag.
Het bedrijf zal in beroep gaan tegen wat het omschrijft als ‘een heksenjacht’. “Wij verwerken al vijftien jaar gegevens van meer dan zeven miljoen Belgen en er is nooit een ontvankelijke klacht ingediend”, zegt CEO Sebastian Buyse aan Gazet van Antwerpen. De CEO hekelt ook de timing van de uitspraak vlak voor Black Friday, de hoogmis van de online retail.
GDPR-boetes zijn eerder schaars in België. Sinds de privacywet van kracht is gegaan, schreef de GBA een veertigtal boetes uit. Hoge werkdruk bij de privacywaakhond zorgt ervoor dat niet alle klachten tijdig behandeld kunnen worden. Freedelity is de dans niet ontsprongen.