Drastičnim iznosom od 2.5 milijuna EUR kažnjen je španjolski lanac supermarketa zbog uvođenja tehnologije prepoznavanja lica radi sprječavanja ulaska kupaca s kaznenim presudama ili zabranama pristupa.
Nadzorno je tijelo naglasilo da se obrada biometrijskih podataka kroz sustav prepoznavanja lica nije vršila samo za identifikaciju osoba s kaznenim presudama, već su predmetom skeniranja i prepoznavanja lica bili i svi ostali kupci, djeca i zaposlenici.
Za primjenu tehnologije kojom se obrađuju biometrijski podaci, kao posebna kategorija osobnih podataka, vrijedi opća zabrana obrade istih i smiju se prikupljati i obrađivati samo ako postoji jasno ispunjenje jedne od 10 iznimki iz članka 9. stavka 2. GDPR-a.
U ovom primjeru takvog ispunjenje iznimke nema, jedina primjenjiva iznimka bi bila izričita privola pojedinca, što znači da bi trgovački lanac morao osigurati ulaze u trgovinu i bez prolaska pored uređaja za prepoznavanje lica.
Nadzorno tijelo zaključuje da obrada biometrijskih podataka nije bila zakonita i da je bila u suprotnosti s načelima nužnosti, proporcionalnosti i smanjenja količine podataka u skladu s člankom 5. stavkom 1. točkom (c) GDPR-a.
Da stvar bude gora, trgovački je lanac podbacio i u izradi DPIA (Data Protection Impact Assessment) Procjene učinka na zaštitu podataka, tako da je ista bila nepotpuna i netočna, jer nije uzela u obzir posebne i jedinstvene rizike za zaposlenike trgovačkog lanca.
Više o španjolskom slučaju:
https://www.dataguidance.com/news/spain-aepd-fines-mercadona-%E2%82%AC25m-illegitimate-use-facial
