04 apr
2022

Temperatuurcontroles: de GBA beboet de luchthavens van Zaventem en Charleroi

De GBA heeft een boete van 200.000 euro aan Brussels Airport Zaventem en een boete van 100.000 euro aan de luchthaven Brussels South Charleroi opgelegd voor temperatuurcontroles van passagiers die in het kader van de strijd tegen COVID-19 zijn uitgevoerd. Voor de GBA hadden de luchthavens geen geldige rechtsgrond om deze gezondheidgegevens van de reizigers te verwerken.


Verwerking van gevoelige gegevens zonder geldige rechtsgrond

In 2020 besloot het directiecomité van de GBA, nadat het via de pers had vernomen dat Brussels Airport de temperatuur van de passagiers meet, de zaak voor te leggen aan haar Inspectiedienst. Tegelijkertijd begon de Inspectiedienst zelf op eigen initiatief een onderzoek naar een soortgelijke gegevensverwerking op de luchthaven van Charleroi. De GBA had vooral bedenkingen bij de rechtsgrond van gegevensverwerking in verband met de gezondheid van de passagiers.

In beide luchthavens werd met thermische camera's gecontroleerd welke personen een temperatuur van meer dan 38°C hadden. In Zaventem kregen die personen dan een vragenlijst in te vullen over mogelijke symptomen in verband met het coronovirus.

Deze tweede controle werd door het bedrijf Ambuce Rescue Team uitgevoerd.

De temperatuurcontroles hebben plaatsgevonden van juni 2020 tot maart 2021 in het geval van de luchthaven van Charleroi, en van juni 2020 tot januari 2021 in het geval van de luchthaven van Zaventem.  

Op het einde van haar analyse stelde de Geschillenkamer vast, met het verslag van de Inspectiedienst ter ondersteuning, dat de luchthavens geen geldige rechtsgrond hadden om  gegevens betreffende de temperatuur van de reizigers te verwerken, met name omdat het over gezondheidsgegevens gaat. Aangezien dit gevoelige gegevens zijn, mogen zij in principe niet worden verwerkt, behalve in een zeer beperkt aantal uitzonderingsgevallen (opgesomd in artikel 9, lid 2, van de AVG). Een verwerking om redenen van volksgezondheid of zwaarwegend algemeen belang is bijvoorbeeld een van die uitzonderingen, op voorwaarde dat zij is gebaseerd op een duidelijke en nauwkeurige rechtsnorm waarvan de toepassing voorspelbaar is voor de betrokkenen. De temperatuurcontroles waren hier echter gebaseerd op een protocol, dat niet aan deze vereisten voldoet.

Bovendien heeft de GBA schendingen vastgesteld op het gebied van de informatieverstrekking aan de reizigers en de kwaliteit van de gegevensbeschermingseffectbeoordeling (dat wil zeggen de analyse van de risico's in verband met gegevensverwerking).

David Stevens, Voorzitter van de GBA: "Uit deze beslissing blijkt hoe belangrijk het is om een strenge en volledige gegevensbeschermingsimpactanalyse uit te voeren voordat een gegevensverwerking die een risico voor personen kan inhouden, ten uitvoer wordt gelegd. Beter voorkomen dan genezen, is een principe dat ook op het gebied van gegevensbescherming geldt.”

Sancties voor een maatregel genomen in het kader van de bestrijding van COVID-19

Voor deze schendingen legt de Geschillenkamer elk van de luchthavens een berisping en een boete op, namelijk:  

  • 200.000 euro boete voor Brussels Airport Zaventem;
  • 100.000 euro boete voor Brussels South Charleroi Airport.

Zij legt ook een boete van 20.000 euro op aan Ambuce Rescue Team.

De GBA benadrukt dat zij in haar beslissing rekening heeft gehouden met de context van de gezondheidscrisis. Zij herinnert eraan dat zij vanaf het begin van de gezondheidscrisis de organisaties proactief heeft ingelicht over de regels die van toepassing zijn op gegevensverwerkingen in het kader van de COVID-19-crisis, waaronder temperatuurcontroles.

De betrokken organisaties kunnen tegen deze beslissing beroep aantekenen bij het Marktenhof.

Hielke Hijmans, Voorzitter van de Geschillenkamer: "Wij begrijpen dat bedrijven hard getroffen zijn door de pandemie en dat zij nooit eerder geziene noodmaatregelen hebben moeten nemen. De privacyregels vormen echter een essentiële bescherming voor de rechten en vrijheden van personen, en moeten dus worden nageleefd. Als Autoriteit die belast is met gegevensbescherming, is het onze plicht ervoor te zorgen dat deze regels worden toegepast. Onze beslissing van vandaag is des te belangrijker omdat zij als leidraad kan dienen voor eventuele soortgelijke gegevensverwerkingen, al dan niet in het kader van de gezondheidscrisis.”

Interessante links