19.07.2021, 16:13

Spordiklubi isikutuvastussüsteem tõi 20 000 eurot trahvi

Tambet Toomela

Eversheds Sutherland Ots&Co partner, andmekaitse ja tööõiguse valdkonna juht

Pilt on illustratiivne. Postimaja MyFitness

FOTO: Foto: Madis Veltman

Leedu riiklik andmekaitseasutus määras spordiklubile VS FITNESS UAB 20 000 euro suuruses trahvi andmekaitsenõuete rikkumise eest klientide ja töötajate sõrmejälgede kasutamisel.

Leedu spordiklubi VS FITNESS sattus hiljuti Leedu andmekaitseasutuse löögi alla, kui kasutas ebaproportsionaalsel määral privaatsusõigusesse tungides ka Eestiski üha enam leviva sõrmejäljelugeja süsteemi spordiklubisse sissepääsuks.

Võimalikust rikkumisest andis andmekaitseasutusele teada füüsiline isik, kelle sõnul ettevõttele kuuluva spordiklubi teenuste kasutamiseks oli sõrmejälje skaneerimine kohustuslik, välistades nimetatud spordiklubis muud identifitseerimisvõimalused. Leedu andmekaitseasutus viis seejärel läbi põhjaliku juurdluse, mille käigus tuvastati, et täitmata olid tingimused, mis puudutavad vabatahtliku nõusoleku andmist. Lisaks leiti, et ettevõte pole koostanud andmekaitsealast mõjuhinnangut ega säilitanud oma isikutuvastussüsteemidega seotud tegevustest andmeid.

Juhtumi kontekstis on oluline teada, et sõrmejäljed kui biomeetrilised isikuandmed alluvad nii Eestis, Leedus kui ka ülejäänud Euroopas oluliselt rangemale õiguslikule režiimile. Üldreeglina on selliste andmete töötlemine keelatud, välja arvatud juhul, kui esineb mõni lubav erand. Üheks selliseks erandiks on isiku vabatahtlik ja informeeritud nõusolek, mida peab olema hiljem võimalik ka tõhusalt tagasi võtta.

Üldiselt on avalikesse asutustesse (sh spordiklubidesse) sissepääsuks kasutusel erinevad lahendused, mis sekkuvad isiku privaatsussfääri sõrmejälgede töötlemisest oluliselt vähem. Näiteks klubikaardid või mobiilirakendused. Selles kontekstis peab ka sõrmejälgede töötlemiseks võetav isiku nõusolek vastama rangelt kõigile nõusoleku kriteeriumitele.

Olukorras, kus spordiklubisse sissepääsuks teisi alternatiivseid süsteeme ei kasutatud, ei saa rääkida vabatahtlikust nõusolekust, mida saaks hiljem ka tagasi võtta. Loobumine spordiklubi liikmelisusest ei ole seejuures tõsiseltvõetavaks alternatiiviks, mis täidaks nõusoleku vabatahtlikkuse eesmärki. Võta-või-jäta lahendused on alati sundlahendused.

Trahvisumma üle otsustamisel võttis AKI arvesse info ettevõtte eelneva ja käesoleva aasta käibe kohta, seejuures asjaolu, et sellel aastal on spordiklubide tegevust märkimisväärselt piiranud koroonaviiruse pandeemia.

Leedu spordiklubi juhtum on õpetlik näide sellest, et uued tehnoloogiad suurendavad küll kasutajamugavust, kuid nende rakendamisel tuleb kindlasti läbi mõelda, kuidas tagada õiguslike nõuete täitmine. Näiteks antud juhul olnuks õige pakkuda klientidele valikut, kas klient soovib enda identifitseerimiseks spordiklubides kasutada sõrmejälge või mõnda teist alternatiivi, mille puhul sõrmejälge ei kasutata. Näiteks mobiilirakendus või uksekiipkaart, millega oleks seotud vaid kliendilepingu sõlmimiseks vajalikud isikuandmed. Biomeetria kui tundliku isikuinfo jagamine peaks jääma alati erandlikuks võimaluseks ja seda mitte üksnes avalikesse asutustesse sissepääsul.

Seoses tehnoloogiate arenguga on sarnaseid mugavuse ja isiku privaatsuse lätteid kompavaid juhtumeid oodata järjest enam. Nii mujal kui ka meil.

Kommenteeri Loe kommentaare (17)