FC Barcelona op de vingers getikt: geen DPIA uitgevoerd, wel verplicht!
Fútbol Club Barcelona (FC Barcelona) voerde een digitale campagne uit om het ledenregister bij te werken, waarbij leden van de club verplicht zijn om hun gegevens up-to-date te houden volgens de statuten. De online procedure om dit te bewerkstelligen vroeg leden hun identiteitsdocument te scannen, een realtime selfie te maken en hoofdbewegingen te volgen, waarna het systeem één-op-één het documentbeeld met de selfie vergeleek. Het systeem van FC Barcelona keek naar de biometrische vectoren van beide beelden en vergeleek deze real-time. Het documentbeeld zou na vergelijking worden verwijderd en de foto worden bewaard. De versleutelde vectoren werden voor een periode van zeven dagen bewaard binnen de EER. De biometrische verwerking kon worden vermeden door de gegevens persoonlijk bij de club te updaten (ongeveer 12.000 leden kozen hiervoor).
Standpunten
Volgens de club vond de verwerking haar grondslag in artikel 6, lid 1, onder b AVG, aangezien deze noodzakelijk zou zijn voor de uitvoering van het lidmaatschapscontract en de statutaire verplichtingen jegens de leden. Daarnaast konden leden optioneel een stemopname verstrekken voor telefonische authenticatie, waarvoor afzonderlijk toestemming werd gevraagd.
Voorafgaand aan de verwerking heeft FC Barcelona een risicoanalyse uitgevoerd, waaruit volgens de club volgde dat geen gegevensbeschermingseffectbeoordeling (DPIA) in de zin van artikel 35 AVG vereist was. De club stelde verder dat het niet ging om bijzondere categorieën persoonsgegevens (artikel 9 AVG), omdat het slechts om één-op-één verificatie ging en niet om het aanleggen van een biometrische identificatiedatabase.
De klager stelde daarentegen dat FC Barcelona met deze werkwijze biometrische gegevens verwerkt, zonder dat daarvoor sprake is van vrijwillige en ondubbelzinnige toestemming van de betrokkenen.
Beoordeling AEPD
De AEPD (Spaanse privacytoezichthouder) oordeelde dat de club gezichtsbiometrische gegevens verwerkte in de zin van artikel 4, lid 14 AVG en dat deze verwerking daarmee onder de bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1 AVG valt, aangezien het systeem gezichtskenmerken technisch verwerkte met het oog op de unieke identificatie van een persoon. De autoriteit verwierp het argument van FC Barcelona dat één-op-één verificatie buiten de reikwijdte van artikel 9 AVG zou vallen. Het beslissende criterium is het gebruik van biometrische gegevens voor identificatie of authenticatie, ongeacht of sprake is van één-op-één of één-op-velen verificatie.
De AEPD stelde vast dat de grondslag van artikel 6, lid 1, onder b AVG de verbodsbepaling van artikel 9, lid 1 AVG niet kan opheffen en dat de verwerkingsverantwoordelijke geen geldige uitzondering als bedoeld in artikel 9, lid 2 AVG heeft aangetoond. Expliciete en vrij gegeven toestemming op grond van artikel 9, lid 2, onder a AVG ontbrak, nu de gezichtsvergelijking een verplicht onderdeel van de digitale procedure vormde. De mogelijkheid om de gegevens fysiek te laten bijwerken maakt deze verplichting niet vrijwillig.
Daarnaast oordeelde de AEPD dat de grootschalige en systematische inzet van biometrie (140.000+ leden) een onevenredige inbreuk vormt op de privacy van betrokkenen. FC Barcelona heeft bovendien niet aangetoond dat geen minder ingrijpende maatregelen hadden kunnen worden genomen.
Op grond van het voorgaande oordeelde de AEPD dat een gegevensbeschermingseffectbeoordeling (DPIA) op grond van artikel 35 AVG verplicht was, gelet op het grootschalige gebruik van innovatieve biometrische technologie voor de verificatie van betrokkenen. De uitgevoerde interne risicoanalyse voldeed derhalve niet aan de vereisten van artikel 35 AVG.
De Spaanse autoriteit heeft FC Barcelona daarom een boete van €500.000 opgelegd wegens het niet uitvoeren van een verplichte DPIA.