Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/43

Kraj:

Hiszpania

Data wydania decyzji:

26.07.2021 r.

Podmiot kontrolowany:

Mercadona S.A.

Wysokość kary (EUR):

2.520.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. c), art. 6, art. 9, art. 12, art. 13, art. 25 ust. 1, art. 35 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło niezgodnego z prawem przetwarzania danych osobowych przez Mercadona, S.A. Firma wdrożyła system rozpoznawania twarzy w swoich sklepach, który miał na celu identyfikację osób z zakazem zbliżania się do sklepów Mercadona lub jej pracowników. System ten przetwarzał dane biometryczne, co stanowi szczególną kategorię danych osobowych, bez odpowiedniej podstawy prawnej wymaganej przez RODO.

 

Opis wydarzeń

  1. Początek postępowania: 5 maja 2021 roku hiszpański organ nadzorczy (AEPD) rozpoczął postępowanie przeciwko Mercadona, S.A. na podstawie doniesień medialnych i skarg dotyczących wdrożenia systemu rozpoznawania twarzy.
  2. Czynności kontrolne: AEPD przeprowadziła czynności kontrolne, które potwierdziły, że Mercadona przetwarzała dane biometryczne bez odpowiednich podstaw prawnych.
  3. Propozycja decyzji: 29 czerwca 2021 roku AEPD przedstawiła propozycję decyzji.
  4. Odpowiedź Mercadona: Firma przedstawiła swoje argumenty, twierdząc, że przetwarzanie danych było uzasadnione interesem publicznym i koniecznością zapewnienia bezpieczeństwa.
  5. Decyzja AEPD: AEPD uznała, że Mercadona nie miała odpowiedniej podstawy prawnej do przetwarzania danych biometrycznych i nałożyła na firmę karę finansową oraz nakazała zaprzestanie przetwarzania danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przegląd i aktualizacja polityk ochrony danych: Przeprowadzenie przeglądu i aktualizacji polityk ochrony danych osobowych, aby zapewnić zgodność z RODO.
  2. Szkolenia dla pracowników: Szkolenia dla pracowników dotyczące przetwarzania danych osobowych i zgodności z RODO.
  3. Wytyczne dotyczące rozpoznawania twarzy: Zgodnie z „Wytycznymi dotyczącymi rozpoznawania twarzy” opracowanymi przez Komitet Konsultacyjny Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych Konwencja 108:
    • przetwarzanie szczególnych kategorii danych, takich jak dane biometryczne, jest dozwolone tylko wtedy, gdy takie przetwarzanie opiera się na odpowiedniej podstawie prawnej, a prawo krajowe zapewnia uzupełniające i odpowiednie zabezpieczenia,
    • konieczność stosowania technologii rozpoznawania twarzy należy oceniać wraz z proporcjonalnością do celu i wpływem na prawa osób, których dane dotyczą,
    • wykorzystywanie obrazów cyfrowych, które zostały umieszczone w Internecie, w tym w mediach społecznościowych lub internetowych witrynach do zarządzania zdjęciami, lub zostały przechwycone przez obiektyw monitorujących kamer wideo, nie może być uznane za zgodne z prawem wyłącznie na tej podstawie, że dane osobowe zostały w sposób oczywisty udostępnione przez osoby, których dane dotyczą,
    • przetwarzanie danych biometrycznych przez technologie rozpoznawania twarzy do celów identyfikacji w kontrolowanym lub niekontrolowanym środowisku powinno być ogólnie ograniczone do celów egzekwowania prawa oraz powinno być prowadzone wyłącznie przez właściwe organy w zakresie bezpieczeństwa,
    • wykorzystywanie technologii rozpoznawania twarzy przez podmioty prywatne, z wyjątkiem podmiotów prywatnych uprawnionych do wykonywania podobnych zadań jak organy publiczne, wymaga wyraźnej, konkretnej, dobrowolnej i świadomej zgody osób, których dane biometryczne są przetwarzane,
    • podmioty prywatne nie mogą wdrażać technologii rozpoznawania twarzy w niekontrolowanych środowiskach, takich jak centra handlowe, zwłaszcza w celu identyfikacji osób będących przedmiotem zainteresowania, do celów marketingowych lub do celów bezpieczeństwa prywatnego.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO