Департамент по защите данных Литвы выписал спортклубу VS FITNESS штраф в размере 20 000 евро за нарушение требований защиты данных при использовании отпечатков пальцев клиентов и сотрудников, пишет в Postimees партнер Eversheds Sutherland Ots&Co, руководитель сферы защиты данных и трудового права Тамбет Тоомела.
Спортклуб получил штраф в 20 000 евро за набирающую популярность систему идентификации
Литовский спортивный клуб VS FITNESS недавно попал под удар со стороны литовского Департамента по защите данных, когда непропорционально использовал все более распространенную в Эстонии систему считывания отпечатков пальцев для входа в спортивный клуб.
О возможном нарушении департаменту сообщило физическое лицо, по словам которого, сканирование отпечатков пальцев было обязательным для использования услуг спортивного клуба, исключая в указанном клубе другие возможности идентификации.
Литовский департамент после этого провел тщательное расследование, в ходе которого было установлено, что не были соблюдены условия для добровольного согласия. Кроме того, было обнаружено, что компания не проводила оценку воздействия на защиту данных и не вела учет своей деятельности, связанной с системами личной идентификации.
Строгий правовой режим в отношении отпечатков пальцев
В контексте дела важно знать, что как в Эстонии, Литве, так и в остальной Европе отпечатки пальцев как биометрические персональные данные подпадают под значительно более строгий правовой режим. Как правило, обработка таких данных запрещена, не считая допустимых исключений. Одним из таких исключений является добровольное и осознанное согласие человека, которое будет возможно позже отозвать.
Обычно для доступа в общественные учреждения (в т.ч. спортивный клуб) используются различные решения, которые значительно меньше вмешиваются в личную сферу, чем обработка отпечатков пальцев. Например, клубные карты или мобильные приложения. В этом контексте согласие человека на обработку отпечатков пальцев также должно строго соответствовать всем критериям согласия.
В ситуации, когда для попадания в спортклуб не используются другие альтернативные системы, нельзя говорить о добровольном согласии, которое можно также отозвать позже.
В ситуации, когда никакие другие альтернативные системы не использовались для получения доступа в спортивный клуб, не может быть и речи о добровольном согласии, которое впоследствии может быть отозвано. Отказ от членства в спортивном клубе не является серьезной альтернативой, которая могла бы служить цели добровольного согласия. Компромиссные решения всегда являются обязательными.
При определении размера штрафа была учтена информацию об обороте компании в прошлом и текущем году, а также обстоятельство, что в этом году деятельность спортивных клубов была существенно ограничена пандемией коронавируса.
Поучительный случай
Случай с литовским спортивным клубом - поучительный пример того, что новые технологии повышают комфорт пользователей, но при их внедрении обязательно нужно думать о том, как обеспечить соблюдение законных требований.
Случай с литовским спортивным клубом - поучительный пример того, что новые технологии повышают комфорт пользователей, но при их внедрении обязательно нужно думать о том, как обеспечить соблюдение законных требований. Например, в этом случае было бы правильно предложить клиентам выбор: использовать ли отпечаток пальца для идентификации себя в спортивных клубах или другую альтернативу, для которой не нужны отпечатки пальцев. Например, мобильное приложение или дверная карта, к которой будут привязаны только личные данные, необходимые для заключения договора с клиентом.
Обмен биометрическими данными в качестве конфиденциальной личной информации всегда должен оставаться исключительным вариантом, и не только для доступа в общественные учреждения.
В связи с развитием технологий ожидается все больше и больше подобных инцидентов, связанных с аналогичными источниками комфорта и личной жизни. Как в других странах, так и у нас.