DPIA noodzakelijk om te voldoen aan verantwoordingsplicht
De Spaanse Gegevensbeschermingsautoriteit (AEPD) heeft een verwerkingsverantwoordelijke een boete van € 20.000 euro (verlaagd tot € 16.000 euro) opgelegd voor de implementatie van een biometrisch identificatiesysteem zonder vooraf een DPIA uit te voeren. De AEPD bepaalde dat de voor de verwerking verantwoordelijke, voorafgaand aan de implementatie van het biometrische systeem, een DPIA had moeten uitvoeren. Een verwerkingsverantwoordelijke moet immers kunnen aantonen dat hij zich aan het verantwoordingsbeginsel houdt. Daarvoor moet een verwerkingsverantwoordelijke alle gegevensverwerkingsactiviteiten documenteren om de risico's tot een minimum te beperken en de toekomstige verwerking analyseren, zodat hij kan bepalen hoe de rechten van de betrokkenen zullen worden beïnvloed. In geval van een hoog risico, zoals in dit geval, moet de verwerkingsverantwoordelijke een DPIA uitvoeren, wat een verplichte voorafgaande stap is om aan de AVG te voldoen.
Wat was het geval?
Een vakbond van werknemers had bij de AEPD een klacht ingediend tegen een onderneming die een biometrisch identificatiesysteem had ingevoerd om de toegang van werknemers te controleren aan de hand van hun vingerafdruk, een systeem dat samen met een kaartleessysteem werd gebruikt. Het bedrijf telde 520 werknemers.
Volgens de vakbond was het systeem:
- onevenredig, aangezien er reeds twee toegangscontrolesystemen bestonden;
- onnodig, aangezien deze systemen reeds doeltreffend en minder indringend waren;
- het systeem slechts een controlemethode is, aangezien het alleen op werkplekken werd geplaatst
- er was geen sprake van vrije toestemming, aangezien de werknemers verplicht waren het toestemmingsdocument te ondertekenen.
Volgens het bedrijf was het systeem noodzakelijk en efficiënter dan het oude. Het bedrijf voerde aan dat de werkplek zo groot was dat de werknemers 20 minuten moesten lopen om hun werkplek te bereiken, en dat er dus een extra controlesysteem nodig was om te bepalen wanneer zij hun werkplek daadwerkelijk hadden betreden. Het bedrijf voerde ook aan dat het biometrische systeem betrouwbaarder is dan het gebruik van kaarten, aangezien mensen de kaart van een andere werknemer zouden kunnen gebruiken. Het was de bedoeling de kaarten te vervangen door het biometrische systeem.
Het project werd voorgelegd aan de Ondernemingsraad, die het verwierp en het meldde bij de arbeidsinspectie. Deze klacht werd gearchiveerd.
Volgens het bedrijf gebruikte het systeem alleen een gecodeerd biometrisch sjabloon, dat werd gebruikt om het te vergelijken met de biometrische gegevens (vingerafdruk) die in de lokale databank waren opgeslagen om het te verifiëren, maar zonder beelden op te slaan, aangezien het een verificatie/authenticatiesysteem (één op één) was.
Het bedrijf toonde ook een vooraf uitgevoerde risicoanalyse, waarvan het resultaat "laag risico" was, en derhalve werd geen DPIA uitgevoerd.
Conclusies AEPD
Ten eerste concludeerde de AEPD dat het systeem geen één-op-één-systeem was, zoals het bedrijf beweerde, maar een één-op-veel-systeem, waarbij de biometrische gegevens werden vergeleken met de biometrische sjablonen van alle werknemers om de identiteit van de betrokkene te verifiëren.
Volgens de AEPD zijn biometrische systemen zeer ingrijpend voor de rechten en vrijheden van de betrokkene en zijn zij daarom in het algemeen verboden; beperkingen moeten restrictief worden uitgelegd.
De AEPD merkt op dat artikel 9 van de GDPR voorziet in een uitzondering wanneer verwerking noodzakelijk is voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de voor de verwerking verantwoordelijke of de betrokkene op het gebied van werkgelegenheid. Voorts merkt de AEPD op dat artikel 88 GDPR de lidstaten de mogelijkheid biedt specifiekere regels vast te stellen om de bescherming van de rechten en vrijheden met betrekking tot de verwerking van persoonsgegevens van werknemers in het kader van de arbeidsverhouding te waarborgen. Die regels omvatten passende en specifieke maatregelen om de menselijke waardigheid, de legitieme belangen en de grondrechten van de betrokkene te vrijwaren.
De AEPD betoogde hier dat, aangezien de verwerking noodzakelijk moet zijn, de voor de verwerking verantwoordelijke deze noodzaak moet onderbouwen. De AEPD was echter van mening dat er alternatieve systemen bestaan die voldoen aan de beginselen van minimalisering, evenredigheid en noodzakelijkheid, en dat de voor de verwerking verantwoordelijke, om biometrische systemen te kunnen gebruiken, moet aantonen dat hij een hoog niveau van proactieve verantwoordingsplicht en ingebouwde privacy heeft geïmplementeerd, met inbegrip van een rechtvaardiging voor de noodzaak en evenredigheid van het systeem, waarbij hij verklaart dat er geen minder indringende alternatieven zijn voor de doeleinden waarvoor het systeem moet worden gebruikt.
Alvorens een dergelijk systeem in te voeren, had de voor de verwerking verantwoordelijke een DPIA moeten uitvoeren, om na te gaan of een alternatieve, minder indringende methode mogelijk was om dezelfde resultaten te bereiken.
De AEPD merkte ook op dat de voor de verwerking verantwoordelijke het document waarmee hij de toestemming van de werknemers heeft verkregen, niet heeft verstrekt. De gegevensbeschermingsautoriteit merkte ook op dat de verwerking, in tegenstelling tot wat de voor de verwerking verantwoordelijke had beweerd, niet kon zijn gebaseerd op de rechtsgrondslag van artikel 6, lid 1, onder b), van de GDPR, aangezien de toegangscontrole niet noodzakelijk is voor de uitvoering van een overeenkomst. In elk geval zou kunnen worden betoogd dat het zich had kunnen beroepen op artikel 6, lid 1, onder c), op de norm die de toegangscontrole voor werknemers regelt, zolang het de gegevensbeschermingsbeginselen maar respecteerde.
Vervolgens betoogde de AEPD dat toestemming altijd een uitzondering moet zijn in het kader van arbeidsverhoudingen, aangezien er een risico van dwang bestaat. Bovendien moet de toestemming kunnen worden ingetrokken zonder dat dit negatieve gevolgen heeft. Er moet ook een mogelijkheid zijn om de toestemming in de eerste plaats niet te geven.
Tot slot concludeerde de AEPD dat de voor de verwerking verantwoordelijke voorafgaand aan de invoering van het biometrische systeem een DPIA had moeten uitvoeren. De voor de verwerking verantwoordelijken moeten de naleving kunnen aantonen, overeenkomstig het verantwoordingsbeginsel, waarvoor het noodzakelijk is dat de voor de verwerking verantwoordelijken alle gegevensverwerkingsactiviteiten documenteren om de risico's tot een minimum te beperken, en dat de voor de verwerking verantwoordelijken de toekomstige verwerking analyseren, zodat zij kunnen bepalen hoe de rechten van de betrokkenen zullen worden beïnvloed. In geval van een hoog risico, zoals in dit geval, moet de voor de verwerking verantwoordelijke een DPIA uitvoeren, wat een verplichte voorafgaande stap is om aan deze verordening te voldoen, en moet hij ook alle andere verplichtingen nakomen, zoals het vertrouwen op een geldige rechtsgrondslag en het naleven van de beginselen inzake gegevensbescherming.
Aangezien de voor de verwerking verantwoordelijke geen DPIA had uitgevoerd, besloot het AEPD hem een boete op te leggen van €20.000 euro, die werd verlaagd tot €16.000 euro wegens vrijwillige betaling, voor een inbreuk op artikel 35 GDPR.
Vertaald met www.DeepL.com/Translator (gratis versie)
Bron: AEPD (Spain) - PS/00050/2021 - GDPRhub