Πρόστιμο 56.000 ευρώ στον Ναυτικό Όμιλο Βουλιαγμένης για αναγνώριση προσώπου στην είσοδο μελών (ΑΠΔΠΧ 42/2024)
Η Αρχή διαπίστωσε πως η λειτουργία του συστήματος γινόταν χωρίς τεκμηρίωση της νομιμότητας και εκτίμηση αντικτύπου, ενώ η Πρόεδρος του ΔΣ ασκούσε καθήκοντα DPO
Διοικητικό πρόστιμο συνολικού ύψους 56.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Ναυτικό Όμιλο Βουλιαγμένης για σειρά παραβάσεων του ΓΚΠΔ από την εγκατάσταση και λειτουργία συστήματος βιομετρικής αναγνώρισης με την τεχνολογία του facial recognition για την είσοδο των μελών στις εγκαταστάσεις του.
Η Αρχή έλαβε ερώτημα από υποκείμενο των δεδομένων (συνοδού μέλους) ως προς το πώς μπορεί να ασκηθεί εναντίωση στην επεξεργασία των βιομετρικών δεδομένων του. Σύμφωνα με το σχετικό μήνυμα, η επεξεργασία βιομετρικών αποτελούσε πλέον τον μοναδικό τρόπο για την είσοδό του στις εγκαταστάσεις του ΝΟΒ, αντί της κάρτας συνοδού μέλους που μέχρι τότε χρησιμοποιείτο.
Το ερώτημα δεν απαντήθηκε, καθώς η Αρχή δεν έχει την αρμοδιότητα να παρέχει πληροφορίες στα υποκείμενα ως προς τα δικαιώματά τους ή να δίνει απαντήσεις σε ερωτήματα περί της νομιμότητας της επεξεργασίας δεδομένων. Το ζήτημα όμως που ετίθετο σε γνώση της ήταν σοβαρό, για το λόγο αυτό η υπόθεση ερευνήθηκε αυτεπάγγελτα.
Η Αρχή κάλεσε τον ΝΟΒ όπως της παράσχει διευκρινίσεις σχετικά με την επεξεργασία βιομετρικών δεδομένων για το έλεγχο της εισόδου των μελών του στον Όμιλο, ζητώντας – μεταξύ άλλων – τη νομική βάση και τα χαρακτηριστικά της επεξεργασίας, καθώς και τα αποτελέσματα της τυχόν διενεργηθείσας εκτίμησης αντικτύπου.
Ο ΝΟΒ αρνήθηκε πως η λειτουργία του συστήματος συνιστά επεξεργασία ευαίσθητων δεδομένων και θεμελίωσε την επεξεργασία σε πέντε νομικές βάσεις του άρθρου 6 ΓΚΠΔ («η νομική βάση της σκοπούμενης επεξεργασίας εδράζεται στο άρθρο 6 παρ. 1 ΓΚΠΔ και δη στα εδάφια α, β, γ, δ, στ») και σε τέσσερις από τις εξαιρέσεις του άρθρου 9 («εδάφια α, β, γ και δ»), στην περίπτωση όπου ήθελε κριθεί πως το άρθρο αυτό εφαρμόζεται.
Παράλληλα, ισχυρίστηκε πως τα μέλη και οι αθλητές του έχουν παράσχει τη ρητή συναίνεσή τους για την επεξεργασία των δεδομένων τους, κατά την εγγραφή τους, η δε συγκατάθεση αυτή είναι ελεύθερα ανακλητή, γεγονός που σημαίνει πως τα μέλη δικαιούνται να εισέλθουν στον Όμιλο με τον «με τον παραλλήλως παραμένοντα σε ισχύ εναλλακτικό τρόπο εισόδου».
Ως προς την αναγκαιότητα εγκατάστασης του συστήματος, ο ΝΟΒ επικαλέστηκε την ανάγκη διασφάλισης ενός ασφαλούς και υγιούς περιβάλλοντος για τα μέλη και τους αθλητές, κάτι το οποίο «επιτυγχάνεται πρωτίστως, δια του αποκλεισμού τρίτων προσώπων, οι οποίοι πχ. έχουν κλέψει την κάρτα εισόδου, έχουν πλαστογραφήσει αυτήν, έχουν δανειστεί από ενεργό μέλος κλπ». Παράλληλα, χαρακτήρισε τον έλεγχο εισόδου στις εγκαταστάσεις του ως «την πρώτη και τελευταία γραμμή άμυνας απέναντι σε επίδοξους κλέφτες, πορτοφολάδες, επιδειξίες, βιαστές, παιδεραστές, απαγωγείς κλπ. για την αποφυγή και πρόληψη συναφών παραβατικών συμπεριφορών», ενώ ενημέρωσε την Αρχή πως «το παραπάνω νέο σύστημα εισόδου επιλέχθηκε μετά και από την απαίτηση πλείστων μελών, τα οποία αφενός ένιωθαν έντονη ανασφάλεια για τους λαθρο-εισερχομένους τρίτους στον Όμιλο αφετέρου υπόκειτο καθημερινώς στην ταλαιπωρία της ταυτοποίησης, ιδίως όταν ξεχνούσαν την κάρτα εισόδου τους.»
Μετά από αίτημα της Αρχής για παροχή πρόσθετων διευκρινίσεων, ο ΝΟΒ επανέλαβε πως «ως προς τη νομική βάση της επεξεργασίας, ισχύουν πολλαπλά εδάφια του άρθρου 6 παρ. 1 και άρθρου 9 παρ. 2 ΓΚΠΔ, παρόλο που θεωρεί ότι ‘το εν λόγω σύστημα δεν αφορά σε ευαίσθητα προσωπικά δεδομένα’».
Ως προς την απόφαση εγκατάστασης του επίμαχου συστήματος, ο Όμιλος ανέφερε πως αυτή ελήφθη ομόφωνα από το Διοικητικό Συμβούλιο, με την έναρξη λειτουργίας αυτού να χρονολογείται περί τα μέσα Μαΐου 2022. Πριν την έναρξη λειτουργίας αυτής δεν διενεργήθηκε μελέτη εκτίμησης αντικτύπου, σύμφωνα με τις απαιτήσεις του άρθρου 35 ΓΚΠΔ, καθώς «όπως ενημερώθηκε από την συνεργάτιδα εταιρεία, η εν λόγω επεξεργασία δεν είναι υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες των μελών του, δεδομένου ότι δεν πρόκειται για συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών σχετικά με φυσικά πρόσωπα ή για μεγάλης κλίμακας επεξεργασία ή για συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα».
Διαρκούσης της έρευνας, η Αρχή δέχθηκε και δύο καταγγελίες από υποκείμενα των δεδομένων σχετικά με τη νομιμότητα της επεξεργασίας δεδομένων μέσω του συστήματος που είχε τεθεί σε λειτουργία.
Ο πρώτος καταγγέλλων ήταν συνοδός μέλους του ΝΟΒ και ανέφερε προς την Αρχή πως τα μέλη του Ομίλου έλαβαν ηλεκτρονική ενημέρωση τον Απρίλιο του 2022 ότι η πρόσβαση στον Όμιλο θα είναι εφεξής δυνατή μόνο με τη χρήση του νέου συστήματος και όχι με το σύστημα καρτών εισόδου που χρησιμοποιείτο ως τότε.
Ο καταγγέλλων είχε ήδη απευθυνθεί προς τον Όμιλο, ασκώντας εναντίωση στην επεξεργασία των βιομετρικών δεδομένων του, για λογαριασμό του ιδίου και του μέλους της οικογένειάς του που ετύγχανε μέλος του ΝΟΒ και είχε λάβει απάντηση μόνο ως προς το δεύτερο πρόσωπο αυτό. Στην απάντηση αυτή, μάλιστα, αναφερόταν ότι «οφείλουμε να σας ενημερώσουμε, ότι τυχόν άρνηση συμμόρφωσής σας, δύναται να αποτελέσει λόγο για τη μη διατήρηση της ιδιότητάς σας ως μέλος του Ομίλου».
Παρεμφερές περιεχόμενο είχε και η δεύτερη καταγγελία που υποβλήθηκε στην Αρχή, αυτή τη φορά από μέλος του ΝΟΒ. Σύμφωνα με την καταγγελία αυτή, τα μέλη «εξαναγκάζονταν παραπλανητικά» να δώσουν τα βιομετρικά δεδομένα τους, αφού οι αρμόδιοι τους δήλωναν συνεχώς πως η απόδοση των βιομετρικών είναι υποχρεωτική προκειμένου να έχουν τη δυνατότητα εισόδου στον Όμιλο. Παράλληλα, ακολουθούνταν και πρακτικές άνισης μεταχείρισης όσων δεν συμφωνούσαν με την επεξεργασία αυτή, καθώς ήταν υποχρεωμένοι «να καλούν τηλεφωνικώς στον επιστάτη, για να φτάσει στην είσοδο, και να ελέγξει την ταυτότητά τους και την κάρτα τους σε συσχέτιση με μία χειρόγραφη κατάσταση με τα μέλη που έχουν αρνηθεί να χορηγήσουν τα βιομετρικά δεδομένα τους».
Διαβάστε επίσης: Απαγόρευση επεξεργασίας βιομετρικών δεδομένων εργαζομένων
Ενώπιον της Αρχής
Η Αρχή κάλεσε τα εμπλεκόμενα μέρη σε συνεδρίαση ενώπιον της Ολομελείας της. Ο πρώτος των καταγγελλόντων προσδιόρισε με το υπόμνημά του όλες τις διατάξεις του ΓΚΠΔ, που κατά την κρίση του είχαν παραβιαστεί: αναγκαιότητα και αναλογικότητα του σκοπού της επεξεργασίας, θεμελίωση της νομικής βάσης του εννόμου συμφέροντος, μη ορισμός Υπευθύνου Προστασίας Δεδομένων, αφού χρέη DPO ασκούσε ατύπως η Πρόεδρος του ΔΣ, μη εκπόνηση μελέτης εκτίμησης αντικτύπου, ανεπαρκής τεκμηρίωση σχετικά με την ενημέρωση των μελών και τη λήψη συγκατάθεσης.
Ο ΝΟΒ, με τη σειρά του, ανέπτυξε σειρά ισχυρισμών επί των ζητημάτων που είχαν τεθεί. Αρχικώς ανέφερε πως η επίμαχη πράξη επεξεργασίας θα μπορούσε να βρίσκεται εκτός πεδίου εφαρμογής του ΓΚΠΔ, ως προσωπική ή οικιακή δραστηριότητα, με βάση τη σχέση εμπιστοσύνης και οικειότητας του σωματείου με τα μέλη του και το γεγονός πως «η επεξεργασία που λαμβάνει χώρα είναι περιορισμένη, στιγμιαία, χωρικά καθορισμένη και ουδείς τρίτος αποκτά πρόσβαση σε αυτά», ωστόσο αυτό δεν μπορούσε να εφαρμοστεί «αποκλειστικά και μόνο λόγω του μεγάλου αριθμού των μελών του».
Ως προς τα τεχνικά χαρακτηριστικά του συστήματος, ο ΝΟΒ ανέφερε ότι «οι συντεταγμένες του κάθε προσώπου δημιουργούν μέσω ενός πολύ εξελιγμένου αλγόριθμου ένα μοναδικό κωδικό, και η συσκευή κάθε φορά που εισέρχεται ένα μέλος δεν αναγνωρίζει πρόσωπα ή βιομετρικά χαρακτηριστικά αλλά τον κωδικό και η μέτρηση και η κωδικοποίηση των βιομετρικών χαρακτηριστικών δεν δημιουργεί αρχείο προσωπικών δεδομένων στο σύστημα που θα μπορούσαν να αναπαραχθούν με κάποιο τρόπο».
Περαιτέρω, το επίμαχο σύστημα λειτουργεί χωρίς την παρέμβαση εκτελούντος την επεξεργασία, αφού – σύμφωνα με τον Όμιλο – η εταιρεία που το εγκατάστησε «παρέχει υπηρεσίες υποστήριξης ad hoc, όταν εμφανιστεί τεχνικό ζήτημα και αποκτά πρόσβαση μόνο στα κρυπτογραφημένα δεδομένα», ενώ ως προς το ζήτημα ορισμού DPO, ο ΝΟΒ επιβεβαίωσε πως για την άσκηση των καθηκόντων αυτών υπεύθυνη έχει οριστεί η Πρόεδρος του ΔΣ, ωστόσο «ο Όμιλος σκοπεύει να συμβληθεί με πιστοποιημένο ΥΠΔ».
Η κρίση της Αρχής
Η Αρχή διαπίστωσε ευθύς εξαρχής πως το επίμαχο σύστημα πραγματοποιεί επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα, αφού «για τη λειτουργία του εν λόγω συστήματος, το υποκείμενο πρέπει να εισέλθει στον ειδικό χώρο του Ν.Ο.Β. για να γίνει η προαπαιτούμενη απεικόνιση ευδιάκριτων γεωμετρικών στοιχείων εκάστου προσώπου. Το σύστημα συλλέγει τις συντεταγμένες της γεωμετρίας του προσώπου που τυγχάνουν επεξεργασίας μέσω ενός αλγορίθμου, ο οποίος δημιουργεί έναν κωδικό για κάθε χρήστη και τα ανωτέρω δεδομένα τηρούνται ψηφιακά στον server του Ν.Ο.Β. για όσο καιρό το υποκείμενο των δεδομένων είναι ενεργό μέλος του Ομίλου».
Η πρώτη και κύρια παραβίαση που διαπιστώθηκε ήταν αυτή της αρχής της νομιμότητας του άρθρου 5 παρ.1α ΓΚΠΔ, με την Αρχή να αναφέρει ότι:
«Από τον φάκελο της υπόθεσης, προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν έχει τεκμηριώσει ότι καθίσταται αναγκαία και αναλογική η χρήση του νέου συστήματος και ιδίως ότι δεν είναι δυνατή για τον σκοπό της επεξεργασίας η εφαρμογή ηπιότερων μορφών ελεγχόμενης εισόδου στον χώρο, με την επεξεργασία απλών δεδομένων, ενώ για κάποιο χρονικό διάστημα έθεσε σε εφαρμογή το εν λόγω σύστημα βιομετρικών χαρακτηριστικών, χωρίς να έχει παράσχει κατάλληλη ενημέρωση στα υποκείμενα για την επεξεργασία των δεδομένων τους, χωρίς να έχει λάβει τη συγκατάθεσή τους και χωρίς να παράσχει εναλλακτικό τρόπο ελεγχόμενης εισόδου. Συνεπώς, εφόσον δεν τεκμηριώθηκε, βάσει της αρχής της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ), από τον υπεύθυνο επεξεργασίας, που υποχρεούται να αποδεικνύει τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ, η αναγκαιότητα του σκοπού της εν λόγω επεξεργασίας, έχει παραβιασθεί η αρχή της νομιμότητας (άρθρο 5 παρ. 1 στοιχ. α’) και η επίμαχη επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα κρίνεται παράνομη, σύμφωνα δε με όσα αναφέρονται στη σκέψη 6, παρέλκει η εξέταση της συνδρομής νομικής βάσης επεξεργασίας κατά το άρθρο 6 του ΓΚΠΔ και της εφαρμογής των εξαιρέσεων από την απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα ειδικών κατηγοριών κατά το άρθρο 9 παρ. 2 ΓΚΠΔ».
Πέραν αυτού, διαπιστώθηκαν και δύο αυτοτελείς παραβάσεις: η μη διενέργεια εκτίμησης αντικτύπου και ο ορισμός DPO κατά τρόπο αντίθετο με τις απαιτήσεις του άρθρου 37 παρ.3 ΓΚΠΔ. Στην περίπτωση της εκτίμησης αντικτύπου, η Αρχή δεν περιορίστηκε στο να αναλύσει για ποιους λόγους η εκπόνηση της DPIA ήταν αναγκαία, αλλά έλαβε υπόψιν της και επιβαρυντικώς το γεγονός πως «ο υπεύθυνος επεξεργασίας εξέτασε το ενδεχόμενο διενέργειας εκτίμησης αντικτύπου και αποφάσισε ότι δεν απαιτείται».
Διαβάστε επίσης: Αναγνώριση προσώπου (Face recognition) και προσωπικά δεδομένα
Ως προς τον ορισμό του DPO, η Αρχή έκρινε ότι:
«Στη συγκεκριμένη περίπτωση, η Πρόεδρος του ΔΣ του Ν.Ο.Β., ως η νόμιμη εκπρόσωπος του υπευθύνου επεξεργασίας, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα και με την ανάθεση στην ίδια καθηκόντων ΥΠΔ δεν εξασφαλίζεται η αντικειμενική επίβλεψη της συμμόρφωσης με τον ΓΚΠΔ. Ως εκ τούτου, σύμφωνα με τις ανωτέρω Κατευθυντήριες Γραμμές, η θέση του Προέδρου του ΔΣ έρχεται σε ουσιώδη σύγκρουση συμφερόντων και είναι ασύμβατος με τη θέση του ΥΠΔ, και, συνεπώς, η σύμπτωση των δύο αυτών ιδιοτήτων στο ίδιο πρόσωπο έρχεται σε αντίθεση με τη διάταξη του άρθρου 38 παρ. 3 του ΓΚΠΔ».
Η απόφαση της Αρχής
Η Αρχή επέβαλε τρία πρόστιμα, όσες και οι παραβάσεις που διαπιστώθηκαν.
Για την παραβίαση της αρχής της νομιμότητας της επεξεργασίας, επιβλήθηκε πρόστιμο ύψους 28.000 ευρώ, ενώ για τις αυτοτελείς παραβιάσεις των άρθρων 35 (εκτίμηση αντικτύπου) και 38 παρ.3 ΓΚΠΔ (ορισμός DPO) επιβλήθηκαν πρόστιμα ύψους 14.000 ευρώ για κάθε μια από τις δύο παραβάσεις.
Παράλληλα, η Αρχή διέταξε την εκπόνηση μελέτης εκτίμησης αντικτύπου και τη διακοπή της επεξεργασίας μέχρι την ολοκλήρωση της DPIA.
Το πλήρες κείμενο της απόφασης ΑΠΔΠΧ 42/2024 είναι διαθέσιμο στον ιστότοπο της Αρχής