2024 年 9 月 6 日,比利时数据保护局 (Belgian DPA) 发布了第 114/2024 号决定,其中对一家公司处以 45000 欧元的罚款,原因是该公司违反了《通用数据保护条例》(GDPR)。
1. 案件背景:
比利时数据保护机构 DPA 收到了一份自然人的投诉,投诉人在 2021 年 3 月至 2022 年 2 月 24 日期间被公司雇用为临时工。在就职期间,该公司收集了员工的指纹用于打卡登记。投诉人声称,他没有被告知存储方式和保留期限,也没有被告知个人数据向第三方的传输情况。
2. 调查结果
在分析了案件的事实和程序的主张后,比利时数据保护局认为,该公司使用投诉人的指纹处理了投诉人的敏感数据,但并没有明确说明该公司处理生物识别数据所依赖的法律依据。此外,根据结论和听证会,比利时 DPA 确定该公司依赖“同意”作为法律依据。
然而,由于该公司没有提供其他替代方法进行打卡登记,无法证明该公司拟证明获得公司员工的同意的真实性以及合法性。比利时数据保护局认为,该公司未能证明员工自由、具体、知情和明确的意愿表达。
此外,比利时数据保护局还表示,该公司未能做到以下事项:
未确定收集生物识别数据的特定目的,违反目的限制原则;
未遵循数据最小化原则,DPA 认为,收集的指纹数据对上班打卡不是必需的;
在公司的欢迎手册中未向员工提供透明的信息。
3. 处罚结果
因此,比利时数据保护局认定该公司违反了GDPR的以下条款:第5(1)(a)、5(1)(b)、5(1)(c)、6(1)、9(1)、9(2)、12(1)、13(1)(c)、13(2)(c)、13(2)(d)、13(2)(e)、30(1)(a)-30(1)(d)和第35条的规定,决定对该公司处以45000欧元的罚款
REF:decision-quant-au-fond-n0-114-2024.pdf (autoriteprotectiondonnees.be)
扫二维码联系专业客服