Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 150 000 euro mot Card Services B.V. (ICS) för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att International Card Services (ICS) är ett företag som erbjuder finansiella produkter, främst debet- och kreditkort. 2019 inledde ICS en ny process för att identifiera sina kunder online med hjälp av en app som använder biometriska data, såsom ansiktsbilder och personnummer. Förutom till exempel namn, adress, telefonnummer och e-post till kunder samlade ICS alltså in ett foto som kunderna fick ta av sig själva och skicka via en mobiltelefon eller webbkamera. ICS använde sedan dessa foton för att jämföra dem med kopiorna av kundernas identitetshandlingar. Identitetskontrollen omfattade cirka 1,5 miljoner personer.
AP bedömde först och främst om ICS behandling innebar en hög risk för fysiska personers rättigheter och friheter. AP gjorde denna bedömning mot bakgrund av artikel 29-gruppens riktlinjer om “Konsekvensbedömning avseende dataskydd (DPIA)” och fastställande av huruvida behandling sannolikt leder till en hög risk vid tillämpningen av artikel 35 GDPR, där det anges att för att en behandling ska anses utgöra en hög risk måste minst två av de kriterier som anges i artikel 35.3 GDPR vara uppfyllda.
I det aktuella fallet ansåg AP att de behandlingar som utfördes av ICS uppfyllde två av dessa kriterier, nämligen behandling av känsliga uppgifter och behandling i stor skala. Faktum är att ICS behandlar flera uppgifter om sina kunder, bland annat ansiktsbilder och personnummer, och ICS har cirka 1,5 miljoner kunder som alla har varit tvungna att identifiera sig.
AP konstaterade därför att ICS brutit mot artikel 35.1 GDPR genom att inte utföra en konsekvensbedömning avseende dataskydd innan företaget startade processen. Finansinstitut är enligt AP skyldiga att verifiera sina kunders identitet och kan använda sådan information för detta ändamål, men de måste enligt myndigheten vara extremt försiktiga med informationen. Det innebär till exempel att en konsekvensbedömning avseende dataskydd är obligatorisk. AP beslutade att utfärda en sanktionsavgift på 150 000 euro mot ICS för överträdelse av artikel 35.1 GDPR.