BDAR
gdpr

Valstybinė duomenų apsaugos inspekcija yra joje tvarkomų asmens duomenų valdytoja, kuri užtikrina, kad asmens duomenys Inspekcijoje būtų tvarkomi laikantis duomenų valdytojams taikomų asmens duomenų apsaugos reikalavimų.


Sporto klubus valdančiai bendrovei skirta bauda dėl biometrinių duomenų tvarkymo ir kitų Bendrojo duomenų apsaugos reglamento pažeidimų

Data

2023 01 09

Įvertinimas
5
Buada biometriniai.png

Valstybinė duomenų apsaugos inspekcija (VDAI) atliko patikrinimą dėl biometrinių asmens duomenų tvarkymo sporto klube ir 2022 m. gruodžio 22 d. sprendimu už nustatytus Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus skyrė 6 tūkst. EUR baudą UAB „Praktiškas“ (toliau – Bendrovė), valdančiai sporto klubus „SportGates“.

Bendrovei bauda skirta už duomenų subjektų (klientų) biometrinių duomenų tvarkymą, neturint jų savanoriško sutikimo, duomenų subjektų teisės būti informuotiems apie duomenų tvarkymą netinkamą įgyvendinimą, taip pat nustatyta, kad Bendrovė, prieš pradėdama tvarkyti biometrinius duomenis, nebuvo atlikusi poveikio duomenų apsaugai vertinimo, netvarkė ir veiklos įrašų (t. y. už BDAR 5 str. 1 d. a p., 9 str. 1 d., 13 str. 1–2 d., 30 str. 1 ir 3 d., 35 str. 1 d. ir 3 d. b p. nuostatų pažeidimus).

VDAI, gavusi fizinio asmens pranešimą, kuriame buvo nurodyta, kad viename iš Bendrovei priklausančių sporto klubų nėra suteikiama alternatyvios identifikavimo galimybės (identifikavimui naudojami biometriniai duomenys) ir dėl šios priežasties, asmeniui atsisakius duoti sutikimą tvarkyti biometrinius duomenis, jis negali naudotis sporto klubo teikiamomis paslaugomis, savo iniciatyva atliko patikrinimą, susijusį su galimu BDAR pažeidimu.


Klientų biometrinių duomenų tvarkymas

Pagal BDAR biometriniai duomenys priskiriami specialių kategorijų asmens duomenims, kuriuos tvarkyti draudžiama, išskyrus BDAR 9 str. 2 d. numatytas išimtis. Bendrovė klientų biometrinius duomenis tvarko remdamasi jų sutikimu, t. y. pagrindu, įtvirtintu BDAR 9 str. 2 d. a p., todėl klientams turi būti sudaromos sąlygos (būdai) sutikimą jų biometrinių duomenų tvarkymui išreikšti laisva valia. Jei klientai (duomenų subjektai) neturi laisvo pasirinkimo, toks sutikimas nėra laikomas duotu laisva valia, atitinkamai ir sutikimo pagrindu surinktų biometrinių duomenų tvarkymas yra laikomas neteisėtu.

VDAI, atlikusi tikrinimą, nustatė, kad klientų duodamas sutikimas tvarkyti jų biometrinius duomenis nebuvo savanoriškas: klientams registruojantis patekimui į sporto klubą savitarnos terminale, vienintelis nurodomas patekimo į sporto klubą būdas – biometriniai duomenys. Patikrinimo metu buvo nustatyta, kad kitų alternatyvų (išskyrus biometrinių duomenų naudojimą) patekimui į sporto klubą nebuvo, taip pat nebuvo ir informacijos (informacinio pranešimo), kokios galimos kitos patekimo į sporto klubą alternatyvos, kuriomis klientas galėtų pasinaudoti. Nors Bendrovė argumentavo, kad pvz., yra nurodomas administracijos telefono numeris, kuriai paskambinus ir išreiškus norą, pateikimui į sporto klubą išduodama įeigos kortelė, tačiau VDAI paaiškina, kad kiekvienas duomenų valdytojas, kuris tvarko biometrinius duomenis, duomenų subjektams privalo aiškiai pateikti informaciją apie kitas alternatyvas biometrinių duomenų tvarkymui.


Klientų informavimas apie asmens duomenų tvarkymą

BDAR 13 str. yra reglamentuota, kokią informaciją duomenų valdytojas duomenų gavimo metu turi pateikti duomenų subjektui, kai asmens duomenys yra renkami iš jo. Bendrovė argumentavo, kad informacija apie biometrinių duomenų tvarkymą klientams pateikiama Privatumo politikoje, su kuria klientai visada supažindinami sutarties sudarymo metu. Atliekant sporto klubo patikrinimą vietoje dėl biometrinių duomenų tvarkymo, buvo nustatyta, kad registruojantis savitarnos terminale kaip naujam klientui privaloma sutikti su Naudojimosi sporto klubu taisyklėmis (informacijos apie Privatumo politiką pateikiama nebuvo).


Reikšmingos aplinkybės sprendžiant dėl baudos dydžio

Spręsdama dėl administracinės baudos skyrimo bei baudos dydžio, VDAI atsižvelgė į tai, kad Bendrovė tvarko specialių kategorijų asmens duomenis, o tokių duomenų tvarkymui duomenų valdytojams yra keliami aukštesni BDAR taikymo standartai. Taip pat atsižvelgė į tai, kad pažeidimas – tęstinis bei sisteminis, t. y. nesusijęs su pavieniu asmeniu, be to, dalis Bendrovės atžvilgiu nustatytų pažeidimų yra priskiriami sunkesnių pažeidimų kategorijai (BDAR 83 str. 5 d. a ir b p.). VDAI įvertino ir BDAR 83 str. 2 d. nurodytus veiksnius, į kuriuos privaloma atsižvelgti, skiriant administracinę baudą, taip pat į Bendrovės pateiktą informaciją apie praėjusių metų apyvartą bei Bendrovės paaiškinimus.


Šis VDAI sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.