Prije par godina čitali smo u medijima o praksi jednog lanca fitness centara u RH kojom su tražili da članovi fitness kluba obvezno daju svoju privolu kako bi mogli ulaziti u prostore kluba u vremenima kada nitko od zaposlenih u klubu nije prisutan.
Takva praksa ima smisla, a da bi bila zakonita, odnosno, u skladu s člankom 9. GDPR-a, s obzirom da se biometrijski podatak (sken lica, otisak prsta, sken rožnice, sken krvožilnog sustava zapešća i sl.) smatra posebnom kategorijom osobnih podataka, s posebnim naglaskom na odredbu članka 23. Zakona o provedbi Opće uredbe o zaštiti podataka koja nalaže da se uporaba biometrijskih sustava u svrhe identifikacije pojedinca za evidentiranje radnog vremena, ulaska i izlaska, može koristiti samo ako su ispunjena dva preduvjeta:
- Da je korištenje biometrijskih sustava isključivo alternativa drugom manje invazivnom načinu identifikacije
- Da pojedinac ima puno pravo slobodnog izbora bez posljedica i da uvijek može povući svoju izričitu privolu za biometrijski identifikaciju
A da bi se prethodna dva preduvjeta ispunila, mora pojedincu prije njegovog prava slobodnog izbora biti omogućen pristup prostoru i drugim načinima (RFID kartice, PIN-ovi, ključevi...) bez ikakvog ometanja ili prepreka, mora mu biti dan potpuno slobodan izbor, pa čak i ako naknadno povuče svoju izričitu privolu.
Na isti način postupalo je i dansko nadzorno tijelo pri nadzoru u jednom fitness centru otvorenom non-stop.
Utvrdili su da su korisnici nekada prije fitness centru pristupali putem RFID kartica ili čipova, ali je vlasnik fitness centra, moguće i zbog zlouporaba, očigledno loše savjetovan od strane „stručnjaka“, cijeli sustav dozvole i bilježenje ulazaka i izlazaka korisnika fitness centra prebacio na biometrijsko prepoznavanje lica kao jedini omogućen način.
Naravno, slučaj je od strane nezadovoljnih korisnika završio na stolu nadzornog tijela.
Vlasnik fitness centra pokušao je obraniti svoju poziciju na način da je tvrdio da korisnik koji ne želi ulaziti u prostore putem biometrijskog prepoznavanja lica može prilikom dolaska nazvati poseban telefonski broj podrške kada će dobiti jednokratni kod za otključavanje vrata ili ih tražiti da otključaju vrata.
Ovdje je fitness centar pogriješio u temelju, biometrijsko prepoznavanje lica moralo je biti uvedeno isključivo kao opcija i alternativa nekom manje invazivnom načinu otvaranja vrata, a temeljne manje invazivne mogućnosti morale su biti jasno komunicirane korisnicima od samog početka. Štoviše, fitness centar je „uvjerio“ svoje korisnike da će u noćnim satima moći ući samo biometrijskim prepoznavanjem lica.
Shvaćamo postupanje vlasnika fitness centra, uložio je puno novaca u sustav biometrije, a pri tom ga nitko nije upozorio da takva investicija može biti „bačen novac“ ako nitko od korisnika ili manjina prihvate svojom slobodnom odlukom biometrijsko prepoznavanje.
Više o slučaju:
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2023-31-0028&mtc=today
Image by prostooleh on Freepik
#gdprcroatia
