L’Inspection nationale de la protection des données (VDAI) a mené une inspection concernant le traitement des données personnelles biométriques dans le club sportif et en 2022. 22 décembre 6 000 pour les violations identifiées du Règlement Général sur la Protection des Données (RGPD). Amende d’EUR à l’UAB « Praktiškas » (ci-après – la Société), qui gère les clubs sportifs « SportGates ».
L’entreprise a été condamnée à une amende pour traitement des données biométriques des personnes concernées (clients) sans leur consentement volontaire, mise en œuvre inappropriée du droit des personnes concernées à être informées du traitement des données, il a également été établi que l’entreprise, avant de commencer à traiter les données biométriques, avait n’a pas effectué d’analyse d’impact sur la protection des données, n’a pas géré de registres d’activité (c’est-à-dire pour l’article 5 d.1 a p. du RGPD, l’article 9 d.1, l’article 13 d.1-2, l’article 30 d.1 et 3 , article 35 d.1 et 3 violations des dispositions du paragraphe d.b).
VDAI, après avoir reçu une notification d’une personne physique, indiquant que l’un des clubs sportifs appartenant à la Société ne propose pas d’option alternative d’identification (les données biométriques sont utilisées pour l’identification) et pour cette raison, si la personne refuse de donner son consentement au traitement des données biométriques, il ne peut pas utiliser les services fournis par le club sportif, a effectué de sa propre initiative une inspection liée à une éventuelle violation du RGPD.
Gestion des données biométriques des clients
Selon le RGPD, les données biométriques sont classées comme catégories particulières de données personnelles dont le traitement est interdit, à l’exception de l’article 9 du RGPD. 2 j. une exception est prévue. L’entreprise traite les données biométriques des clients sur la base de leur consentement, c’est-à-dire sur la base établie à l’article 9 du RGPD. 2 j. a p., par conséquent, les clients doivent disposer des conditions (modalités) pour exprimer leur consentement au traitement de leurs données biométriques de leur plein gré. Si les clients (personnes concernées) n’ont pas de libre choix, ce consentement n’est pas considéré comme donné librement. Par conséquent, le traitement des données biométriques collectées sur la base du consentement est considéré comme illégal.
Le VDAI, après avoir effectué le contrôle, a constaté que le consentement donné par les clients pour le traitement de leurs données biométriques n’était pas volontaire : lorsque les clients s’inscrivent pour accéder au club sportif via la borne libre-service, le seul moyen d’accéder au club sportif est indiqué – données biométriques. Lors de l’inspection, il a été établi qu’il n’existait aucune autre alternative (à l’exception de l’utilisation de données biométriques) pour entrer dans le club sportif, et qu’il n’y avait également aucune information (message informatif) sur d’autres alternatives possibles pour entrer dans le club sportif que le client pourrait utiliser. Bien que la Société ait soutenu que, par exemple, le numéro de téléphone de l’administration est indiqué et qu’en cas d’appel et d’expression du souhait, une carte d’accès au club sportif est délivrée, VDAI explique que tout responsable du traitement qui traite des données biométriques doit clairement fournir aux personnes concernées des informations sur d’autres alternatives au traitement des données biométriques.
Informer les clients sur le traitement des données personnelles
RGPD, article 13. il est réglementé quelles informations le responsable du traitement doit fournir à la personne concernée au moment de l’acquisition des données, lorsque des données personnelles sont collectées auprès de celle-ci. La société a fait valoir que les informations sur le traitement des données biométriques des clients sont fournies dans la politique de confidentialité, qui est toujours présentée aux clients lors de la conclusion du contrat. Lors de l’inspection sur place du club sportif concernant le traitement des données biométriques, il a été constaté que lors de l’inscription à la borne libre-service en tant que nouveau client, il est obligatoire d’accepter les règles d’utilisation du club sportif (information sur la politique de confidentialité n’a pas été fournie).
Circonstances importantes pour décider du montant de l’amende
Au moment de décider de l’imposition d’une amende administrative et du montant de l’amende, le VDAI a pris en compte le fait que la Société traite des catégories particulières de données personnelles et que le traitement de ces données est soumis à des normes d’application plus strictes du RGPD pour les responsables du traitement. Il a également pris en compte le fait que la violation est continue et systémique, c’est-à-dire qu’elle n’est pas liée à une seule personne. De plus, certaines des violations constatées à l’encontre de l’entreprise sont classées comme des violations plus graves (article 83, d. 5, p. 5 du RGPD). .a et b). Le VDAI a également évalué l’article 83 du RGPD. 2 j. les facteurs précisés qui doivent être pris en compte lors de l’imposition d’une amende administrative, ainsi que les informations fournies par la Société sur le chiffre d’affaires de l’année précédente et les explications de la Société.