Fitness klub došao je na ideju da dolaske članova kluba i zaposlenika kluba prati putem otiska prsta.
No, učinili su ključnu pogrešku ne dajući mogućnost članovima i zaposlenicima kluba da za istu svrhu ne moraju dati otiske svojih prstiju, već da mogu normalno i bez dodatnih ograničenja koristiti usluge i dolaziti na radno mjesto.
Iako su finskom nadzornom tijelu tvrdili da su omogućili privole članova i zaposlenika, iz navedenog je bilo jasno da te privole nisu bile predmetom potpuno slobodne volje, odnosno, da su članovi i zaposlenici MORALI dati svoju slobodnu privolu.
Uz nepostojanje jasne informiranosti članova i zaposlenika o samoj obradi otisaka prstiju, ogriješili su se i o dodatne GDPR obveze te im je izrečena kazna od 5.700 EUR. Ta kazna je relativno mala jer je i promet fitness kluba uslijed pandemije bitno opao
Više o slučaju iz Finske:
https://gdprhub.eu/index.php?title=ADA_(Lithuania)_-_UAB_VS_FITNESS&mtc=today
Biometrijski podaci su podaci koji pripadaju posebnim kategorijama osobnih podataka i čije neovlašteno otkrivanje, krađa, kopiranje, mogu uzrokovati značajne materijalne i nematerijalne štete za kompromitirane pojedince, da ne spominjemo krađu identiteta.
Obrada biometrijskih podataka u RH dozvoljena je u strogo ograničenom okviru prema Zakonu o obradi biometrijskih podataka i to samo od strane nadležnih tijela javne vlasti.
GDPR je odredio da se otisci prstiju, kao vrsta biometrijskih podataka, odnosno, jedna od posebnih kategorija osobnih podataka iz članka 9. GDPR-a, ne smiju prikupljati niti na drugi način obrađivati, osim ukoliko nije zadovoljen jedan od točno 10 uvjeta izuzeća iz članka 9. stavka 2. GDPR-a.
Ako organizacije želi uvesti obradu biometrijskih podataka, mora u tu svrhu dobiti IZRIČITU PRIVOLU pojedinca, koja mora biti jasna, specifična, informirana i dana slobodnom voljom pojedinca koji je uvijek može i mora moći povući u svakom trenutku bez posljedica, pod uvjetom da je takva obrada zaista nužna i da ne postoje drugi načini postizanja iste svrhe.
No, osim obveze dobivanja slobodnih i izričitih privola pojedinaca, organizacija je dužna ispuniti još niz drugih preduvjeta:
- Osigurati punu informiranost pojedinaca o svrhama prikupljanja biometrijskih podataka, rokovima zadržavanja, tko ima pristup istima te pravima pojedinaca, prema članku 13. GDPR-a
- Osigurati najviše standarde informacijske sigurnosti radi zaštite prikupljenih biometrijskih podataka
- Provesti i dokumentirati Procjenu učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment) i osigurati minimiziranje rizika na prava i slobode pojedinaca na prihvatljive, odnosno, niske ili umjerene
