Испанскую компанию оштрафовали за сбор биометрии клиентов, нарушающий GDPR

Агентство по защите данных Испании (Agencia Española de Protección de Datos, AEPD) наложило штраф в размере 27 тыс. евро на компанию Metropolitan Spain за нарушение Общего регламента защиты данных Евросоюза (GDPR) после жалобы заявителя.

Заявитель был клиентом тренажерного зала, которым управляет Metropolitan Spain. До мая 2021 года он проходил в зал с помощью браслета и документами, удостоверяющими личность. Но позднее доступ стал возможен только при сканировании отпечатков пальцев. После отказа предоставить данные об отпечатках клиенту сообщили, что его членство в зале будет прекращено.

Регистрация отпечатков пальцев для доступа в зал не была необходимой для исполнения контракта, поскольку в прошлом заявитель использовал другие средства доступа, рассудили в AEPD. Поэтому Metropolitan Spain не имела законных оснований для обработки данных и нарушила статью 6 (1) GDPR, решили в Агентстве.

Также AEPD установило, что Metropolitan Spain нарушила статью 9 (1) GDPR об обработке биометрических данных. Обработка не подпадает ни под одно из исключений, предусмотренных статьей 9 (2) GDPR. Более того, эксперты отметили, что Metropolitan Spain не проинформировала заявителя о последствиях непредоставления сведений об отпечатках пальцев во время сбора данных в нарушение статьи 13 GDPR.