Boete wegens afwezige of gebrekkige GDPR impactanalyse (DPIA) bij het gebruik van gezichtsherkenning (biometrie) | Agoria

Boete wegens afwezige of gebrekkige GDPR impactanalyse (DPIA) bij het gebruik van gezichtsherkenning (biometrie)

Afbeelding
Gepubliceerd op 16/09/21 door Thomas Van Gremberghe
De Spaanse Gegevensbeschermingsautoriteit heeft een supermarktketen een boete van 2.520.000 EUR opgelegd wegens het onrechtmatig gebruik van gezichtsherkenning (biometrie). Eén van de overtredingen was een onvolledige gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) voor het gebruik van biometrie. Schrijf u in voor onze Agoria Academy 'GDPR Data Protection Impact Assessment', zodat u leert wat een volledige DPIA moet inhouden.

Een supermarktketen had in 48 winkels gezichtsherkenningssystemen gebruikt om personen met strafrechtelijke veroordelingen of met een straatverbod wegens incidenten in winkels of met winkelbedienden op te sporen. Het gezichtsherkenningssysteem had daarbij ook opnames opgeslagen van alle klanten die de supermarkt bezochten en dus ook van kinderen en werknemers.

Het gebruik van biometrische gegevens (gezichtsherkenning, irisscan, vingerafdruk of handpalmherkenning) voor de unieke identificatie van personen kan worden beschouwd als een bijzondere categorie van persoonsgegevens (‘gevoelige persoonsgegevens), met als gevolg dat een strenger (GDPR-)regime van toepassing is.

De supermarktketen kon de naleving van de volgende GDPR-plichten niet (voldoende) aantonen:

  • Een geldige juridische rechtsgrond uit artikel 9 GDPR (dus een specifieke rechtsgrond voor de gevoelige persoonsgegevens)
  • Transparantie (privacy policy) naar de bezoekers en werknemers van de supermarkt toe – zie GDPR stap 3 - informatieplicht
  • Ontoereikende en onvolledige gegevensbeschermingseffectbeoordeling of data protection impact assessment (DPIA).
Wilt u weten wanneer een DPIA nodig is, wie deze moet opstellen en hoe hieraan te beginnen? Schrijf u dan zeker in voor de Agoria Academy 'GDPR Data Protection Impact Assessment'. Wij lichten het Agoria DPIA framework toe en leren u de nodige skills aan om een volledige DPIA uit te voeren.

De Spaanse Gegevensbeschermingsautoriteit stelde ook vast – volgend uit een gebrekkige DPIA – dat de principes van gegevensbescherming door ontwerp (data protection by design), minimale gegevensverwerking en de noodzakelijkheid en proportionaliteit van de verwerking te wensen overlieten.

Een grondige DPIA opstellen is helemaal geen evidente oefening en vele online beschikbare templates voldoen niet aan de vereisten van de GDPR of de aanbevelingen van de autoriteiten. Agoria heeft een DPIA framework opgesteld in nauwe samenwerking met de Telecomsector en de VUB. U kan zich via deze link inschrijven voor een grondige training.

Was dit artikel nuttig?