Αναγνώριση προσώπου για την είσοδο σε παιδικές δραστηριότητες
Η ολλανδική αρχή προστασίας δεδομένων παρενέβη μετά από παράπονα πολιτών για τις πρακτικές πάρκων ψυχαγωγίας
Η ολλανδική αρχή προστασίας δεδομένων Autoriteit Persoonsgegevens (AP) είναι μια από τις πιο δραστήριες εποπτικές αρχές του ΓΚΠΔ στην Ευρωπαϊκή Ένωση, δεν φημίζεται όμως για την αυστηρότητά της στο πεδίο της επιβολής κυρώσεων σε βάρος υπευθύνων επεξεργασίας ολλανδικών συμφερόντων.
Υπό το δεδομένο αυτό, δεν προκάλεσε έκπληξη η δημοσιοποίηση της παρέμβασής της για τον έλεγχο οκτώ πάρκων ψυχαγωγίας και αναψυχής που χρησιμοποιούσαν τεχνολογίες αναγνώρισης προσώπου προκειμένου οι επισκέπτες τους, μεταξύ των οποίων πρωτίστως παιδιά, να μπορούν να συμμετάσχουν σε δραστηριότητες όπως η χρήση πισίνας και η είσοδος σε παιδότοπο.
Η ΑΡ προχώρησε σε έλεγχο των οκτώ πάρκων, μετά από διαμαρτυρίες και ερωτήματα που δέχθηκε από πολίτες σχετικά με τη νομιμότητα της πρακτικής αυτής. Όπως ήταν αναμενόμενο και όπως γίνεται δεκτό σε ολόκληρη την Ένωση, η πρακτική αυτή κρίθηκε παράνομη.
Η ολλανδική αρχή υπενθύμισε την πάγια θέση της πως η επεξεργασία βιομετρικών δεδομένων μέσω συστημάτων αναγνώρισης προσώπου μπορεί να επιτραπεί μόνο σε τρεις περιπτώσεις:
α. Στην προσωπική χρήση συσκευής, όπως το ξεκλείδωμα ενός κινητού,
β. Για λόγους ουσιώδους δημοσίου συμφέροντος και προς τον σκοπό της ταυτοποίησης προσώπων και της διαφύλαξης της ασφάλειας σε εγκαταστάσεις υψηλού κινδύνου, και
γ. Με τη ρητή συγκατάθεση του υποκειμένου.
Στην περίπτωση των θεματικών πάρκων θα μπορούσε να τύχει εφαρμογής μόνο η τρίτη περίπτωση, αυτή της ρητής συγκατάθεσης, η οποία όμως συνοδεύεται από συγκεκριμένες προϋποθέσεις που εν προκειμένω δεν πληρούνταν. Όπως επεσήμανε η ολλανδική αρχή, μεταξύ των προϋποθέσεων αυτών ήταν ο ορθή ενημέρωση των προσώπων που καλούνται να τη δώσουν και η δυνατότητά τους να αρνηθούν χωρίς να υποστούν συνέπειες, το οποίο σημαίνει πως θα έπρεπε να τους δίδεται και κάποια εναλλακτική, όπως η είσοδος με μαγνητική κάρτα ή ειδικό βραχιολάκι εισόδου.
Η έρευνα της AP έδειξε πως οι προϋποθέσεις αυτές δεν πληρούνταν. Τα πάρκα είτε δεν ζητούσαν καν τη συγκατάθεση, ή τη ζητούσαν με τρόπο ασαφή για τα υποκείμενα. Εναλλακτικός τρόπος εισόδου στις επίμαχες δραστηριότητες δεν παρεχόταν ή, αν παρεχόταν, τα υποκείμενα δεν ενημερώνονταν για αυτό. Τέλος, η ενημέρωση που δινόταν ήταν ανεπαρκής, ενώ σε πολλές περιπτώσεις αυτή δεν περιλάμβανε καμία αναφορά στον χρόνο διατήρησης των δεδομένων.
Η AP, δια της Αντιπροέδρου της, χαρακτήρισε πολύ σοβαρές τις παραβάσεις που διαπιστώθηκαν: «Δεν επιτρέπεται να ασκείς πίεση σε ανθρώπους για να σου παραδώσουν τα βιομετρικά δεδομένα τους. Αυτό ακριβώς συνέβη εν προκειμένω: οι άνθρωποι πλήρωναν για μια ωραία εμπειρία, στην οποία περιλαμβανόταν και η χρήση πισίνας και βρίσκονταν προ ειλημμένων αποφάσεων: αν θέλεις να κολυμπήσεις, θα δώσεις τα δεδομένα σου. Αυτό δεν επιτρέπεται».
Το αυστηρό ύφος της ολλανδικής αρχής δεν συνοδεύτηκε από αντίστοιχα αυστηρές κυρώσεις· στην πραγματικότητα δεν υπήρξε καμία απολύτως κύρωση. Η AP απλώς ζήτησε από τα οκτώ πάρκα ψυχαγωγίας να αλλάξουν την πρακτική τους και να υιοθετήσουν τις συστάσεις της. Το ένα μάλιστα εξ αυτών αρνήθηκε να συμμορφωθεί και συνέχισε κανονικά την παράνομη επεξεργασία, με την ολλανδική αρχή να του δίνει νέα προθεσμία για συμμόρφωση και να επιφυλάσσεται για την ενδεχόμενη λήψη μέτρων στην περίπτωση όπου και πάλι δεν εισακουστεί.
Με πληροφορίες από το δελτίο τύπου της ολλανδικής αρχής.