Valstybinė duomenų apsaugos inspekcija patikrino trims įmonėms priklausančius sporto klubus dėl biometrinių asmens duomenų tvarkymo. Atlikus tikrinimus nustatyta, kad bendrovės tvarko piršto atspaudo modelius, vadinamuosius binarinius kodus, praėjimo į sporto klubus ir darbo vietos kontrolės tikslu. Valstybinė duomenų apsaugos inspekcija patikrino trims įmonėms priklausančius sporto klubus dėl biometrinių asmens duomenų tvarkymo. Atlikus tikrinimus nustatyta, kad bendrovės tvarko piršto atspaudo modelius, vadinamuosius binarinius kodus, praėjimo į sporto klubus ir darbo vietos kontrolės tikslu. Inspekcija tikrintoms bendrovėms pateikė nurodymus pašalinti nustatytus Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.
Biometriniais duomenimis laikomi po specialaus techninio apdorojimo gauti asmens duomenys, susiję su asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to asmens tapatybę. Bendrajame duomenų apsaugos reglamente tokie duomenys yra priskiriami prie specialių kategorijų asmens duomenų, kurių tvarkymui keliami griežtesni reikalavimai. Pasak Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojos Danguolės Morkūnienės: „Įmonės turėtų labai atsakingai vertinti pačią galimybę tvarkyti biometrinius asmens duomenis. Pastarieji duomenys turėtų būti tvarkomi tik atsakingai įvertinus visas galinčias kilti grėsmes klientui ir alternatyvas tokių duomenų netvarkyti“.
Atlikusi sporto klubų tikrinimus inspekcija įmonėms nurodė pašalinti nustatytus pažeidimus. Vienai iš jų nurodyta sustabdyti klientų pirštų atspaudų modelių tvarkymą, iki kol bus atliktas poveikio duomenų apsaugai vertinimas ir užtikrinta atitiktis visiems Bendrojo duomenų apsaugos reglamento reikalavimams. Dviem – nutraukti darbuotojų pirštų atspaudų modelių tvarkymą. Visoms trims – užtikrinti technines ir organizacines duomenų saugumo priemones.
Valstybinės duomenų apsaugos inspekcijos požiūriu, planuodamos tvarkyti biometrinius asmens duomenis, įmonės turi pareigą atlikti poveikio duomenų apsaugai vertinimą. Svarbu nustatyti, ar apskritai yra pagrindas tokius asmens duomenis tvarkyti, įvertinti galinčius kilti pavojus, kokios būtų pakankamos saugumo priemonės šiems pavojams sumažinti.
Dėl pirštų atspaudų naudojimo su asmens sutikimu inspekcija laikosi pozicijos, kad šiuos duomenis galima tvarkyti gavus aiškius, nedviprasmiškus, tinkamai informuotų klientų sutikimus. Be kita ko, klientams turi būti suteikiamos ir alternatyvios identifikavimosi galimybės, kai pirštų atspaudų modeliai nėra tvarkomi. Ypač svarbu atkreipti dėmesį, kad sutikimas negali būti tinkama asmens duomenų tvarkymo sąlyga, kai tvarkomi darbuotojo asmens duomenys. Darbuotojo sutikimas dėl galios disbalanso su darbdaviu nėra laikomas laisvu sutikimu.
Norint tvarkyti biometrinius asmens duomenis, įmonėms privaloma pasirinkti tinkamas technines ir organizacines duomenų saugumo priemones. Atlikus tikrinimus, nustatyta, kad visos įmonės nepakankamai užtikrina tvarkomų pirštų atspaudų modelių saugumą, nors tokiam duomenų tvarkymui kyla aukštas rizikos lygis. Atkreipiame dėmesį, kokias esmines duomenų saugumo priemones privalu užtikrinti tvarkant biometrinius duomenis:
- Detaliai nustatyti organizacijos informacijos saugumo valdymą, aiškiai apibrėžti ir dokumentuoti darbuotojų atsakomybes bei vaidmenis, prieigos prie duomenų kontrolės politiką;
- Inventorizuoti ir atnaujinti techninę, programinę ir tinklo įrangą;
- Nustatyti pagrindines procedūras, kurių reikia laikytis įvykus incidentui ar asmens duomenų saugumo pažeidimui;
- Užtikrinti, kad darbuotojai gebėtų konfidencialiai tvarkyti informaciją.
Daugiau informacijos apie tikrinimus galite rasti inspekcijos parengtame Sporto klubuose atliekamo biometrinių duomenų tvarkymo teisėtumo tikrinimų apibendrinime.
