Boete van € 200.000 voor niet uitvoeren DPIA

Boete van € 200.000 voor niet uitvoeren DPIA

De Spaanse privacy toezichthouder (AEPD) heeft een werkgever een boete van opgelegd voor het onrechtmatig verwerken van biometrische gegevens van werknemers voor tijdregistratiedoeleinden in strijd met artikel 9 AVG. Daarnaast had de werkgever nagelaten een DPIA uit te voeren en het recht op inzage van de betrokkene geschonden.

Feiten

De betrokkene, een voormalig werknemer van de verwerkingsverantwoordelijke, diende een klacht in bij de AEPD tegen de praktijk van de verwerkingsverantwoordelijke om scans van de gezichten van werknemers te gebruiken om de aankomst op en het vertrek van de werkplek te registreren.

De betrokkene had een verzoek om inzage ingediend op grond van artikel 15 van de AVG, waarin hij vroeg om specificaties met betrekking tot het doel en de categorie van de gegevensverwerking. Tot op de datum van de klacht hadden zij nog geen antwoord op dit verzoek ontvangen van de verwerkingsverantwoordelijke.

De AEPD achtte het opportuun om een onderzoek in te stellen. Uit het onderzoek kwam het volgende naar voren:

  • De betrokkene was een werknemer van de verwerkingsverantwoordelijke.
  • De verwerkingsverantwoordelijke heeft het verzoek om inzage van de betrokkene ontvangen en bevestigd dat de procedure is gestart. Er werd echter geen verder antwoord gegeven op het verzoek om inzage.
  • De verwerkingsverantwoordelijke antwoordde per fax (naar een adres dat niet voorkwam in het verzoek van de betrokkene), waarbij zowel het huisnummer als de etage ontbraken. Het antwoord bevatte slechts een algemene verwijzing naar het soort gegevens, niet naar de eigenlijke gegevens, zonder melding te maken van gezichtsherkenning, biometrische gegevens of dagelijkse registraties van werktijden.
  • De betrokkene heeft een toestemmingsformulier ondertekend voor de verwerking van zijn persoonsgegevens in het kader van een arbeidsrelatie. Bovendien wordt in het kader van de rechtmatigheid het doel van de loonverwerking geacht te zijn het nakomen van een wettelijke verplichting. Het document bevat geen sectie om bevestigende toestemming te selecteren of te weigeren, noch enige optie om toestemming in te trekken, noch enige uitnodiging om toestemming te geven, noch enige uitnodiging om een verwerking te aanvaarden.
  • Een vertegenwoordiger van de verwerkingsverantwoordelijke dwong de betrokkene om zich bij de ingang aan te melden om met een gezichtsherkenningsapparaat te werken, zonder alternatieve middelen te bieden.
  • Het door de verwerkingsverantwoordelijke gebruikte systeem zou gebruikmaken van een 3D-herkenningssysteem en de biometrische gegevens zouden vervolgens worden opgeslagen in de eigen databank van de software. Zo registreerde de verwerkingsverantwoordelijk de klokresultaten van de werknemers in een database. Zodra de identificatie is gedaan, wordt informatie naar een toegangsdatabase gestuurd ter bevestiging van de registratie van de werknemer.
  • De controller gebruikte dit gezichtsherkenningssysteem tot 29.05.2023.
  • De verwerkingsverantwoordelijke heeft niet gereageerd op de vorderingen met betrekking tot bijzondere categorieën van gegevens, in de zin van artikel 9 van de AVG, door te stellen dat hij al veel informatie had verstrekt en dat de betrokkene het toestemmingsformulier had ondertekend.

Overwegingen

De AEPD heeft een stapsgewijze analyse uitgevoerd van de vermeende AVG-overtreding.

1. Verwerking van biometrische gegevens

De AEPD is van mening dat in het onderhavige geval gebruik wordt gemaakt van geautomatiseerde technische instrumenten die een permanente en eenduidige identificatie mogelijk maken, op basis van de biologische identiteit van elke werknemer.

De AEPD oordeelde dat elke afzonderlijke scan van het gezicht van een werknemer wordt vergeleken met de database die alle scans van de gezichten van de werknemer bevat en niet alleen de geregistreerde biometrische gegevens van de persoon. Dit houdt in dat er een verwerking plaatsvindt.

Met betrekking tot de vraag of de gegevens al dan niet biometrische gegevens waren en of dergelijke gegevens al dan niet zijn verwerkt, oordeelde de AEPD dat de verwerkte gegevens verband houden met de identificatie van de betrokkene in elk toegangslogboek en dus biometrische gegevens zijn.

2. Verplichtingen op grond van artikel 25 van de AVG

De AEPD heeft bepaald dat het doel van de verwerking de registratie van werknemers is voor de werkdag, toegang en vertrek gedurende de werkdag. Tegen deze achtergrond overwoog de AEPD dat de verwerkingsverantwoordelijke verplicht is om de beginselen van privacy by design en privacy by default te respecteren op grond van artikel 25 AVG.

3. Verwerking van biometrische gegevens: legitimatie

Volgens artikel 9 van de AVG is de verwerking van biometrische gegevens in principe verboden. De AEPD was van mening dat de "arbeidsuitzondering" op dit algemene verbod op grond van artikel 9, lid 2, onder b), van de AVG van toepassing kan zijn op het onderhavige geval. De verwerkingsgrond van artikel 9, lid 2, onder b), van de AVG kan alleen slagen als er een bepaling van nationaal recht is die de gegevensverwerking vereist. De AEPD concludeerde echter dat een dergelijke bepaling niet bestond in het Spaanse recht, waardoor de verwerkingsgrond op grond van artikel 9, lid 2, onder b), AVG niet van toepassing was op het onderhavige geval.

De GBA was van mening dat, zelfs als dat niet het geval was, niet was voldaan aan het element "noodzaak". In feite hadden de beoogde doelen met andere middelen kunnen worden bereikt. Dit werd verder bevestigd door het feit dat het systeem inmiddels door de verwerkingsverantwoordelijke was stopgezet ten gunste van een ID-kaartsysteem.

De GBA oordeelde dan ook dat er geen wettelijke grond voor de verwerking van biometrische gegevens op grond van artikel 9, lid 2, AVG van toepassing was.

4. DPIA en schending van artikel 35 AVG

Aangezien biometrische gegevens gevoelige gegevens zijn, worden zij alleen verwerkt wanneer er geen risico's voor de rechten en vrijheden van personen bestaan. Daarom moet, zoals uiteengezet in artikel 35 van de AVG, elke verwerking die als een hoog risico voor de rechten en vrijheden van natuurlijke personen wordt beschouwd, worden gelegitimeerd door middel van een gegevensbeschermingseffectbeoordeling, waarin de verwerking in detail wordt beschreven.

De AEPD erkende dat de verwerking van biometrische gegevens voor arbeidscontrole in 2016 is begonnen. De verwerkingsverantwoordelijke heeft erkend dat hij niet op de hoogte was of er ooit een DPIA is uitgevoerd of niet.

Aangezien de verwerkingsverantwoordelijke geen DPIA van de verwerking van biometrische gegevens heeft verstrekt, oordeelde de AEPD dat de verwerkingsverantwoordelijke artikel 35 AVG had geschonden.

5. Schending van artikel 15 van de AVG

Aangezien de verwerkingsverantwoordelijke niet effectief heeft geantwoord op de e-mail van de betrokkene met het verzoek om toegang tot zijn persoonsgegevens, heeft de GBA vastgesteld dat er sprake was van een inbreuk op de artikelen 12 en 15 van de AVG.

6. Boete

In het licht van de hiervoor genoemde overtredingen achtte de AEPD het passend om een dubbele boete op te leggen aan de verwerkingsverantwoordelijke:

  • € 200.000 voor de schending van artikel 35 AVG;
  • € 20.000 voor de schending van artikel 15 AVG.

Het totale bedrag van de boete bedroeg dus € 220.000.

Bron: AEPD (Spain) - EXP202212247 - GDPRhub (machine vertaling)

Naar het overzicht