Valstybinė duomenų apsaugos inspekcija (VDAI) atliko tyrimą dėl biometrinių asmens duomenų tvarkymo sporto klube ir už nustatytus Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus skyrė 20 tūkst. Eur baudą UAB „VS FITNESS“. Bauda skirta už BDAR 5 straipsnio 1 dalies a ir c punktų, 9 straipsnio 1 dalies, 13 straipsnio 1–2 dalies, 30 straipsnio, 35 straipsnio 1 dalies nuostatų pažeidimus, t. y. už biometrinių duomenų tvarkymą, neturint savanoriško duomenų subjektų sutikimo, taip pat neužtikrinimą kitų galiojančiam sutikimui keliamų reikalavimų, duomenų subjektų teisės būti informuotiems apie duomenų tvarkymą netinkamą įgyvendinimą, taip pat nustatyta, kad bendrovė nebuvo atlikusi biometrinių duomenų tvarkymo poveikio duomenų apsaugai vertinimo, netvarkė veiklos įrašų.
Asmens duomenų apsaugos priežiūros institucija atliko tyrimą
VDAI, gavusi fizinio asmens pranešimą, kuriame buvo nurodyta, kad norint naudotis bendrovei priklausančio sporto klubo paslaugomis, yra būtinas piršto atspaudo nuskenavimas, kitų alternatyvių identifikavimosi būdų minėtame sporto klube nėra, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka savo iniciatyva atliko tikrinimą, susijusį su galimu BDAR pažeidimu, bendrovei tvarkant pirštų atspaudus.
Klientų biometrinių duomenų tvarkymas
Pagal BDAR biometriniai duomenys priskiriami specialių kategorijų duomenims, kuriuos pagal bendrą taisyklę tvarkyti draudžiama, išskyrus BDAR 9 straipsnio 2 dalyje numatytas sąlygas. Bendrovė klientų pirštų atspaudų modelius tvarkė remdamasi duomenų subjektų sutikimu, t. y. pagrindu, įtvirtintu BDAR 9 straipsnio 2 dalies a punkte. VDAI pažymėjo, kad jei duomenų valdytojas remiasi duomenų subjekto sutikimu, kaip teisėto duomenų tvarkymo sąlyga, jis turėtų užtikrinti, kad duomenų subjekto sutikimas atitiktų jam keliamas sąlygas (savanoriškumo, konkretumo, pagrįstumo informacija, nedviprasmiškumo, taip pat įrodomumo ir atšaukiamumo). VDAI, atlikusi tikrinimą, nustatė, kad klientų duodamas sutikimas tvarkyti jų pirštų atspaudų modelius nėra savanoriškas, taip pat neatitinka kitų galiojančiam sutikimui keliamų reikalavimų, dėl to VDAI sprendė, kad bendrovė tvarko klientų pirštų atspaudų binarinius kodus neteisėtai.
Darbuotojų biometrinių duomenų tvarkymas
Be to, VDAI nustatė, kad bendrovė neteisėtai tvarkė ir darbuotojų pirštų atspaudus. VDAI pažymėjo, kad darbuotojo sutikimas dėl galios disbalanso paprastai nelaikytinas tinkama asmens duomenų tvarkymo sąlyga. Bendrovė VDAI nenurodė, kokiu tikslu ir kokiu teisiniu pagrindu tvarko darbuotojų biometrinius duomenis, nebuvo atlikusi poveikio duomenų apsaugai vertinimo, neįrodė darbuotojų pirštų atspaudų tvarkymo būtinumo ir proporcingumo. VDAI pažymėjo, kad duomenų subjektai turi teisę būti informuoti apie jų duomenų tvarkymą. Atlikusi tikrinimą, VDAI nustatė, kad bendrovė duomenų subjektams pateikia ne visą informaciją, kurią reikalaujama pateikti pagal BDAR.
Reikšmingos aplinkybės sprendžiant dėl baudos dydžio
Spręsdama dėl administracinės baudos skyrimo, VDAI įvertino visas reikšmingas aplinkybes. VDAI atsižvelgė į tai, kad specialiųjų kategorijų duomenų tvarkymas nesant tai leidžiančios išimties, tuo pažeidžiant BDAR 5 straipsnio 1 dalies a ir c punktų reikalavimus bei 9 straipsnio 1 dalį, taip pat duomenų subjektų teisės būti informuotiems apie duomenų tvarkymą netinkamas įgyvendinimas, tuo pažeidžiant BDAR 13 straipsnio 1–2 dalių reikalavimus, pagal savo pobūdį priskirtini sunkesnių pažeidimų kategorijai (BDAR 83 straipsnio 5 dalis).
Be kita ko, bendrovei jau ankščiau buvo teiktas nurodymas dėl biometrinių duomenų tvarkymo kitame jai priklausančiame sporto klube. Tai patvirtino, kad bendrovė žinojo, kaip turi būti užtikrinamas klientų sutikimui tvarkyti jų biometrinius duomenis keliamas savanoriškumo reikalavimas, kad turi būti pasiūloma lygiavertė, laisvai pasirenkama identifikavimosi sporto klubuose alternatyva (nenaudojant pirštų atspaudų binarinių kodų). Taip pat, kad turi būti reglamentuota galimybė klientui bet kada atšaukti piršto atspaudo modelio naudojimą.
Atsižvelgusi į šias aplinkybes, VDAI bendrovės klientų biometrinių duomenų neteisėtą tvarkymą vertino kaip tyčinį pažeidimą. Taip pat VDAI atsižvelgė ir į kitus nustatytus bendrovės atsakomybę sunkinančius ir švelninančius veiksnius. Spręsdama dėl baudos dydžio, VDAI atsižvelgė į bendrovės pateiktą informaciją apie praėjusių ir einamųjų metų apyvartas, taip pat atsižvelgė į bendrovės nurodytas aplinkybes, kad dėl koronaviruso pandemijos šiais metais sporto klubų veikla buvo labai apribota.
Šis VDAI sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.
Atnaujinimo data: 2021-08-10
Apie duomenų apsaugą kalbame projekte „Nė vienas nėra pamirštas“
BDAR sėkmės istorija sugrįžta – kviečiame dalintis naudinga patirtimi
Paskelbtas Europos duomenų apsaugos valdybos duomenų apsaugos vadovas smulkiajam verslui
Rygoje įvyko kasmetinis Baltijos šalių duomenų apsaugos institucijų susitikimas