Hiszpański organ nadzorczy (Agencia Española de Protección de Datos) wydał w ostatnim czasie decyzję, w której ukarał klub piłkarski Burgos Club de Fútbol za przetwarzanie danych biometrycznych swoich kibiców, bez podstawy prawnej oraz bez przeprowadzenia oceny DPIA. Początkowo kara wynosiła aż 200 tysięcy euro (ponad 850 tysięcy złotych). Wobec uznania decyzji przez administratora, kwota ta – zgodnie z hiszpańskim prawem – została jednak obniżona. Finalnie administrator ma do zapłacenia 120 tysięcy euro (ponad 500 tysięcy złotych).
Brak możliwości wejścia na stadion bez odcisku palca
Postępowanie przeprowadzone przez regulatora wykazało, że pod koniec 2022 r. ukarany administrator wdrożył na swoim stadionie system umożliwiający gromadzenie i dalsze przetwarzanie danych biometrycznych (odcisków palców). System ten był wykorzystywany wobec ok. 700 kibiców, którzy aby móc wejść na stadion musieli uprzednio wylegitymować się swoimi odciskami palców. Co ciekawe, wprowadzenie systemu było podyktowane wymogami dotyczącymi przetwarzania danych biometrycznych, określonymi przez Państwową Komisję przeciwko przemocy, rasizmowi, ksenofobii i nietolerancji w sporcie. Sam system został przekazany klubom piłkarskim niejako odgórnie, przez hiszpański związek piłki nożnej. System umożliwiał gromadzenie imienia, nazwiska, numeru krajowej karty identyfikacyjnej, numeru identyfikacyjnego w systemie oraz wzoru odcisków palców. W założeniu miał on zastąpić wcześniejsze rozwiązania techniczne, oparte na identyfikacji przy użyciu kart identyfikacyjnych.
Nowa metoda identyfikacji kibiców nie spodobała się samym zainteresowanym. Po ich licznych skargach i wnioskach, ukarany administrator postanowił dać kibicom wybór w zakresie metody ich identyfikacji, pomiędzy odciskiem palca, a klasyczną kartą. Wskazane zabiegi nie uchroniły jednak ukaranego klubu przed wszczęciem w tej sprawie postępowania przez organ nadzorczy.
Liczne nieprawidłowości
Organ nadzorczy zwrócił uwagę w swojej decyzji na kilka znaczących nieprawidłowości w zakresie przetwarzania danych osobowych przez administratora.
Po pierwsze, ukarany klub początkowo nie przeprowadził DPIA (art. 35 RODO), które w ocenie regulatora, było obowiązkowe, bowiem przetwarzane były dane biometryczne. Administrator co prawda przedstawił ocenę DPIA organowi nadzorczemu, niemniej przeprowadził on ją ponad 3 miesiące po rozpoczęciu przetwarzania danych biometrycznych.
Po drugie, zdaniem organu nadzorczego, zakwestionowany proces przetwarzania danych biometrycznych był bezprawny, tj. nie występowała żadna z przesłanek umożliwiających przetwarzanie takich danych osobowych. Warto zwrócić uwagę, że ukarany administrator początkowo twierdził, że przetwarzał dane w związku z obowiązkiem prawnym nałożonym przez państwowy organ, zaś następnie – po 15 lutego 2023 r. – zmienił podstawę prawną na zgodę osoby, której dane dotyczą.
Po trzecie wreszcie, regulator wskazał w decyzji, że ukarany administrator przetwarzał dane osobowe z naruszeniem zasady minimalizacji danych. Zwrócił przy tym uwagę, że administrator powinien przeanalizować, czy przetwarzanie danych biometrycznych jest adekwatne do zamierzonego celu przetwarzania i czy takiego celu nie można było osiągnąć bez przetwarzania danych szczególnych kategorii. W ocenie regulatora, w analizowanej sprawie przetwarzanie nie było ani konieczne, ani proporcjonalne, gdyż dla zapewnienia odpowiedniego bezpieczeństwa wystarczające było korzystanie z wcześniejszego systemu weryfikacji tożsamości, opartego o fizyczne karty. Organ nadzorczy podkreślił również, że wymóg stosowania systemu weryfikacji określony przez państwową komisję nie był wystarczający, aby uznać, że jego stosowanie jest odpowiednie, konieczne i proporcjonalne.
Dobra nauczka dla innych
Wydaje się, że rozstrzygniecie hiszpańskiego organu nadzorczego może być przestrogą dla innych administratorów, również w innych krajach. Regulator podkreślił bowiem, że administrator zawsze musi samodzielnie przeprowadzić niezbędne analizy i oceny, aby móc stwierdzić, że przetwarza dane osobowe zgodnie z RODO. Nie jest zatem wystarczający argument, że stosowanie określonych rozwiązań technicznych (np. wiążących się z przetwarzaniem danych biometrycznych) zostało administratorowi narzucone z góry, jak miało to miejsce w tej sprawie. Administrator musi przeprowadzić odpowiednią analizę ryzyka, w szczególności, gdy chodzi o przetwarzanie danych szczególnych kategorii.
Treść decyzji organu nadzorczego:
https://www.aepd.es/documento/ps-00483-2023.pdf