Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 365 000 euro mot CTC Externalización S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD mot sin arbetsgivare, CTC Externalización som samlat in fingeravtrycksuppgifter från anställda för att införa ett inloggningssystem.
CTC Externalización hävdade att fingeravtrycksläsaren var ett autentiseringssystem och inte ett identifieringssystem. Istället genererade fingeravtrycksläsaren en numerisk identifierare som matchade fingeravtrycket. Den numeriska identifieraren lagrades sedan i ett krypterat system som jämförde de genererade numeriska identifierarna. Fingeravtrycket raderades enligt uppgift omedelbart. Enligt CTC Externalización var det omöjligt att återskapa fingeravtrycket från den numeriska identifieraren.
AEPD konstaterade att den information om behandlingen som fanns tillgänglig i medarbetarportalen stred mot artikel 13.2 (d) och (e) GDPR eftersom den var felaktig, alltför allmän och otillräckligt informativ. I klausulen om behandling nämndes endast att ett system för inloggning med fingeravtryck håller på att införas, men det gavs ingen information om insamling, behandling eller lagring av uppgifter om fingeravtryck. CTC Externalización informerade inte vid något tillfälle de registrerade om deras rätt att lämna in ett klagomål till AEPD, vilket strider mot artikel 13.2 (d) GDPR.
Vidare konstaterade AEPD att CTC Externalización brutit mot artikel 32 GDPR eftersom det saknades tillräckliga säkerhetsåtgärder för att säkerställa radering och integritet av fingeravtrycksuppgifterna. I synnerhet kunde CTC Externalización inte visa hur fingeravtrycksuppgifterna kunde raderas efter varje skanning och kunde inte heller visa några tekniska åtgärder för att skydda de behandlade personuppgifterna. Även om fingeravtryckshashen och de unika numeriska identifierarna förvarades i separata tabeller, visade CTC Externalización inte några tekniska åtgärder för att säkerställa att lagringsplatserna hölls tillräckligt åtskilda.
Slutligen konstaterade AEPD att CTC Externalización brutit mot artikel 35 GDPR eftersom denne inte hade genomfört konsekvensbedömningar avseende dataskydd för fingeravtrycksuppgifterna, som är en särskild kategori av uppgifter enligt artikel 9.1 GDPR. AEPD:s publicerade lista över behandlingar som kräver en konsekvensbedömning avseende dataskydd omfattar uttryckligen biometriska uppgifter, förutom att de innebär höga risker för de registrerade.
AEPD drog slutsatsen att CTC Externalización brutit mot artiklarna 13, 32 och 35 GDPR och utdömde en sanktionsavgift på 360 000 euro.