Προειδοποίηση εν όψει έναρξης λειτουργίας συστήματος αναγνώρισης προσώπου

Προειδοποίηση, σύμφωνα με το άρθρο 58 παρ.2α’ ΓΚΠΔ, απεύθυνε η ρουμανική αρχή προστασίας δεδομένων ANSPDCP σε εταιρεία ανάπτυξης και παροχής διαδικτυακών τυχερών παιγνίων για το σύστημα αναγνώρισης προσώπου που επρόκειτο να θέσει σε λειτουργία.

Η έρευνα της αρχής κινήθηκε κατόπιν καταγγελιών, σύμφωνα με τις οποίες η εταιρεία σκόπευε να εφαρμόσει σύστημα ασφάλειας βασισμένο στην αναγνώριση προσώπου για την πρόσβαση στις εγκαταστάσεις και τους χώρους εργασίας της.

Στο πλαίσιο της έρευνας διαπιστώθηκε ότι η επεξεργασία βιομετρικών δεδομένων επρόκειτο να πραγματοποιηθεί με σκοπό τη διασφάλιση της ασφάλειας πρόσβασης στους χώρους της εταιρείας, ενώ ο υπεύθυνος επεξεργασίας χρησιμοποιούσε ήδη σύστημα ελέγχου πρόσβασης βασισμένο σε κάρτες.

Κατά συνέπεια, το βιομετρικό σύστημα ελέγχου πρόσβασης δεν είχε ακόμη τεθεί σε εφαρμογή, με αποτέλεσμα ο υπεύθυνος επεξεργασίας να μην έχει προβεί σε επεξεργασία βιομετρικών δεδομένων εργαζομένων, προμηθευτών ή επισκεπτών.

Επιπλέον, κατά την έρευνα διαπιστώθηκε ότι το σύστημα βιομετρικής αναγνώρισης προσώπου είχε σχεδιαστεί για την αποτροπή μη εξουσιοδοτημένης πρόσβασης μέσω της ακριβούς επαλήθευσης της ταυτότητας των προσώπων και για τη διαχείριση της καταχρηστικής χρήσης καρτών.

Παράλληλα, διαπιστώθηκε ότι τα στοιχεία που προσκόμισε ο υπεύθυνος επεξεργασίας δεν πληρούσαν τις απαιτήσεις νομιμότητας, αναγκαιότητας και αναλογικότητας της επεξεργασίας βιομετρικών δεδομένων των υποκειμένων των δεδομένων (εργαζομένων, προμηθευτών και επισκεπτών), γεγονός που θα μπορούσε να προσβάλει το δικαίωμα στην ιδιωτική ζωή και την προστασία των δεδομένων προσωπικού χαρακτήρα προσώπων που εισέρχονται στους χώρους του υπευθύνου επεξεργασίας.

Στο πλαίσιο αυτό, συστήθηκε στον υπεύθυνο επεξεργασίας να χρησιμοποιήσει λιγότερο παρεμβατικά μέσα για την επίτευξη του σκοπού της επεξεργασίας, τα οποία να μην συνεπάγονται επεξεργασία βιομετρικών δεδομένων.

Κατά συνέπεια, δόθηκε προειδοποίηση σε βάρος της εταιρείας, καθώς οι πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα μέσω συστήματος αναγνώρισης προσώπου των υποκειμένων των δεδομένων θα μπορούσαν να παραβιάσουν τις διατάξεις του άρθρου 5 παρ.1α’ και γ’, σε συνδυασμό με το άρθρο 6 ΓΚΠΔ.