Berisping ondanks keuze voor ander systeem
De Spaanse Gegevensbeschermingsautoriteit (AEPD) heeft een bouwbedrijf een berisping gegeven wegens een inbreuk op artikel 35 AVG. Het bedrijf had geen DPIA uitgevoerd voorafgaand aan de invoering van een systeem om aan de hand van vingerafdrukken aanwezigheid te monitoren.
Toen een ex-werknemer een klacht indiende heeft het bouwbedrijf het systeem vervangen door een ander (niet biometrisch) systeem.
Ondanks het feit dat het bedrijf het biometrische registratiesysteem al had vervangen door een systeem dat minder inbreuk maakt, gaf de AEDP aan dat hoewel corrigerende maatregelen waren genomen, de klacht niet moest worden gearchiveerd alsof de inbreuk niet had plaatsgevonden. De AEPD gaf een berisping aan het bedrijf voor de schending van artikel 35 AVG vanwege het niet uitvoeren van een DPIA bij de implementatie van het biometrische registratiesysteem.
De AEPD uitte haar bezorgdheid over de groeiende trend in het gebruik van biometrische systemen en de wijze waarop deze inbreuk maken op grondrechten van betrokkenen, evenals over de centralisatie van opgeslagen biometrische gegevens, waardoor het risico op datalekken en onrechtmatige toegang tot deze gegevens toeneemt.
De AEPD oordeelde dat in dit geval, hoewel de afbeelding van de vingerafdruk zelf niet wordt opgeslagen, het feit dat hash en numerieke waarden op basis van de vingerafdruk worden ingevoerd in sjablonen die fysieke kenmerken registreren en kunnen worden gebruikt om een betrokkene individueel te identificeren, betekende dat deze gegevens moeten worden beschouwd als een speciale categorie persoonsgegevens in de zin van artikel 9 AVG . De AEPD bekeek vervolgens of het gebruik van een biometrisch registersysteem adequaat, noodzakelijk en proportioneel was met betrekking tot het doel dat het diende.
In dit geval merkte de AEPD op dat de Spaanse wet weliswaar een verplichting oplegde om toezicht te houden op de effectieve werktijden en taken die door werknemers worden uitgevoerd, maar dat zij geen specifieke methode of systeem vermeldt om dit te doen. De AEPD was van mening dat het bedrijf, alvorens een op vingerafdrukken gebaseerd identiteitsherkenningssysteem te implementeren, had moeten beoordelen of er een minder ingrijpende maatregel beschikbaar was om hetzelfde doel te bereiken. Op basis van de vaststelling dat de verwerkte biometrische gegevens overeenkwamen met een bijzondere categorie persoonsgegevens op grond van artikel 9 AVG, oordeelde de AEPD dat in dit geval een Data Protection Impact Assessment (DPIA) op grond van artikel 35 AVG had moeten worden uitgevoerd en dat het verzuim van de onderneming om er in dit geval een uit te voeren een duidelijke schending van de AVG was.
Bron: AEPD (Spanje) - PS/00052/2021 - GDPRhub