【処分事例】ベルギー：DPAが処理の正当性欠如に対し €10,000 の罰金を科す

2019年9月24日：少し古い記事ですが、ベルギーの酒店がローヤルティ・プログラムへの参加時に国民IDカードのスキャンを義務付けていたことに対し、10,000ユーロの罰金が科されたという事例です。この店は、罰金が厳しすぎると抗告し、データ保護とは異なる市場での問題を扱う市場裁判所(Market Court)は、この決定を無効化しました。その後、2021年10月に、ベルギー最高裁で、DPAの判決は有効であるということが認められています。その理由として挙げられたのは、IDカードをスキャンしなければならないという条件がGDPR違反となっているということでした。すなわち、個人の権利と自由を損なうような条件設定を行っているだけで、GDPR違反の対象となるということです。問題がおこならなければ大丈夫、というスタンスでコンプライアンス対応を行ってきた企業は、そろそろその姿勢を改める必要があるということでしょう。