Agencia Espanola Proteccion Datos (AEPD) har bötfällt Gsma Ltd. med 200 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Gsma år 2021 anordnade en kongress i Barcelona och krävde att de som deltog i en personlig konferens skulle ladda upp sin identitetshandling när de registrerade sig för evenemanget på Gsmas webbplats. Vid registreringen kunde deltagarna välja vilken typ av auktorisering som skulle utföras vid ingången till evenemanget: automatiserad eller manuell auktorisering. Den automatiska auktoriseringen gjordes av ett system som använder ansiktsigenkänning för att jämföra den tagna bilden av deltagarens ansikte med fotot på identitetshandlingen. Deltagare som valde automatisk auktorisering ombads ge sitt samtycke till att deras biometriska uppgifter användes.
En registrerad, som hade bjudits in som talare, lämnade in ett klagomål till AEPD och hävdade att det inte fanns någon rättslig grund för att använda ansiktsigenkänning i detta sammanhang.
Gsma hävdade att syftet med att använda ansiktsigenkänning var att undvika personlig kontakt vid ingången till evenemanget och därmed förhindra smittspridning av COVID-19. Gsma hävdade att deltagarna i alla fall ombetts ge sitt samtycke i enlighet med artikel 6.1 (a) GDPR och att de fick ett alternativt auktoriseringsalternativ. Gsma informerade också om att cirka 20 000 personer deltog i evenemanget och presenterade en konsekvensbedömning avseende dataskydd för AEPD.
AEPD inledde sin analys med att påminna om att ansiktsbilder omfattas av definitionen av biometriska uppgifter i artikel 4.14 GDPR. Enligt dataskyddsförordningen har biometriska uppgifter den särskilda egenskapen att de produceras av själva kroppen, vilket gör att de i princip inte kan ändras av den enskildes vilja. Obehörig tillgång till biometriska uppgifter möjliggör således potentiella identitetsstölder som inte bara är eviga i tiden, utan också kan tjäna till att lura flera system som använder samma uppgifter.
AEPD fortsatte med att konstatera att behandling av uppgifter av så känslig karaktär innebär en betydande risk för individers grundläggande rättigheter och friheter. I detta resonemang ansåg AEPD att användningen av system för ansiktsigenkänning endast bör tillämpas när det är nödvändigt eller inte finns några andra alternativ, men inte för att det är enkelt och bekvämt. Därför måste den personuppgiftsansvarige göra en bedömning av nödvändighet och proportionalitet som tar hänsyn till de minst ingripande alternativ som finns tillgängliga innan ett sådant system införs.
I det aktuella fallet konstaterade AEPD att även om det fanns en rättslig grund för behandlingen av biometriska uppgifter borde Gsma ha genomfört en konsekvensbedömning avseende dataskydd som effektivt beaktade sådana risker. När det gäller exemplen på riskerna med ansiktsigenkänning pekade AEPD på artikel 29-arbetsgruppens yttrande 3/2012. I detta yttrande nämns bland annat risker i samband med noggrannhet, lagring i stora databaser, kvalitetsförlust, konfidentialitet och tillgänglighet.
AEPD ansåg att Gsma inte tagit hänsyn till dessa olika faktorer och scenarier i sin riskbedömning. Den tillhandahållna konsekvensbedömningen var enligt Gsma endast nominell, eftersom den inte undersökte några väsentliga aspekter och inte heller bedömde riskerna eller proportionaliteten och nödvändigheten av att använda tekniken för ansiktsigenkänning.
Sammantaget ansåg AEPD att Gsma gjort sig skyldig till överträdelser av artiklarna 3.1, 4.14, 6.1 (a), (b), 9, 13, 27, 28 och 35.2 GDPR, och bötfällde företaget med 200 000 euro.