Παράνομο το “σκανάρισμα” βιομετρικών δεδομένων για είσοδο σε Όμιλο: Πρόστιμο 56.000 ευρώ για επεξεργασία σε σύστημα ελεγχόμενης εισόδου

Η απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων μετά τις καταγγελίες, που δέχθηκε και την αυτεπάγγελτη εξέτασή τους.

NEWSROOM
Παράνομο το “σκανάρισμα” βιομετρικών δεδομένων για είσοδο σε Όμιλο: Πρόστιμο 56.000 ευρώ για επεξεργασία σε σύστημα ελεγχόμενης εισόδου

«Κόκκινη κάρτα» έβγαλε η Αρχή Προστασίας Προσωπικών Δεδομένων σε Ναυτικό Όμιλο καθώς διαπίστωσε ότι προέβη σε επεξεργασία βιομετρικών δεδομένων προσωπικού χαρακτήρα σε σύστημα ελεγχόμενης εισόδου στις εγκαταστάσεις του παραβιάζοντας την αρχή της νομιμότητας και την υποχρέωση διενέργειας εκτίμησης αντικτύπου των πράξεων επεξεργασίας που αφορούν το εν λόγω σύστημα.

Για το λόγο αυτό επέβαλε πρόστιμο σε αυτόν ύψους 56.000 ευρώ και συγκεκριμένα 28.000 ευρώ για παραβίαση της αρχής της νομιμότητας και 14.000 ευρώ για την υποχρέωση διενέργειας εκτίμησης αντικτύπου των πράξεων επεξεργασίας του συστήματος. Η Αρχή, επίσης, διαπίστωσε την παραβίαση από τον Όμιλο του άρθρου 38 παρ. 3 του ΓΚΠΔ και επέβαλε πρόστιμο ύψους 14.000 ευρώ.

Η Αρχή προχώρησε σε αυτεπάγγελτη εξέταση και υποβολή καταγγελιών για τη νομιμότητα της επεξεργασίας βιομετρικών δεδομένων σε σύστημα ελεγχόμενης εισόδου. Η πρώτη αναφορά που δέχθηκε ήταν από συνοδό μέλους του Ομίλου.

Και όπως αναφέρθηκε από τον Όμιλο σε μήνυμα «σύμφωνα με την ενημέρωση αυτή, το σύστημα της ελεγχόμενης εισόδου – εξόδου δεν θα γίνεται πλέον με την επίδειξη, στην είσοδο σε φύλακα, της κάρτας συνοδού του μέλους αλλά με την επεξεργασία των βιομετρικών χαρακτηριστικών του, χωρίς να παρέχεται περαιτέρω πληροφόρηση και αιτιολόγηση του εν λόγω μέτρου».

Παράνομο το “σκανάρισμα” βιομετρικών δεδομένων: Αφορά 3.500 περίπου μέλη του Ομίλου και τους συνοδούς τους

Όπως αναφέρει η απόφαση, «η Αρχή διαπιστώνει ότι ο Ν.Ο.Β. έχει εγκαταστήσει και θέσει σε λειτουργία το υπό εξέταση σύστημα βιομετρικών χαρακτηριστικών, για το οποίο… απαιτείται η επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα των υποκειμένων, ο δε Ν.Ο.Β. καθίσταται υπεύθυνος επεξεργασίας αυτών».

Προσθέτει δε ότι «η εν λόγω επεξεργασία σχετίζεται με τη συστηματική επεξεργασία δεδομένων με εφαρμογή νέας τεχνολογίας και αυτοματοποιημένη επεξεργασία των δεδομένων, με ενδεχόμενο υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (αναγνώριση προσώπου), καθώς λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων 3.500 περίπου υποκειμένων, εφόσον αφορά όλα τα μέλη του Ομίλου και τους συνοδούς τους.

Ωστόσο, επισημαίνει πως «από τον φάκελο της υπόθεσης, προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν έχει τεκμηριώσει ότι καθίσταται αναγκαία και αναλογική η χρήση του νέου συστήματος και ιδίως ότι δεν είναι δυνατή για τον σκοπό της επεξεργασίας η εφαρμογή ηπιότερων μορφών ελεγχόμενης εισόδου στον χώρο, με την επεξεργασία απλών δεδομένων, ενώ για κάποιο χρονικό διάστημα έθεσε σε εφαρμογή το εν λόγω σύστημα βιομετρικών χαρακτηριστικών, χωρίς να έχει παράσχει κατάλληλη ενημέρωση στα υποκείμενα για την επεξεργασία των δεδομένων τους, χωρίς να έχει λάβει τη συγκατάθεσή τους και χωρίς να παράσχει εναλλακτικό τρόπο ελεγχόμενης εισόδου».

Η απόφαση της Αρχής για τις παραλείψεις

Στην απόφαση υπογραμμίζεται πως κατά την αξιολόγηση των δεδομένων, η Αρχή λαμβάνει ιδιαιτέρως υπόψη:

  1. τη φύση και τη βαρύτητα της παράβασης, η οποία αφορά τις βασικές αρχές νομιμότητας της επεξεργασίας που είναι θεμελιώδεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ΓΚΠΔ, συνεκτιμώντας και ότι, ανεξαρτήτως του γεγονότος ότι η τήρηση των αρχών που προβλέπονται από τη διάταξη του άρθρου 5 του ΓΚΠΔ είναι κεφαλαιώδους σημασίας, πρωτίστως δε, η αρχή της νομιμότητας, ώστε, εάν εκλείπει αυτή, καθίσταται εξ’ αρχής παράνομη η επεξεργασία, ακόμη και εάν έχουν τηρηθεί οι λοιπές αρχές επεξεργασίας, εν προκειμένω διαπιστώθηκε ότι πραγματοποιήθηκε παράνομη επεξεργασία με τη χρήση του υπό εξέταση συστήματος,
  2. ότι η επίμαχηεπεξεργασία αφορά ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού υποκειμένων,

iii. ότι ο υπεύθυνος επεξεργασίας εξέτασε το ενδεχόμενο διενέργειας εκτίμησης αντικτύπου και αποφάσισε ότι δεν απαιτείται

  1. το γεγονός ότιη παράβαση των διατάξεων σχετικά με τις βασικές αρχές για την επεξεργασία υπάγεται, σύμφωνα με τις διατάξεις του άρθρου 83 παρ. 5 εδ. α΄ και β΄ ΓΚΠΔ, στην ανώτερη προβλεπόμενη κατηγορία του συστήματος διαβάθμισης διοικητικών προστίμων,
  2. ότι τα έσοδα του Ν.Ο.Β. ανέρχονται στα 3,5 εκ. για το έτος 2022

Βάσει των ανωτέρω, η Αρχή αποφασίζει ομόφωνα ότι πρέπει να επιβληθεί στον καταγγελλόμενο Όμιλο, ως υπεύθυνο επεξεργασίας, οι αναφερόμενες στο διατακτικό διοικητικές κυρώσεις, οι οποίες κρίνονται ανάλογες με τη βαρύτητα των παραβάσεων.

ΔΕΙΤΕ ΕΔΩ ΤΗΝ ΑΠΟΦΑΣΗ ΤΗΣ ΑΡΧΗΣ

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr

ΤΕΛΕΥΤΑΙΑ ΝΕΑ