Hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) nałożył karę na jednego z właścicieli wiodącej sieci supermarketów i sklepów internetowych w Hiszpanii – Mercadona SA. Kwota jest znaczna – ponad 2 500 000 euro (około 11 400 000 złotych).
Biorąc jednak pod uwagę ciężar stwierdzonych naruszeń, spółka może mówić o łagodnym wymiarze kary. Regulator stwierdził bowiem, że ukarany administrator wdrożył w swoich 48 placówkach technologię umożliwiającą rozpoznawanie twarzy klientów. Rozwiązania te zostały uznane jednocześnie za niezgodne z przepisami o ochronie danych osobowych.
Dane pozostawione w sklepie internetowym, czyli jak ratować porzucony koszyk zgodnie z RODO
Felerna technologia
Z ustaleń hiszpańskiego organu nadzorczego wynika, że spółka w czerwcu 2020 r. wdrożyła w wybranych sklepach system umożliwiający rozpoznawanie twarzy klientów. W założeniu technologia miała wykrywać osoby, które zostały skazane za określone przestępstwa, w tym w szczególności popełnione wobec pracowników sklepów spółki lub na ich terenie. W praktyce jednak, urządzenia stale rejestrowały wizerunki pracowników oraz klientów (w tym dzieci), przetwarzając jednocześnie dane biometryczne tych osób. Spółka w toku postępowania tłumaczyła, że system funkcjonował na zasadzie podwójnej weryfikacji, która umożliwiać miała precyzyjne zidentyfikowanie konkretnych osób. Organ nadzorczy nie uwzględnił jednak tych argumentów.
Bez podstawy prawnej
Hiszpański regulator wskazał, że spółka przetwarzała dane osobowe klientów, w tym ich dane biometryczne, bez podstawy prawnej. W jego ocenie zrozumiałe są powody, dla których spółka zdecydowała się przetwarzać dane biometryczne wskazanych osób. Podkreślił on jednak stanowczo, że ukarany administrator nie wziął pod uwagę w odpowiednim zakresie interesu innych osób przebywających na terenie sklepów, w tym pracowników i klientów.
Jednocześnie, organ nadzorczy podkreślił, że administrator w każdym przypadku wdrażania konkretnych rozwiązań powinien dokonać oceny, czy są one niezbędne, czy jedynie użyteczne. Systemy rozpoznawania twarzy bez wątpienia bywają użyteczne. W większości przypadków nie są one jednak konieczne do osiągnięcia celu przetwarzania danych osobowych. Tak też – zdaniem AEPD – było w przypadku spółki.
Regulator skonkludował w decyzji, że spółka naruszyła w niniejszej sprawie przepisy RODO, w tym w szczególności art. 6 (zgodność z prawem) i art. 9 (przetwarzanie szczególnych kategorii danych osobowych). Ponadto, zarzucił on administratorowi naruszenie zasady minimalizacji danych. Co ciekawe, AEPD wskazał, że co prawda spółka przeprowadziła ocenę skutków dla ochrony danych osobowych, niemniej w niewystarczającym zakresie.
Zniżka za dobre sprawowanie
W ocenie organu nadzorczego, nałożona na administratora kara pieniężna jest proporcjonalna, skuteczna i odstraszająca. Warto jednak zwrócić uwagę, że finalna kwota kary została zmniejszona przez AEPD o 20%. Z jednej strony spowodowane to było deklaracją spółki o dobrowolnym zapłaceniu kary. Z drugiej zaś, czystą kartą, tj. brakiem stwierdzonych naruszeń przepisów o ochronie danych osobowych przez administratora w przeszłości.
Treść decyzji w języku hiszpańskim:
https://www.aepd.es/es/documento/ps-00120-2021.pdf
