Boete voor niet tijdige DPIA
De Spaanse toezichthouder (AEPD) heeft Burgos Club de Fútbol een boete opgelegd. De DPIA vond maanden na de start van de verwerking plaats. De persoonsgegevens zijn daardoor gedurende meer dan 3 maanden verwerkt in strijd met artikel 35 AVG.
De AEPD heeft de voetbalclub een boete van 200.000 euro opgelegd wegens het ontbreken van een wettelijke basis voor het verwerken van vingerafdrukgegevens en het schenden van verplichtingen van noodzakelijkheid en evenredigheid. De voetbalclub erkende zijn fout en betaalde een lagere boete van 120 000 euro in overeenstemming met het nationale recht.
Feiten
Op 4 november 2022 heeft Burgos Club de Fútbol, S.A.D. (de verwerkingsverantwoordelijke) een systeem voor het verzamelen van biometrische gegevens geïmplementeerd waarbij de ongeveer 700 leden van de "juichtribunes" hun vingerafdrukken moesten afstaan om toegang te krijgen. De biometrische verwerking was vereist door een overeenkomst die was aangenomen door de Staatscommissie tegen geweld, racisme, vreemdelingenhaat en onverdraagzaamheid in de sport (Staatscommissie). Het vingerafdruksysteem, dat door de Spaanse voetbalbond (La Liga) aan voetbalclubs werd gedistribueerd, verzamelde de namen van betrokkenen, nationale identiteitskaartnummers, systeemidentificatienummers en vingerafdrukpatronen. Het verving het vorige toegangssysteem, dat toegang mogelijk maakte na verificatie van identiteitskaarten.
De verwerkingsverantwoordelijke heeft op 4 november 2022 op haar website een mededeling gepubliceerd over het systeem en dat het akkoord van de Staatscommissie daaraan aan de basis lag. Het systeem werd voor het eerst gebruikt tijdens een wedstrijd op 8 december 2022. Dit was verplicht om de juichtribunes te betreden. Het systeem stelde geen minimumleeftijd vast, waardoor het verzamelen van biometrische gegevens van minderjarigen van wie de ouders of voogden toestemming gaven, mogelijk was.
Op 4 en 7 november 2022 werden klachten ingediend bij de AEPD met het argument dat de biometrische controle buitensporig was en de betrokkenen niet adequaat werden geïnformeerd over de verwerking.
Op 15 februari 2023 heeft de verwerkingsverantwoordelijke de verplichte verzameling van biometrische gegevens stopgezet en in plaats daarvan de betrokkenen de mogelijkheid gegeven om binnen te komen met hun identiteitskaart of met vingerafdrukken. Op 19 februari 2023 heeft de verwerkingsverantwoordelijke de leden op de hoogte gesteld van de beleidswijziging en de wijziging doorgevoerd bij een voetbalwedstrijd. Op dezelfde dag ontving de verwerkingsverantwoordelijke een kopie van Dictamen 98/22, dat aanvankelijk aan La Liga was toegezonden, waarin de AEPD verklaarde dat de verplichtingen van de Staatscommissie inzake biometrische verwerking niet in overeenstemming waren met de AVG.
De verwerkingsverantwoordelijke heeft zichzelf geïdentificeerd als de verwerkingsverantwoordelijke voor de betrokken biometrische gegevens. Zij verklaarde dat het doel van de verwerking was om te voldoen aan de vereisten die door de Staatscommissie waren vastgesteld met het oog op geweldpreventie, en voerde aan dat dit systeem doeltreffender en betrouwbaarder was dan het gebruik van identiteitskaarten. De verwerkingsverantwoordelijke heeft zijn vermeende protocol in geval van inbreuken op de beveiliging niet verstrekt en heeft aangegeven dat er geen specifieke maatregel wordt toegepast, maar dat hij in plaats daarvan plannen maakt voor toekomstige maatregelen, aangezien er momenteel geen nieuwe biometrische gegevens worden vastgelegd.
Beoordeling
De AEPD adviseerde een sanctieprocedure tegen de verwerkingsverantwoordelijke en constateerde waarschijnlijke schendingen van artikel 5, lid 1, onder c), 8, 9, 13 en 35 van de AVG.
De AEPD heeft een waarschijnlijke schending van artikel 35 AVG vastgesteld. Artikel 35 AVG vereist dat voorafgaand aan de verwerking van gegevens met een hoog risico een DPIA plaatsvindt, waarbij overeenkomstig artikel 35, lid 4 AVG biometrische gegevens altijd als zodanig worden beschouwd. Hoewel de verwerkingsverantwoordelijke op 15 februari 2023 een DPIA heeft overgelegd, is de verwerking op 4 november 2022 gestart. De beoordeling vond dus maanden na de verwerking plaats, wat aangeeft dat biometrische gegevens gedurende meer dan 3 maanden werden verwerkt in strijd met artikel 35 AVG.
Ten tweede oordeelde de AEPD dat de verwerkingsverantwoordelijke geen rechtsgrondslag had om de biometrische gegevens te verwerken, aangezien er geen uitzondering op grond van artikel 9, lid 2, AVG van toepassing was. Vóór 15 februari 2023 heeft de verwerkingsverantwoordelijke aangegeven dat de verwerking noodzakelijk was om te voldoen aan een wettelijke verplichting, waarbij een rechtsgrondslag voor verwerking werd vastgesteld op grond van artikel 6, lid 1, onder c), artikel 9, lid 2, onder b) en artikel 9, lid 2, onder g) AVG.
In het licht van advies 98/22 van de AEPD heeft de verwerkingsverantwoordelijke zijn rechtsgrondslag na 15 februari 2023 gewijzigd in toestemming op grond van artikel 6, lid 1, onder a), en artikel 9, lid 2, onder a) AVG. De verwerkingsverantwoordelijke heeft niet betwist dat de verwerking van gegevens vóór 15 februari 2023 geen wettelijke grondslag had.
Ten derde oordeelde de AEPD dat de verwerking zowel vóór als na 15 februari 2023 in strijd was met de beginselen van gegevensminimalisatie. De kwalificatie als een bijzondere categorie van gegevens vereist bijzondere voorzichtigheid naast de verplichtingen van artikel 5, lid 1, onder c) AVG. Op grond van artikel 35, lid 7, van de AVG, zo benadrukte de AEPD, moeten de verwerkingsverantwoordelijken ook de geschiktheid, noodzaak en evenredigheid van de verwerking analyseren alvorens bijzondere categorieën gegevens te verwerken. Wanneer er niet-biometrische opties bestaan die hetzelfde doel dienen, is het niet nodig om speciale categorieën gegevens te verwerken en is dit in strijd met de AVG. In dit geval was de verwerking niet noodzakelijk of proportioneel, omdat de veiligheidsdoeleinden hadden kunnen worden gediend door het vorige ID-controlesysteem. De AEPD verwierp het argument van de verwerkingsverantwoordelijke dat het biometrische gegevenssysteem doeltreffender was omdat het betrouwbaarder was, en oordeelde dat de bewering niet werd onderbouwd. De AEPD heeft ook aangegeven dat het bevel van de Staatscommissie om het systeem voor het nemen van vingerafdrukken in te voeren een verplichting oplegde, onvoldoende was om een systeem als passend, noodzakelijk of evenredig te rechtvaardigen. Deze tekortkomingen vormden een schending van artikel 5, lid 1, onder c), van de AVG.
Bovendien werd vastgesteld dat de verwerkingsverantwoordelijke zowel vóór als na 15 februari 2023 artikel 8 AVG overtrad, omdat hij minderjarigen toestond biometrische gegevens te gebruiken om de juichtribunes te betreden zonder een minimumleeftijd vast te stellen.
Ten slotte oordeelde de AEPD dat de verwerkingsverantwoordelijke bij zijn verwerking vóór 15 februari 2023 niet voldeed aan de informatieverplichtingen uit hoofde van artikel 13 AVG. In de informatieve documenten van de verwerkingsverantwoordelijke stond dat het noodzakelijk was dat de betrokkenen instemden met biometrische verwerking om toegang te krijgen tot de juichtribunes. Aangezien er, zoals eerder besproken, vóór 15 februari 2023 geen rechtsgrond was voor de verwerking van de gegevens, oordeelde de AEPD dat de onjuiste vermelding van de wettelijke verplichting een verzuim vormde om de betrokkenen adequaat te informeren over de verwerking van hun gegevens en dus een schending van artikel 13 AVG vormde.
Gezien deze overtredingen heeft de AEPD besloten een sanctieprocedure tegen de verwerkingsverantwoordelijke in te leiden en een sanctie van 200.000 euro aanbevolen. Op grond van wet 39/2015, een Spaanse wet betreffende administratieve procedures, heeft de AEPD de verwerkingsverantwoordelijke meegedeeld dat zij haar verantwoordelijkheid voor de vermeende overtredingen kan erkennen en/of de voorgestelde boete kan betalen. Elk van deze acties verlaagt de opgelegde boete met 20%. De verwerkingsverantwoordelijke koos ervoor om de boete met 40% te verlagen, zowel door zijn verantwoordelijkheid voor de overtredingen te erkennen als door het verlaagde boetebedrag van 120.000 euro te betalen.
Bron: AEPD (Spain) - EXP202213792 - GDPRhub