Rond DPIA proces af met ondertekening
De Spaanse toezichthouder (AEPD) legde een universiteit een boete van €160.000 op omdat zij geen geldige toestemming van studenten had verkregen om hun identiteit te verifiëren bij het afleggen van online examens via een systeem dat gebruikmaakte van gezichtsherkenning.
De feiten
Universidad Europea de Valencia (de verwerkingsverantwoordelijke) is een universiteit. In 2024 heeft de controller een systeem geïmplementeerd om studenten die online examens afleggen te monitoren. Dit systeem gebruikte gezichtsherkenning om de identiteit van studenten te verifiëren en eventueel verdacht gedrag (video en audio) tijdens het examen te detecteren. De controller stopte met het gebruik van dit systeem na een proefperiode, maar het systeem verwerkte de persoonsgegevens van 153 betrokkenen. De beheerder stuurde de betrokkenen een e-mail met een toestemmingsformulier vóór de examendatum, waarin de mogelijkheid werd aangeboden om de examens later zonder gezichtsherkenning af te leggen als ze geen toestemming gaven (het systeem zou hen echter wel monitoren).
Een betrokkene diende een klacht in bij de AEPD. Tijdens haar onderzoeken stelde de AEPD vast dat de beheerder niet had bewezen dat hij toestemming had verkregen van betrokkenen om hun gegevens via het examenmonitoringsysteem te verwerken op het moment van inschrijving. Daarnaast voerde de beheerder pas na de gecontroleerde examens een Data Protection Impact Assessment (DPIA) uit. De beheerder voerde aan dat hoewel het biometrische persoonsgegevens verwerkte, dit een geringe impact had omdat het bedoeld was om het betrokkene te verifiëren en niet om deze te identificeren. Bovendien voerde de beheerder aan dat de verwerkingsactiviteiten rechtmatig waren onder artikel 9(2)(a) van de AVG, omdat zij toestemming hadden verkregen van de betrokkenen.
De uitspraak
De AEPD verduidelijkte eerst dat de universiteit de controller was, omdat zij de middelen en het doel van de verwerking bepaalde. Daarnaast legde zij uit dat de beheerder biometrische persoonsgegevens verwerkte in de zin van artikel 4(14) AVG, omdat het doel was om een gegevenspersoon te identificeren of te authenticeren.
De AEPD stelde een schending vast van artikel 9 van de AVG. Artikel 9(1) AVG verbiedt de verwerking van biometrische persoonsgegevens met het doel een gegevenspersoon uniek te identificeren, tenzij er een uitzondering is onder Artikel 9(2) AVG. De AEPD stelde dat hoewel de beheerder toestemming had verkregen, deze niet voldeed aan de eisen van de AVG om als geldig te worden beschouwd. De beheerder vroeg toestemming aan de betrokkenen en informeerde hen de dag voor het examen over de alternatieve examendata. Deze tijdsdruk beïnvloedt de beslissing van de betrokkene, wat betekent dat de toestemming niet vrijwillig is gegeven. De AEPD merkte ook op dat de informatie die bij inschrijving werd verstrekt vaag was en niet werd vermeld dat persoonlijke gegevens via gezichtsherkenning werden verwerkt.
De AEPD stelde ook een schending vast van artikel 35 van de AVG. De AEPD stelde dat de beheerder verplicht was een DPIA uit te voeren voordat de verwerkingsactiviteiten werden gestart als deze waarschijnlijk een hoog risico voor de rechten en vrijheden van de betrokkenen zouden opleveren. In dit geval voerde de controller deze DPIA uit nadat de verwerkingsactiviteiten waren begonnen, en deze was niet ondertekend. De AEPD benadrukte dat het verwerken van biometrische gegevens niet triviaal of laag risico is, en dat de beheerder daarom de noodzaak en proportionaliteit van het verwerken van deze gegevens had moeten overwegen. Volgens de AEPD betekende het feit dat de controller later een alternatief voor gezichtsherkenningsmonitoring bood dat hij minder indringende methoden voor monitoring van onderzoeken niet overwoog in overweging.
De AEPD legde de beheerder in totaal €200.000 op: €50.000 voor schending van artikel 9 van de AVG en €150.000 voor de schending van artikel 35 van de AVG. Overeenkomstig Wet 39/2015, een Spaanse wet betreffende administratieve procedures, heeft de AEPD de controller meegedeeld dat zij vrijwillig de voorgestelde boete kan betalen en afstand mag doen van hun recht op beroep. Deze maatregel verlaagt de opgelegde boete met 20%. De Universiteit koos ervoor een vrijwillige betaling te doen en verlaagde de boete met 20%, waarbij hij het verlaagde sanctiebedrag van €160.000 betaalde.
Hoewel de beheerder gevoelige categorieën persoonsgegevens verwerkte (Artikel 9 AVG), vond de AEPD ook dat authenticatie een lager risico had voor de rechten van de betrokkenen dan identificatie. Daarnaast beschouwde de AEPD de inspanningen van de beheerder om gegevens te verwerken op een geldige juridische basis.
Bron: AEPD (Spanje) - EXP202405320 - GDPRhub
Machinevertaling