Pokuta 20 000 EUR pre športový klub za nezákonné spracúvanie biometrických údajov

Litovský dozorný orgán State Data Protection Inspectorate (SDPI) vyšetroval spracúvanie biometrických údajov športovým klubom VS FITNESS UAB a následne rozhodol o uložení pokuty 20 000 EUR. Okrem toho, že klub nemal platný súhlas na spracúvanie biometrických údajov, úrad zistil, že klub porušil aj ďalšie články GDPR.

Dozorný orgán začal prípad vyšetrovať na základe podnetu dotknutej osoby, ktorá tvrdila, že klub zaviedol povinné skenovanie odtlačkov prstov, pričom nemal zavedené iné spôsoby/možnosti identifikácie osôb.

Podľa GDPR sú biometrické údaje zaradené do osobitnej kategórie osobných údajov, tzv. citlivé osobné údaje, pri ktorých platí, že ich spracúvanie je zakázané, okrem prípadu, ak sa uplatňuje niektorá z podmienok podľa čl. 9 ods. 2 GDPR. Klub spracúvanie v danom prípade založil na základe súhlasu dotknutých osôb. Avšak každé spracúvanie, ktoré je založené na základe súhlasu musí spĺňať všetky kritéria platného súhlasu, teda súhlas musí byť dobrovoľný, konkrétny, primeraný, informovaný, jednoznačný, preukázateľný a odvolateľný. SDPI vyšetrovaním zistilo, že súhlas zákazníkov nie je dobrovoľný a zároveň nespĺňa ostatné požiadavky platného súhlasu. Úrad teda zistil, že klub nezákonne spracúval binárne kódy odtlačkov prstov zákazníkov.

Pri rozhodovaní o výške pokuty úrad zohľadnil všetky relevantné okolnosti. Okrem porušení článkov 5 ods. 1 písm. a), c) a článku 9 ods. 1 GDPR bolo zistené aj porušenie informačnej povinnosti podľa čl. 13 ods. 1 a ods. 2 GDPR. Navyše spoločnosť, pod ktorú klub patrí, už bola v minulosti upozornená na nezákonné spracúvanie biometrických údajov iným športovým klubom, ktorý pod ňu spadá. To znamená, že spoločnosť mala vedomosť o požiadavkách na správne spracúvanie biometrických údajov. Z tohto dôvodu bolo porušenie GDPR vyhodnotené ako úmyselné. Úrad pri výmere pokuty zohľadnil aj finančnú situáciu spoločnosti a tiež aj skutočnosť, že v poslednom období bola činnosť športových klubov signifikantne ovplyvnená pandémiou COVID-19. Voči rozhodnutiu je možné sa odvolať na súde.

Zdroj: Lithuanian DPA: Fine Imposed on a Sports Club for Infringements of the GDPR in Processing of Fingerprints of the Customers and Employees