PrivacyTeam033 200 30 83
Inloggen

Gezichtsherkenning? DPIA verplicht!

Gezichtsherkenning? DPIA verplicht!

De Spaanse toezichthouder (AEPD) heeft een boete van € 96.000 opgelegd aan een bedrijf dat sportcentra exploiteert, omdat zij een gezichtsherkenningssysteem om het terrein te betreden en te verlaten heeft geïmplementeerd zonder een DPIA uit te voeren. De AEPD heeft daarnaast de verwerkingsverantwoordelijke opgedragen alsnog een DPIA uit te voeren. De verwerkingsverantwoordelijke mag het gezichtsherkenningssystemen niet gebruiken als in de DPIA geen wettelijke grondslag voor de verwerking wordt gevonden, of als deze niet voldoet aan de noodzakelijkheids- en evenredigheidsvereisten. 

Feiten

SIDECU S.A. (de verwerkingsverantwoordelijke) is een bedrijf dat sportcentra exploiteert en beheert. De verwerkingsverantwoordelijke verving zijn systeem voor toegang door een verplicht gezichtsherkenningssysteem. Dit werd uitgevoerd zonder de leden te informeren of te raadplegen. De betrokkene weigerde het nieuwe systeem te gebruiken, met het argument dat het invasief en buitensporig is. In reactie daarop weigerde de verwerkingsverantwoordelijke de betrokkene toegang te verlenen.

De zaak omvat negen klachten die zijn ingediend door verschillende betrokkenen. De eerste klacht werd in augustus 2023 ingediend en de andere klachten werden tijdens haar onderzoeken door de AEPD gevoegd. De AEPD ontving ook een klacht van FACUA (een consumentenvereniging).

De verwerkingsverantwoordelijke voerde aan dat hij de gezichtsherkenningssystemen kon installeren zonder voorafgaande toestemming van de leden. Volgens de verwerkingsverantwoordelijke verwerkte hij in het geheel geen gegevens (inclusief gevoelige gegevens), omdat de gezichtsherkenningssystemen de persoon op geen enkel moment identificeerden. Volgens de verwerkingsverantwoordelijke werd hun stelling ondersteund door een rapport van de AEPD uit 2020, aangezien daarin werd gesteld dat niet alle biometrische gegevens onder de definitie van gevoelige gegevens in de zin van artikel 9 AVG vallen. Het is belangrijk op te merken dat de verwerkingsverantwoordelijke deze redenering gebruikte om te betogen dat hij helemaal geen gegevens verwerkte.

De verwerkingsverantwoordelijke voerde aan dat hij een risicobeoordeling had uitgevoerd voordat hij gezichtsherkenning invoerde, en dat het nieuwe systeem geen risico's met zich meebracht omdat er geen sprake van verwerking van persoonsgegevens was. Dit betekende dat het ook niet nodig was om een DPIA uit te voeren. Ten slotte voerde de verwerkingsverantwoordelijke aan dat hij borden in de sportcentra had aangebracht op basis waarvan de leden werden geïnformeerd over de implicaties van het nieuwe systeem.

Constateringen

Ten eerste constateerde de AEPD een schending van artikel 9 AVG. Biometrische gegevens zijn persoonsgegevens wanneer ze worden verwerkt met het oog op het vaststellen of bevestigen van de unieke identiteit van een persoon (artikel 4, lid 14, AVG). De AEPD verklaarde dat er geen twijfel over bestond dat gezichtspatronen uit gezichtsopnamen persoonsgegevens zijn; het doel van het gezichtsherkenningssysteem is om (direct of indirect) de personen te identificeren die toegang hebben tot de centra. Bovendien worden de in- en uitreistijden geregistreerd en maakt het proces van het toewijzen van een unieke numerieke identificatiecode het mogelijk om een persoon te selecteren.

De AEPD benadrukte vervolgens de beschermde status van deze biometrische gegevens, aangezien deze onder het toepassingsgebied van gevoelige gegevens vallen onder artikel 9 AVG. Artikel 9, lid 1, van de AVG verbiedt uitdrukkelijk de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon, tenzij er een uitzondering geldt in overeenstemming met artikel 9, lid 2 van de AVG.

De AEPD verduidelijkte dat een rechtsgrondslag op grond van artikel 6, lid 1, AVG weliswaar noodzakelijk is voor de rechtmatigheid van de verwerking, maar dat de vraag in dit geval was of de verwerkingsverantwoordelijke zich kon beroepen op een uitzondering op grond van artikel 9, lid 2, AVG.

In dit geval kon de verwerkingsverantwoordelijke zich niet beroepen op een van de uitzonderingen van artikel 9, lid 2, van de AVG, met name de uitdrukkelijke toestemming (artikel 9, lid 2, onder a), van de AVG), omdat hij het gebruik van het systeem voor toegang tot het centrum verplicht heeft gesteld. De AEPD vond het vervolgens niet nodig om te beoordelen of de verwerkingsverantwoordelijke een geldige rechtsgrondslag had op grond van artikel 6, lid 1, AVG.

De AEPD constateerde een overtreding van artikel 35 AVG, omdat de verwerkingsverantwoordelijke geen DPIA had uitgevoerd. In dit geval was de DPIA nodig omdat de verwerking een hoog risico met zich meebrengt voor de rechten van de betrokkenen. Gezichtsherkenningssystemen zijn expliciet opgenomen in de lijst van verwerkingsactiviteiten waarvoor een DPIA vereist is. Er was dus sprake van een duidelijke schending van artikel 35 van de AVG, rekening houdend met het feit dat de verwerkingsverantwoordelijke niet heeft beoordeeld of gezichtsherkenning noodzakelijk of evenredig was.

Tot slot stelde de AEPD een schending van artikel 13 AVG vast. De verwerkingsverantwoordelijke is verplicht de betrokkene te informeren op het moment dat persoonsgegevens worden verkregen. De AEPD achtte het bord dat bij het centrum was geplaatst ondoeltreffend om de leden te informeren. Bovendien werden de leden niet geïnformeerd over de verwerking van bijzondere categorieën gegevens, het doel ervan, de risico's of hun rechten als betrokkenen. De AEPD beschouwde dit als een ernstige overtreding, aangezien de verwerkingsverantwoordelijke had verklaard dat de gezichtsherkenningssystemen geen persoonsgegevens verwerkten.

De AEPD heeft de verwerkingsverantwoordelijke in totaal een boete van €160.000 opgelegd: €80.000 voor de overtreding van artikel 9 AVG, €50.000 voor de schending van artikel 35 AVG en €30.000 voor de overtreding van artikel 13 AVG. De AEPD beschouwde dit als een ernstige schending, vanwege de onrechtmatige verwerking van artikel 9-gegevens en het feit dat de verwerkingsverantwoordelijke zijn richtlijnen verkeerd interpreteerde.

Op grond van Wet 39/2015, een Spaanse wet inzake administratieve procedures, heeft de AEPD de verwerkingsverantwoordelijke meegedeeld dat zij de voorgestelde boete vrijwillig kan betalen en afstand kan doen van hun recht om in beroep te gaan. Deze actie verlaagt de opgelegde boete met 20%. De boete kan met nog eens 20% worden verlaagd als de verwerkingsverantwoordelijke zijn aansprakelijkheid erkent. De verwerkingsverantwoordelijke koos voor beide en verlaagde de boete met 40%, waardoor het verlaagde boetebedrag van € 96.000 werd betaald.

Daarnaast heeft de AEPD de verwerkingsverantwoordelijke opgedragen alsnog een DPIA uit te voeren en de betrokkenen te informeren in overeenstemming met artikel 13 AVG. De AEPD stelde dat de verwerkingsverantwoordelijke het gezichtsherkenningssystemen niet mag blijven gebruiken als in de DPIA geen wettelijke grondslag voor de verwerking wordt gevonden, of als deze niet voldoet aan de noodzakelijkheids- en evenredigheidsvereisten. Tot slot vaardigde de AEPD een tijdelijk verbod uit op het gebruik van gezichtsherkenningssystemen door de verwerkingsverantwoordelijke.

BRON: AEPD (Spanje) - EXP202313347 - GDPRhub

Naar het overzicht