Sportclub in Litouwen beboet voor gebruik vingerafdrukken van klanten en werknemers
De Inspectie voor gegevensbescherming van Litouwen (VDAI) heeft een onderzoek ingesteld naar de verwerking van biometrische persoonsgegevens in een sportclub en een boete van € 20.000 opgelegd voor de vastgestelde overtredingen van de AVG aan UAB VS FITNESS. De boete werd opgelegd wegens inbreuken op artikel 5, lid 1, onder a) en c), artikel 9, lid 1, artikel 13, leden 1 tot en met 2, artikel 30, artikel 35, lid 1, van de AVG, d.w.z. voor de verwerking van biometrische gegevens zonder de vrijwillige toestemming van de betrokkenen, alsmede voor het niet waarborgen van andere vereisten voor geldige toestemming en het recht van betrokkenen om te worden geïnformeerd over de gegevensverwerking. Ook werd vastgesteld dat de onderneming geen DPIA van de verwerking van biometrische gegevens had uitgevoerd en geen operationele gegevens had bijgehouden.
Machinevertaling bericht VDAI:
De toezichthoudende autoriteit voor de bescherming van persoonsgegevens heeft een onderzoek uitgevoerd naar VDAI na ontvangst van een kennisgeving van een natuurlijke persoon waarin stond dat om gebruik te kunnen maken van de diensten van een sportclub die eigendom is van het bedrijf, vingerafdrukscanning noodzakelijk is, er geen andere alternatieve identificatiemiddelen zijn in de genoemde sportclub, in overeenstemming met de procedure die is vastgesteld in de wet op de rechtsbescherming van persoonsgegevens van de Republiek Litouwen, op eigen initiatief een inspectie heeft uitgevoerd in verband met een mogelijke schending van de AVG toen het bedrijf vingerafdrukken behandelde.
Verwerking van biometrische gegevens van klanten.
Volgens de AVG worden biometrische gegevens geclassificeerd als speciale categorieën gegevens die volgens de algemene regel verboden zijn, behalve onder de voorwaarden van artikel 9, lid 2, van de AVG. Het bedrijf verwerkte de vingerafdrukmodellen van zijn klanten op basis van de toestemming van de betrokkenen, d.w.z. op basis van artikel 9, lid 2, onder a), van de AVG. De VDAI merkte op dat als de voor de verwerking verantwoordelijke zich beroept op de toestemming van de betrokkene als voorwaarde voor rechtmatige verwerking, hij ervoor moet zorgen dat de toestemming van de betrokkene voldoet aan de voorwaarden daarvoor (vrijwilligheid, specificiteit, redelijkheid, ondubbelzinnigheid, evenals aantoonbaarheid en reversibiliteit). De VDAI stelde na een inspectie vast dat de toestemming van klanten voor de verwerking van hun vingerafdrukmodellen niet vrijwillig was en niet voldeed aan andere vereisten voor geldige toestemming, wat VDAI ertoe bracht te beslissen dat de onderneming de binaire vingerafdrukcodes van klanten onrechtmatig verwerkte.
Verwerking van biometrische gegevens van werknemers.
Daarnaast stelde VDAI vast dat het bedrijf ook onrechtmatig de vingerafdrukken van werknemers verwerkte. De VDAI merkte op dat de toestemming van een werknemer voor een machtsonevenwichtigheid over het algemeen niet wordt beschouwd als een geschikte voorwaarde voor de verwerking van persoonsgegevens. VDAI specificeerde niet met welk doel en op welke rechtsgrond zij de biometrische gegevens van werknemers verwerkt, had geen gegevensbeschermingseffectbeoordeling uitgevoerd en evenmin de noodzaak en evenredigheid van de verwerking van vingerafdrukken van werknemers aangetoond. De VDAI merkte op dat betrokkenen het recht hebben om geïnformeerd te worden over de verwerking van hun gegevens. Na de verificatie stelde de VDAI vast dat het bedrijf de betrokkenen niet alle informatie verstrekt die vereist is door de AVG.
Gewichtige omstandigheden bij de beslissing over het bedrag van de geldboete.
Bij de beslissing over de oplegging van een bestuurlijke boete heeft VDAI alle relevante omstandigheden beoordeeld. De VDAI heeft rekening gehouden met het feit dat de verwerking van bijzondere categorieën gegevens zonder enige uitzondering, in strijd met de vereisten van artikel 5, lid 1, onder a) en c), en artikel 9, lid 1, van de AVG, evenals de onjuiste uitoefening van het recht van betrokkenen om op de hoogte te worden gesteld van de verwerking, in strijd met artikel 13, leden 1 tot en met 2, van de AVG, naar zijn aard een categorie van ernstiger inbreuken is (artikel 8).
Het bedrijf had eerder onder meer de opdracht gekregen om biometrische gegevens te verwerken bij een andere sportclub die eigendom is van het bedrijf. Dit bevestigde dat de onderneming zich bewust was van de noodzaak om ervoor te zorgen dat de toestemming van klanten voor de verwerking van hun biometrische gegevens onderworpen was aan de vrijwillige eis dat een gelijkwaardig, optioneel alternatief voor identificatie in sportclubs (zonder het gebruik van binaire vingerafdrukcodes) moest worden aangeboden. Ook moet de mogelijkheid voor de klant om het gebruik van het vingerafdrukmodel op elk moment te annuleren, worden geregeld. Tegen deze achtergrond beschouwde VDAI de onrechtmatige verwerking van biometrische gegevens van klanten van VDAI als een opzettelijke inbreuk. VDAI hield ook rekening met andere factoren die de aansprakelijkheid van de onderneming verergerden en verzachten. Bij de beslissing over de hoogte van de boete hield VDAI rekening met de door het bedrijf verstrekte informatie over de omzet in het voorgaande en het lopende jaar, evenals met de omstandigheden die het bedrijf naar voren bracht dat sportclubs dit jaar ernstig werden beperkt vanwege de coronaviruspandemie. Deze beslissing van de VDAI is niet geldig en kan worden aangevochten bij de rechtbank.
Bron: Bericht VDAI 21.06.2021