2021 m. birželio 21 d. Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė 20 tūkst. EUR dydžio baudą UAB „VS FITNESS“ sporto klubui dėl Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų dėl biometrinių duomenų tvarkymo.
VDAI tyrė, ar sporto klubo klientų ir darbuotojų pirštų antspaudų tvarkymas buvo vykdomas teisėtai, ir ar sporto klubas tinkamai įgyvendino su tokių asmens duomenų tvarkymu susijusias pareigas.
Piršto antspaudai yra asmens duomenis, kurie priskiriami biometriniams duomenims ir jų tvarkymo reguliavimas yra griežtesnis nei kitų asmens duomenų.
Sporto klubas tvarkydamas biometrinius duomenis rėmėsi sutikimo pagrindu, kas formaliai atitiko BDAR reikalavimus. Vis dėlto VDAI atlikus tyrimą nustatė, kad net ir formaliai atitinkant BDAR reikalavimams, t. y. turint duomenų subjektų sutikimą, sporto klubas neužtikrino tokiam sutikimui būtinų sąlygų.
Dėl darbuotojų pirštų antspaudų tvarkymo
VDAI, pasisakydama dėl darbuotojų pirštų antspaudų tvarkymo, nurodė, kad nors ir buvo remiamasi darbuotojo sutikimu, tačiau darbuotojo ir darbdavio subordinacinis santykis iš esmės reiškia, kad toks sutikimas negali būti laikomas duotu laisva valia.
Europos duomenų apsaugos valdyba nė kartą yra pabrėžusi, kad sutikimas, kaip asmens duomenų tvarkymo pagrindas, santykiuose tarp darbuotojo ir darbdavio turi būti vengtinas, nes neužtikrina sutikimui keliamų reikalavimų.
Dėl klientų pirštų antspaudų tvarkymo
VDAI nustatė, kad bendrovė savo klientų piršto atspaudus tvarkė remdamasi klientų sutikimu, tačiau klientams nebuvo suteikiama alternatyvi galimybė patekti į sporto klubą. VDAI nurodė, kad toks sutikimas dėl piršto antspaudų naudojimo nėra savanoriškas ir neatitinka kitų galiojančiam sutikimui keliamų reikalavimų.
Viena iš sutikimo sąlygų yra jo savanoriškumas, kuris iš esmės reiškia, kad klientui turi būti suteikiama alternatyva. Nesudarius alternatyvos galimybių, laikytina, kad klientas neturėjo kitos išeities, kaip tik pasirinkti ir sutikti su biometrinių asmens duomenų tvarkymu.
Dėl kitų VDAI nustatytų aplinkybių
VDAI, tirdama biometrinių asmens duomenų tvarkymą, taip pat atkreipė dėmesį, kad tokių asmens duomenų tvarkymo teisėtumas nepasibaigia tik tinkamai nustačius duomenų tvarkymo pagrindą, t. y sutikimą. Šiuo atveju sporto klubas prieš tvarkydamas tokius asmens duomenis turėjo atlikti poveikio duomenų apsaugai vertinimas (PDAV) ir tinkamai informuoti tiek klientus tiek darbuotojus apie asmens duomenų tvarkymą.
Ko galime pasimokyti?
- Tvarkant biometrinius duomenis būtina tinkamai įvertinti tokių asmens duomenų tvarkymo teisinį pagrindą ir tuo atveju, jei remiamasi sutikimo pagrindu, sutikimas turi atitikti jam keliamas sąlygas (savanoriškumo, konkretumo, pagrįstumo informacija, nedviprasmiškumo, taip pat įrodomumo ir atšaukiamumo);
- Tvarkant biometrinius asmens duomenis, duomenų subjektams turi būti suteikiama ir alternatyvi identifikavimosi galimybė, kai biometriniai duomenys nėra tvarkomi;
- Sutikimas, kaip asmens duomenų tvarkymo teisinis pagrindas, santykiuose tarp darbuotojo ir darbdavio yra vengtinas dėl darbuotojo ir darbdavio subordinacijos;
- Renkant bet kokius biometrinius duomenis, įmonė ar organizacija privalo atlikti poveikio duomenų apsaugai vertinimą, kuriuo įvertintų galimas rizikas ir sudėliotų priemones toms rizikoms sumažinti arba jas pašalinti.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw specialistais.
Parengė ECOVIS ProventusLaw sertifikuota duomenų apsaugos ekspertė (CIPP/E) Brigida Bacienė ir teisininkas Andrius Karmonas