Gezichtsherkenning ingezet? Dan is een DPIA verplicht.

Gezichtsherkenning ingezet? Dan is een DPIA verplicht.

De Spaanse toezichthouder AEPD heeft een duidelijke lijn getrokken. Organisaties die gezichtsherkenning inzetten, moeten vooraf een DPIA uitvoeren. Dat blijkt uit een recente zaak waarin een sportcentrum een boete van €96.000 kreeg, omdat het zonder DPIA een verplicht gezichtsherkenningssysteem invoerde voor toegang tot de sportfaciliteiten.

Wat was er aan de hand?

Het bedrijf SIDECU S.A. verving de bestaande toegangscontrole door een systeem op basis van gezichtsherkenning. Leden werden niet geïnformeerd, er werd geen toestemming gevraagd en er was geen alternatief beschikbaar. Een aantal leden weigerde het gebruik van het systeem, waarna het bedrijf hen geen toegang meer gaf.

In totaal kwamen negen klachten binnen bij de AEPD, waaronder één van de consumentenorganisatie FACUA.

SIDECU stelde dat:

  • er geen persoonsgegevens zouden worden verwerkt;
  • gezichtsherkenning niet tot identificatie zou leiden;
  • er daarom geen DPIA nodig was;
  • leden via borden in het sportcentrum voldoende waren geïnformeerd.

Waarom oordeelde de AEPD anders?

1. Er worden wél persoonsgegevens verwerkt (artikel 9 AVG)

De AEPD was glashelder. Gezichtsdata zijn persoonsgegevens, omdat ze worden gebruikt om de identiteit van een persoon te bevestigen. Dit valt zelfs onder bijzondere categorieën gegevens. Daarmee is verwerking zonder grondslag op artikel 9 lid 2 AVG verboden. Toestemming kon niet gelden, omdat het systeem verplicht was en dus niet vrij gegeven.

2. DPIA was verplicht (artikel 35 AVG)

Gezichtsherkenning staat op de lijst van verwerkingen met een hoog risico. Een DPIA was dus nodig. Het bedrijf had bovendien niet beoordeeld of het gebruik van gezichtsherkenning noodzakelijk en evenredig was. Hierdoor was sprake van een duidelijke schending van artikel 35 AVG.

3. Onvoldoende informatievoorziening (artikel 13 AVG)

Het enige bord in het sportcentrum voldeed niet. Leden werden niet geïnformeerd over:

  • het gebruik van biometrische gegevens;
  • de doeleinden van de verwerking;
  • de risico’s;
  • hun rechten als betrokkene.

Omdat het bedrijf bovendien stelde dat er geen persoonsgegevens werden verwerkt, beschouwde de AEPD dit als een ernstige overtreding.

De boete en maatregelen

De AEPD legde een totale boete op van €160.000.

  • €80.000 voor schending van artikel 9 AVG
  • €50.000 voor schending van artikel 35 AVG
  • €30.000 voor schending van artikel 13 AVG

Met vrijwillige betaling en erkenning van aansprakelijkheid werd dit bedrag met 40% verlaagd tot €96.000.

Daarnaast moet SIDECU:

  • alsnog een DPIA uitvoeren;
  • betrokkenen volledig informeren;
  • het systeem stopzetten als geen geldige grondslag wordt gevonden of als het niet aan de noodzakelijkheid en evenredigheid voldoet.

De AEPD legde bovendien een tijdelijk verbod op het gebruik van gezichtsherkenning op.

Naar het overzicht

GRATIS PROEFLICENTIE

Direct weten of u persoonsgegevens met een hoog risico verwerkt?
Beoordeel eenvoudig of u een DPIA moet uitvoeren.

Gratis Proeflicentie

via WhatsApp