Πρόστιμο 56.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Ναυτικό Όμιλο Βουλιαγμένης σε μια απόφαση που υπογραμμίζει την τεράστια προσοχή στις απαιτήσεις νομιμότητας που πρέπει να επιδίδουν οι αρμόδιοι κατά τη διαχείριση βιομετρικών δεδομένων, όπως η αναγνώριση προσώπου.

Η πρόσφατη απόφαση 42/2024 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έφερε στο φως σοβαρά ζητήματα σχετικά με την επεξεργασία βιομετρικών δεδομένων από τον Ναυτικό Όμιλο Βουλιαγμένης (ΝΟΒ).

1

Οι απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) είναι ιδιαίτερα αυστηρές όταν πρόκειται για συστήματα που διαχειρίζονται δεδομένα, όπως το σύστημα αναγνώρισης προσώπου. Το συγκεκριμένο σύστημα που χρησιμοποιούσε ο ΝΟΒ είχε ξεσηκώσει έντονες αντιδράσεις από τα μέλη του και, όπως αποδείχθηκε, αρκούσαν ορισμένες σημαντικές λεπτομέρειες, για να επιβληθεί το υψηλό αυτό πρόστιμο.

Τα γεγονότα που οδήγησαν στην επιβολή προστίμου στον ΝΟΒ

Ο ΝΟΒ εισήγαγε το 2022 ένα νέο σύστημα ελέγχου πρόσβασης, βασισμένο στη χρήση βιομετρικών δεδομένων. Ενώ μέχρι πρότινος τα μέλη χρησιμοποιούσαν μαγνητικές κάρτες, για να εισέλθουν στον Όμιλο, αποφασίστηκε να μπορούν να εισέλθουν μόνο κατόπιν αναγνώρισης του προσώπου τους.

Η επιλογή αυτή βασίστηκε στην ανάγκη για ενίσχυση της ασφάλειας και αποτροπή της εισόδου και της χρήσης των εγκαταστάσεων του Ομίλου από μη μέλη, κάτι που κατέστη δυνατό με ένα εξελιγμένο σύστημα, το οποίο αναλύει τη γεωμετρία του προσώπου και δημιουργεί έναν μοναδικό ψηφιακό κωδικό για κάθε χρήστη.

Οι αντιδράσεις των μελών ήταν ποικίλες, οι περισσότερες όμως ήταν αρνητικές, καθώς διαμαρτυρήθηκαν ότι δεν ενημερώθηκαν επαρκώς για αυτή την αλλαγή, ούτε τους δόθηκε ουσιαστική εναλλακτική επιλογή. Η υπόθεση έφτασε στην ΑΠΔΠΧ μέσω καταγγελιών, οι οποίες οδήγησαν σε εκτενή έλεγχο και ακρόαση. Η έρευνα της Αρχής ήταν, άλλωστε, αυτεπάγγελτη λόγω της σοβαρότητας των καταγγελιών.

Η Αρχή κατέληξε ότι ο ΝΟΒ παραβίασε βασικές αρχές του GDPR, επιβάλλοντάς του πρόστιμο ύψους 56.000 ευρώ λόγω μη συμμόρφωσης με τις απαιτήσεις επεξεργασίας των βιομετρικών δεδομένων.

Τι είναι τα βιομετρικά δεδομένα και τι προβλέπει η νομοθεσία για την επεξεργασία τους;

Τα βιομετρικά δεδομένα περιλαμβάνονται στις ειδικές κατηγορίες προσωπικών δεδομένων, σύμφωνα με το άρθρο 4 του GDPR. Πρόκειται για δεδομένα που προκύπτουν από ειδικές τεχνικές επεξεργασίας, όπως η γεωμετρία προσώπου ή τα δακτυλικά αποτυπώματα, και χρησιμοποιούνται για την αδιαμφισβήτητη ταυτοποίηση ενός προσώπου.

Η νομοθεσία έχει ειδικές διατάξεις για τα βιομετρικά δεδομένα, στις οποίες καταρχήν απαγορεύεται η επεξεργασία τους. Ωστόσο προβλέπονται συγκεκριμένες εξαιρέσεις σε αυτόν τον κανόνα, εξαιρέσεις με τις οποίες καθίσταται εφικτό να χρησιμοποιηθούν τελικά τέτοιου τύπου συστήματα.

Ειδικότερα, εφόσον υπάρχει ρητή συγκατάθεση των υποκειμένων των δεδομένων ή η επεξεργασία είναι απαραίτητη για λόγους ζωτικού συμφέροντος, τότε επιτρέπεται η χρήση βιομετρικών δεδομένων, αρκεί φυσικά να ισχύουν και οι γενικότερες αρχές.

Να είναι δηλαδή η επεξεργασία σύννομη, διαφανής, αναλογική και περιορισμένη στο απολύτως απαραίτητο για τον σκοπό επεξεργασίας.

Ποιες είναι οι απαιτήσεις του GDPR

Πέρα από τις ειδικότερες ρυθμίσεις του GDPR για την επεξεργασία των βιομετρικών δεδομένων, κρίσιμης σημασίας είναι και ορισμένες ακόμα απαιτήσεις της νομοθεσίας που ισχύουν για κάθε επεξεργασία προσωπικών δεδομένων και οι οποίες, σύμφωνα με την ΑΠΔΠΧ, δεν τηρήθηκαν στην περίπτωση του ΝΟΒ.

Συγκεκριμένα, οι υπεύθυνοι επεξεργασίας οφείλουν να παρέχουν στα υποκείμενα σαφή, κατανοητή και εύκολα προσβάσιμη ενημέρωση για την επεξεργασία των δεδομένων τους, ενώ παράλληλα η συγκατάθεση των υποκειμένων θα πρέπει να είναι ελεύθερη και μη εξαναγκαστική. Θα πρέπει, δηλαδή, οι χρήστες να έχουν ενημερωθεί με σαφήνεια και να μπορούν να έχουν μια ουσιαστική εναλλακτική. Διαφορετικά, η συγκατάθεση δεν μπορεί να θεωρηθεί ελεύθερη.

Ναυτικός Ομιλος Βουλιαγμένης

Επιπλέον, θα πρέπει να έχει οριστεί υπεύθυνος επεξεργασίας, ο οποίος θα εγγυάται τεκμηριωμένες διαδικασίες προστασίας, θα ακολουθεί πολιτική απορρήτου και θα λειτουργεί σύστημα λογοδοσίας.

Τέλος, σε κάθε επεξεργασία υψηλού κινδύνου, όπως εν προκειμένω στα βιομετρικά δεδομένα, θα πρέπει να διενεργείται Εκτίμηση Αντικτύπου. Με αυτόν τον τρόπο, θα μπορεί να καθοριστεί αν η επεξεργασία αυτών των δεδομένων είναι αναλογική, αν δηλαδή τα οφέλη της υπερκαλύπτουν τους κινδύνους και τα προβλήματα που αναδύονται από αυτή.

Τι απάντησε ο ΝΟΒ και τι αποφάσισε τελικά η ΑΠΔΠΧ

Κατά τη φάση της διερεύνησης του ζητήματος από την Αρχή, ο ΝΟΒ προσπάθησε να αιτιολογήσει τη χρήση του συστήματος αναγνώρισης προσώπου, βασίζοντας την επιχειρηματολογία του στην ασφάλεια και την αποτελεσματικότητά του, αλλά και τις τεχνικές διασφαλίσεις που παρείχε.

Λόγω περιστατικών δανεισμού των μαγνητικών καρτών εισόδου των μελών ή πλαστογράφησής τους, δόθηκε μεγάλη έμφαση στην επιλογή του συστήματος αναγνώρισης προσώπου ως την ιδανική λύση για την ασφάλεια του Ομίλου, των μελών και των συνοδών τους, πολλοί εκ των οποίων ήταν ανήλικοι.

Με τη λογική αυτή, η επεξεργασία τέτοιου είδους βιομετρικών δεδομένων κρίθηκε ότι υπηρετούσε το έννομο συμφέρον του Ομίλου για την προστασία προσώπων και εγκαταστάσεων.

Παράλληλα, ο ΝΟΒ υποστήριξε ότι έδωσε εναλλακτική στα μέλη που εναντιώνονταν στη χρήση βιομετρικών δεδομένων, καθώς αυτά θα μπορούσαν να εισέρχονται με τη μαγνητική τους κάρτα, εφόσον προηγουμένως είχαν επικοινωνήσει με το προσωπικό ασφαλείας του Ομίλου. Έτσι, η συγκατάθεση που ελήφθη από τα μέλη θεωρήθηκε ελεύθερη και έγκυρη.

Ωστόσο, η ΑΠΔΠΧ δεν πείστηκε και απέρριψε τα επιχειρήματα των δικηγόρων του ΝΟΒ, επισημαίνοντας σημαντικές παραβιάσεις του GDPR. Η βασικότερη παράβαση σχετιζόταν με την αναλογικότητα του εν λόγω μέτρου. Συγκεκριμένα, θεωρήθηκε ότι ναι μεν το σύστημα υιοθετήθηκε για την ασφάλεια στον Όμιλο, όμως υπήρχαν άλλες ηπιότερες και εξίσου αποτελεσματικές εναλλακτικές λύσεις, όπως οι μαγνητικές κάρτες. Η Αρχή σημείωσε ότι η χρήση βιομετρικών δεδομένων πρέπει να είναι η τελευταία λύση, εφόσον δεν υπάρχουν άλλες μέθοδοι που εξυπηρετούν τον ίδιο σκοπό.

Περαιτέρω, θεωρήθηκε ότι η συγκατάθεση των μελών ήταν μη ελεύθερη, καθώς ο ΝΟΒ τους εξανάγκαζε ουσιαστικά να αποδεχτούν την επεξεργασία για να διατηρήσουν την πρόσβασή τους στις εγκαταστάσεις χωρίς σοβαρά εμπόδια και καθυστερήσεις κατά την είσοδό τους, κάτι που συνιστούσε άνιση μεταχείριση.

Στο οργανωτικό μέρος της υπόθεσης, διαπιστώθηκε ότι ο ΝΟΒ δεν είχε διενεργήσει Εκτίμηση Αντικτύπου, ενώ παράλληλα δεν είχε ορίσει ανεξάρτητο Υπεύθυνο Προστασίας Δεδομένων, αφού τη θέση κατείχε η Πρόεδρος του Ομίλου, καταστρατηγώντας την ανεξαρτησία της θέσης.

Η υπόθεση του ΝΟΒ αποτελεί χαρακτηριστικό παράδειγμα για τη σημασία της τήρησης της νομοθεσίας περί προσωπικών δεδομένων, όσο και αν ορισμένες φορές μπορεί οι απαιτήσεις να φαίνονται τυπικές ή πολύ αυστηρές. Με δεδομένο ότι η προστασία της ιδιωτικότητας βρίσκεται στο επίκεντρο με τις ραγδαίες τεχνολογικές εξελίξεις, τα προσωπικά δεδομένα αποκτούν άλλη βαρύτητα και όσο περνούν τα χρόνια, η νομοθεσία και η νομολογία θα γίνονται ολοένα και αυστηρότερες στην επεξεργασία τους.

Διαβάστε επίσης:

NBG Securities: Πώς είδε τα αποτελέσματα των τραπεζών για το γ’ τρίμηνο