Recent namen weer meer dan 10.000 lopers deel aan de Gentse Stadsmarathon. Na afloop van de wedstrijd kregen deelnemers de kans om hun foto's op te zoeken en eventueel aan te schaffen via de Sportograf, een partnerorganisatie van organisator Golazo Sports.
Waar in het verleden vaak foto's raadpleegbaar waren via tijdsindicatie of deelnamenummer, werd er deze keer gebruik gemaakt van gezichtsherkenning. Via een selfie kregen deelnemers bijzonder snel vaak meer dan honderd foto's gepresenteerd. Dat toont ook aan dat er reeds een biometrisch profiel werd opgemaakt van alle lopers. De privacywetgeving is in deze vrij streng en vraagt minimaal een expliciete toestemming om biometrische data te verzamelen. M.b.t. de massale verwerking van biometrische gegevens spreekt de Gegevensbeschermingsautoriteit over een hoog inherent risico voor de rechten en vrijheden van de betrokkenen. Daarom moet er ook steeds een gegevensbeschermingseffectbeoordeling uitgevoerd worden wanneer de verwerking gebruik maakt van biometrische gegevens met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privéruimten die toegankelijk zijn voor het publiek.
Omdat men in deze bezwaarlijk kan spreken van een zwaarwegend algemeen belang ((art. 9.2, g) AVG), moet er ook een geldige en uitdrukkelijke toestemming zijn van iedere deelnemer. Dat betekent dat de toestemming, vrij, specifiek, geïnformeerd en ondubbelzinnig is. Deelnemers hebben echter geen echte vrije keuze want niet intekenen op deze optie, betekent dat ze niet kunnen deelnemen. Lopers kunnen dus niet zonder nadelige gevolgen weigeren.
Bovendien leert een snelle selectie van foto's dat ook niet-deelnemers af en toe herkenbaar op de foto's staan, en dus opgenomen zijn in de beeldbank die doorzocht wordt met biometrische profielen, enkel en alleen omdat zij zich op het publiek domein bevonden op het moment van de marathon.
Tenslotte blijkt dat de bescherming om enkel persoonlijke foto's te zoeken, minimaal is. O.a. Dasprivé VZW - een privacycollectief - bekeek ook de tool van de partnerorganisatie Sportograf en vond vrij snel dat 'de bescherming' om te zoeken naar individuele foto's van andere deelnemers snel te omzeilen viel.
Daarom volgende vragen:
De Stad was niet op de hoogte van dit initiatief.
De Juridische Dienst liet me naar aanleiding van uw vraag weten dat voor zover hen bekend is, daar ook geen kader rond bestaat.
De vraag werd ook aan de Data Protection Officer van de Stad Gent voorgelegd, die ook niet op de hoogte was of enig kader kent. De DPO hoeft ook niet op de hoogte gebracht te worden, gezien de Stad in de omschreven situatie niet verantwoordelijk was.
Alleszins is diegene die verantwoordelijk is voor de verwerking van de gegevens, diegene die in regel dient te zijn met de GDPR.
De organisator liet ons weten dat zij sinds vele jaren contracten afsluiten met externe dienstverleners die een grote expertise hebben voor het nemen van foto’s tijdens een massa-evenement. Zo bieden zij aan de deelnemers de mogelijkheid om een foto als souvenir aan te kopen. In dat kader heeft Golazo een samenwerkingsovereenkomst afgesloten met het Duitse Sportograf.
Golazo deelt de bezorgdheid over de privacy van de deelnemers, en heeft dit voorgelegd aan Sportograf. Zij zijn – zoals ook onze DPO dus aangaf – verantwoordelijk.
Golazo liet ons ook weten dat Sportograf geen biometrische scans maakt. Er is dus volgens Golazo geen sprake van biometrische gezichtsherkenning in de publieke ruimte. Pas wanneer een deelnemer ene foto wenst op te zoeken, wordt een identificatie gevraagd via een selfie. Hiervoor kunnen geen bestaande beelden worden gebruikt, en dit verloopt ook via een twee factor authenticatie.