2025-02-25

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება სახის ამომცნობი სისტემის გამოყენებით პერსონალური მონაცემების დამუშავების შესახებ

---

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“AEPD”) საფეხბურთო მოედანზე დაშვების მიზნით მოქალაქეთა სახის ამომცნობი სისტემის გამოყენების მართლზომიერების შესახებ გადაწყვეტილება მიიღო.[1]

 

საქმის  ფაქტობრივი გარემოებები:

2022 წლის 22 ნოემბერს, მონაცემთა სუბიექტმა ესპანური საფეხბურთო კლუბის მიერ მოედნის რამდენიმე შესასვლელში სახის ამომცნობი სისტემის დამონტაჟების საკითხზე პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს საჩივრით მიმართა. აღსანიშნავია, რომ ფეხბურთის მატჩზე დამსწრე გულშემატკივრებს საშუალება ჰქონდათ ონლაინ დარეგისტრირებულიყვნენ, რა პროცესშიც მათ უნდა გადაეღოთ საკუთარი ფოტოსურათი (“Selfie”), საიდენტიფიკაციო ბარათის ასლი და, აგრეთვე, დათანხმებოდნენ მონაცემთა დამუშავების წესებსა და პირობებს. დამუშავებისთვის პასუხისმგებელი პირის განმარტებით, სისტემის შექმნის უმთავრესი მიზანი იყო მომხმარებლებისთვის მოსახერხებელი მომსახურების მიწოდება და არა უსაფრთხოებისა და ვინაობის დადასტურების უზრუნველყოფა. აღსანიშნავია, რომ სახის ამომცნობი ტექნოლოგიის გამოყენება არ იყო სავალდებულო.

საფეხბურთო კლუბმა, როგორც დამუშავებისთვის პასუხისმგებელმა პირმა, განახორციელა მონაცემთა დაცვაზე ზეგავლენის შეფასება და დაადგინა, რომ სამართლებრივი საფუძვლის - თანხმობის არსებობის გათვალისწინებით, მონაცემთა დამუშავება, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის თვალსაზრისით, არ იყო რაიმე საფრთხის შემცველი. ამავდროულად, ზეგავლენის შეფასების შედეგად დადგინდა, რომ მონაცემები წინასწარ განსაზღვრული მიზნებით მუშავდებოდა.

მონაცემთა სუბიექტის მტკიცებით, ბიომეტრიული მონაცემების ფართომასშტაბიანი დამუშავება ეწინააღმდეგებოდა მონაცემთა დამუშავების პროპორციულობის პრინციპს. ამასთან, დამუშავებისთვის პასუხისმგებელმა პირმა ვერ უზრუნველყო მონაცემთა დაცვის სათანადო გარანტიები და მხოლოდ თანხმობა არ იყო მონაცემთა დამუშავებისთვის საკმარისი საფუძველი.

 

საზედამხედველო ორგანოს გადაწყვეტილება:

• თანხმობის საკითხი

საზედამხედველო ორგანომ თანხმობის გაცემის მართლზომიერებასთან დაკავშირებით ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-6 მუხლის პირველი პუნქტის “a” ქვეპუნქტის[2] ფარგლებში იმსჯელა. “AEPD”-მ დაადასტურა, რომ სახის ამომცნობი ტექნოლოგიის გამოყენებით სისტემაზე რეგისტრაცია იყო ნებაყოფლობითი. ფეხბურთის გულშემატკივრებს სახის ამომცნობი ტექნოლოგიის გამოყენებაზე უარის თქმა ან თანხმობის გამოხმობა ნებისმიერ დროს შეეძლოთ. აგრეთვე, ონლაინ სისტემაზე რეგისტრაცია მოითხოვდა თანხმობის მრავალეტაპიან დადასტურებას. შესაბამისად, საზედამხედველო ორგანომ დაადგინა, რომ მონაცემთა სუბიექტის მიერ გაცხადებული თანხმობა აკმაყოფილებდა ინფორმირებულობისა და ნებაყოფლობითობის კრიტერიუმებს. აგრეთვე, აღინიშნა, რომ მონაცემთა სუბიექტები მონაცემთა დამუშავების მიზნების თაობაზე ინფორმირებულნი იყვნენ.

• განსაკუთრებული კატეგორიის პერსონალური მონაცემების დამუშავების აუცილებლობა

საზედამხედველო ორგანომ, ძირითადი რეგულაციის მე-9 მუხლით („განსაკუთრებული კატეგორიის პერსონალური მონაცემების დამუშავება“) გათვალისწინებული მოთხოვნების შესაბამისად, ბიომეტრიული მონაცემების დამუშავების კანონიერება შეაფასა.  “AEPD”-მ დაადგინა, რომ მუშავდებოდა იმაზე მეტი პერსონალური ინფორმაცია (მაგალითად, საიდენტიფიკაციო ბარათის ასლი, ფოტოსურათი, სახის ამომცნობი სისტემა), ვიდრე საჭირო იყო მონაცემთა დამუშავების მიზნის მისაღწევად. საზედამხედველო ორგანომ განმარტა, რომ მონაცემთა მინიმიზაციის პრინციპი დამუშავებისთვის პასუხისმგებელი პირისგან მონაცემთა სუბიექტის უფლებებში ჩარევის ნაკლებად მზღუდავი ალტერნატივის გამოყენებას მოითხოვს.

• მონაცემთა მინიმიზაციის პრინციპის სავარაუდო დარღვევა

საზედამხედველო ორგანოს შეფასებით, თანხმობის არსებობის მიუხედავად, განსაკუთრებული კატეგორიის, ბიომეტრიული მონაცემების დამუშავება უნდა იყოს მიზნის მიღწევის აუცილებელი საშუალება. სახის ამომცნობი ტექნოლოგიის ალტერნატივა შეიძლებოდა, ყოფილიყო სპეციალური კოდი (“QR code”) და ელექტრონული ბილეთი, რომელთა საშუალებითაც მიიღწეოდა მონაცემთა დამუშავების იგივე მიზანი (სტადიონზე მარტივად შესვლა). ამდენად, დადგინდა ძირითადი რეგულაციის მე-5 მუხლის პირველი პუნქტის “c” ქვეპუნქტის — მონაცემთა მინიმიზაციის პრინციპის დარღვევა, რის გამოც დამუშავებისთვის პასუხისმგებელ პირს სახის ამომცნობი სისტემის მონაცემთა დაცვაზე ზეგავლენის ხელახალი შეფასება დაევალა.

• დაკისრებული ადმინისტრაციული ჯარიმა

საზედამხედველო ორგანომ აღნიშნა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა სახის ამომცნობი ტექნოლოგიის დანერგვისას არ დაიცვა ძირითადი რეგულაციით გათვალისწინებული მოთხოვნები, რაც გამოიხატა განსაკუთრებული კატეგორიის პერსონალური მონაცემების ფართომასშტაბიან დამუშავებაში. შედეგად, საფეხბურთო კლუბს, მისი შემოსავლის გათვალისწინებით, დაეკისრა ჯარიმა 200 000 ევროს ოდენობით.