ΑΠΟΦΑΣΗ 42/2024
Αθήνα, 18-11-2024
Αριθ. Πρωτ.: 3211
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση την Τρίτη 28-07-2023 και ώρα 10:00 π.μ. και σε δεύτερη συνεδρίαση την Τρίτη 19-12-2023 και ώρα 10:00 π.μ., προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Αικατερίνη Ηλιάδου, Γρηγόριος Τσόλιας και Χρήστος Καλλονιάτης, ως εισηγητής. Παρόντες, χωρίς δικαίωμα ψήφου, ήταν ο Ιωάννης Λυκοτραφίτης, ειδικός επιστήμονας - πληροφορικός, η Στεφανία Πλώτα, ειδική επιστήμονας - δικηγόρος, ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κατωτέρω:
Με το υπ’ αριθμ. πρωτ. .../20-04-2022 αίτημά του, ο Α απευθύνθηκε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Αρχή») υποβάλλοντας το ερώτημα πώς μπορεί να εναντιωθεί ως συνοδός μέλους του Ναυτικού Ομίλου ... (στο εξής «Ν.Ο....» ή «Όμιλος») στην επεξεργασία βιομετρικών δεδομένων του, για την οποία ενημερώθηκε από τον Ν.Ο.... με ηλεκτρονικό ταχυδρομείο. Σύμφωνα με την ενημέρωση αυτή, το σύστημα της ελεγχόμενης εισόδου - εξόδου δεν θα γίνεται πλέον με την επίδειξη, στην είσοδο σε φύλακα, της κάρτας συνοδού του μέλους αλλά με την επεξεργασία των βιομετρικών χαρακτηριστικών του, χωρίς να παρέχεται περαιτέρω πληροφόρηση και αιτιολόγηση του εν λόγω μέτρου.
Το ανωτέρω ερώτημα, ερμηνευόμενο είτε ως αίτημα παροχής πληροφοριών για άσκηση δικαιώματος υποκειμένου, είτε ως ερώτημα περί νομιμότητας επεξεργασίας, εκφεύγει των αρμοδιοτήτων της Αρχής. Ωστόσο, λόγω της σπουδαιότητας του θέματος, η Αρχή έκρινε ότι πρέπει να επιληφθεί αυτεπάγγελτα και, με το υπ’ αριθμ. πρωτ. .../20-05-2022 έγγραφό της, λαμβάνοντας υπόψη τον ανανεωμένο Κανονισμό Λειτουργίας του ομίλου, στον οποίο, όπως αυτός είχε αναρτηθεί στην ιστοσελίδα του(τελευταίος έλεγχος 19-05-2022) αναφέρονται, στη διάταξη 2.1, τα εξής: «Για την είσοδο στον Ν.Ο.... των Μελών (κύρια και προστατευόμενα) γίνεται χρήση βιομετρικών χαρακτηριστικών. Μετά την εγγραφή τους στο σύστημα βιομετρικών χαρακτηριστικών, ακυρώνονται οι πλαστικές κάρτες. Στην πρώτη επίσκεψη του μέλους και της οικογένειάς του στον Όμιλο, απαιτείται μια σύντομη επίσκεψη στη Γραμματεία του Ν.Ο.... για την εγγραφή του μέλους στο σύστημα.», κάλεσε τον Ν.Ο.... να παράσχει διευκρινίσεις για την επεξεργασία βιομετρικών δεδομένων για τον έλεγχο της εισόδου στον Όμιλο των μελών του, όπως, μεταξύ άλλων, τη νομική βάση και τα λοιπά χαρακτηριστικά της σκοπούμενης επεξεργασίας, καθώς και αν έχει διενεργηθεί μελέτη εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Ο Ν.Ο.... με το υπ’ αριθμ. πρωτ. .../02-06-2022 έγγραφο απάντησε στην Αρχή ότι «…μέχρι πρότινος χρησιμοποιούνταν μόνον το σύστημα εισόδου με τη χρήση ατομικής μαγνητικής κάρτας για κάθε μέλος, η οποία έφερε και τη φωτογραφία του προσώπου εκάστου μέλους. Σήμερα χρησιμοποιείται σύστημα εισόδου με τη χρήση ατομικής κάρτας για κάθε μέλος, η οποία φέρει και τη φωτογραφία του προσώπου, και ταυτοποιείται με την επίδειξη αστυνομικής ταυτότητας ή άλλου δημοσίου εγγράφου ταυτοπροσωπίας. Εσχάτως χρησιμοποιείται παραλλήλως και ένα σύστημα ταυτοποίησης, το οποίο βασίζεται στη γεωμετρία του προσώπου, που για κάθε άνθρωπο είναι μοναδική. Οι συντεταγμένες λοιπόν αυτές κάθε προσώπου επεξεργάζονται από ένα πολύ εξελιγμένο αλγόριθμο, ο οποίος δημιουργεί για κάθε άτομο ένα κωδικό σαν αυτό, που θα είχε μια κάρτα RFID». Ειδικότερα για τις τεχνικές προδιαγραφές του εν λόγω νέου συστήματος, ο Ν.Ο.... αναφέρει ότι «οι βιομετρικές αυθεντικές συσκευές της ..., που αφορούν τον έλεγχο πρόσβασης (Access Control) και την χρονική παρουσία (Time Attendance), είναι σύμφωνες με τα προσωπικά δεδομένα, εννοώντας ότι τα βιομετρικά δεδομένα των χρηστών τους ανήκουν, επειδή είναι κατάλληλα ασφαλισμένα και αποθηκευμένα με μεθόδους κρυπτογράφησης μέσα στις συσκευές…. Με τα συστήματα της ... Time Attendance or Access Control, οι εικόνες ποτέ δεν αποθηκεύονται. Λαμβάνονται φωτογραφίες και συλλέγονται από την εικόνα ευδιάκριτα χαρακτηριστικά γνωστά ως στοιχεία δεδομένων. Ένας μελετημένος αλγόριθμος χρησιμοποιείται για να μετατρέψει τα δεδομένα σε ένα βιομετρικό πρότυπο στην μορφή ψηφιακού κώδικα. ... Βιομετρικοί Αλγόριθμοι και Πρότυπα: Σαν ένα πρόσθετο μέτρο ασφαλείας, το βιομετρικό πρότυπο στην συνέχεια κρυπτογραφείται και πραγματοποιείται η διαδικασία πιστοποίησης στα μηχανήματα αναγνώρισης παλάμης και προσώπου του ... η οποία λαμβάνει χώρα μέσα στις συσκευές χωρίς εξωτερικό παράγοντα. Τα απαραίτητα δεδομένα συγκρίνονται με τα δεδομένα του τερματικού και το αποτέλεσμα της σύγκρισης εξάγεται. Το αποτέλεσμα της σύγκρισης αποθηκεύεται τοπικά και στέλνεται στον πελάτη μέσω του SSL/TSL αλγόριθμου κρυπτογράφησης. Ο αλγόριθμος της κρυπτογράφησης των δεδομένων που αποστέλλονται είναι τυχαίος. Το αποτέλεσμα είναι ένα σύστημα το οποίο παρέχει το υψηλότερο επίπεδο προστασίας στα βιομετρικά δεδομένα, διασφαλίζοντας τη συμμόρφωση με τα προσωπικά δεδομένα GDPR. Τα βιομετρικά πρότυπα μπορούν να αναγνωριστούν μόνο από τον αλγόριθμο ... και δεν μπορούν να μετατραπούν εκτός από αυτόν τον αλγόριθμο σε βιομετρικές εικόνες. Τα πρότυπα ... δεν μπορούν να αναγνωριστούν από άλλους βιομετρικούς αλγόριθμους.». Ως προς τη νομική βάση της επεξεργασίας, ο Ν.Ο.... αναφέρει ότι: «Εν προκειμένω συντρέχει και το σύννομο της επεξεργασίας κατ’ άρθρο 6 παρ. 1 ΓΚΠΔ και οι εξαιρέσεις του άρθρου 9 παρ. 2 ΓΚΠΔ, εάν θεωρηθεί ότι πρόκειται για ευαίσθητα προσωπικά δεδομένα», επισημαίνοντας ότι καταρχάς η νομική βάση της σκοπούμενης επεξεργασίας εδράζεται στο άρθρο 6 παρ. 1 ΓΚΠΔ και δη στα εδάφια α, β, γ, δ, στ και περαιτέρω ότι είναι επιτρεπτή η εξαίρεση επεξεργασίας αυτών εδραζόμενη στο άρθρο 9, στα εδάφια α, β, γ και δ. Τέλος, ο Ν.Ο.... αναφέρει ότι τα μέλη και οι αθλητές του, κατά την εγγραφή τους, έχουν παράσχει τη ρητή συναίνεσή τους για την επεξεργασία των προσωπικών δεδομένων τους, η οποία είναι ελευθέρως ανακλητή, δηλαδή το κάθε μέλος δικαιούται, ανά πάσα στιγμή, να εισέλθει στον Όμιλο με τον παραλλήλως παραμένοντα σε ισχύ εναλλακτικό τρόπο εισόδου (ταυτοποίηση με ατομική κάρτα) και ότι «αποτελεί πρώτιστο καθήκον και δικαίωμα, ζωτικό συμφέρον, καταστατική και έννομη υποχρέωση του Ομίλου, η διασφάλιση ενός ασφαλούς και υγιούς περιβάλλοντος για τα μέλη και τους αθλητές μας εντός των εγκαταστάσεων μας. Αυτό επιτυγχάνεται πρωτίστως, δια του αποκλεισμού τρίτων προσώπων, οι οποίοι πχ. έχουν κλέψει την κάρτα εισόδου, έχουν πλαστογραφήσει αυτήν, έχουν δανειστεί από ενεργό μέλος κλπ. Η απολύτως ορθή ταυτοποίηση των εισερχομένων στον Όμιλο αποτελεί πρώτιστη ευθύνη και υποχρέωσή μας, δεδομένου ότι τόσο δια του καταστατικού μας, του αθλητικού νόμου αλλά και του Αστικού Κώδικα υπέχουμε αντίστοιχη υποχρέωση και είναι καθήκον μας να παρέχουμε στους δικαιούμενους εισόδου το πιο ασφαλές και υγιές περιβάλλον. Και τούτο λαμβανομένων υπόψη ότι πλείστες ώρες της ημέρας η πλειοψηφία των εισερχομένων αποτελείται από ανήλικα, για την υγεία και ακεραιότητα αυτών οι γονείς τους έχουν εμπιστευθεί τον Όμιλο και το απολύτως ελεγχόμενο περιβάλλον των εγκαταστάσεων του. Ο έλεγχος εισόδου στις εγκαταστάσεις του Ομίλου αποτελεί την πρώτη και τελευταία γραμμή άμυνας απέναντι σε επίδοξους κλέφτες, πορτοφολάδες, επιδειξίες, βιαστές, παιδεραστές, απαγωγείς κλπ. για την αποφυγή και πρόληψη συναφών παραβατικών συμπεριφορών. Επίσης τοιουτοτρόπως αντιμετωπίζεται ο μέχρι πρότινος συνωστισμός, κατά τον έλεγχο των εισερχομένων με την ατομική κάρτα εισόδου, που εγκυμονούσε κινδύνους για τη δημόσια υγεία, πχ. εστίες μετάδοσης covid19. Τέλος, οφείλουμε να σας ενημερώσουμε ότι το παραπάνω νέο σύστημα εισόδου επιλέχθηκε μετά και από την απαίτηση πλείστων μελών, τα οποία αφενός ένιωθαν έντονη ανασφάλεια για τους λαθρο-εισερχομένους τρίτους στον Όμιλο αφετέρου υπόκειτο καθημερινώς στην ταλαιπωρία της ταυτοποίησης, ιδίως όταν ξεχνούσαν την κάρτα εισόδου τους.»
Στη συνέχεια, η Αρχή με το υπ’ αριθμ. πρωτ. .../10-06-2022 έγγραφο κάλεσε τον Ν.Ο.... να παράσχει επιπλέον διευκρινίσεις αναφορικά, μεταξύ άλλων, με την τεκμηρίωση της εφαρμογής της εξαίρεσης του άρθρου 9 παρ. 2 στοιχείου α’ ΓΚΠΔ, τα τεχνικά χαρακτηριστικά του εν λόγω συστήματος, τα σχετικά τεχνικά και οργανωτικά μέτρα ασφαλείας που έχουν τεθεί σε εφαρμογή, τυχόν αποδέκτες των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας, τον χρόνο λήψης της απόφασης για την εγκατάσταση του επίμαχου συστήματος και της εγκατάστασης και έναρξης λειτουργίας του συστήματος, και το ζήτημα αν έχει διενεργηθεί μελέτη εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Ο Ν.Ο.... με το υπ’ αριθμ. πρωτ. .../29-06-2022 έγγραφο απάντησε εκ νέου στην Αρχή ότι, ως προς τη νομική βάση της επεξεργασίας, ισχύουν πολλαπλά εδάφια του άρθρου 6 παρ. 1 και άρθρου 9 παρ. 2 ΓΚΠΔ, παρόλο που θεωρεί ότι «το εν λόγω σύστημα δεν αφορά σε ευαίσθητα προσωπικά δεδομένα» και διευκρινίζει ότι «οι αθλητές μας εισέρχονται από ειδική είσοδο μόνον με τη διαδικασία της μαγνητικής κάρτας, δηλαδή δεν έχει εφαρμογή σε αυτούς το εν λόγω σύστημα. Μόνη εξαίρεση υφίσταται, όταν ο αθλητής τυγχάνει και τέκνο οικογένειας μέλους, οπότε τότε ο αθλητής έχει παράσχει και τα εν λόγω δεδομένα του. Τόσο τα παλαιά όσο και τα νέα μέλη μας έχουν ενημερωθεί - ενημερώνονται (για το εν λόγω σύστημα εισόδου και το δικαίωμα υπαναχώρησής τους) και εν τέλει παρέχουν την ρητή συγκατάθεσή τους κατά τη διαδικασία λήψης των προαπαιτούμενων απεικονίσεων τους (σημείωση: όχι φωτογραφίες αλλά απεικόνιση ευδιάκριτων γεωμετρικών στοιχείων εκάστου προσώπου). Συγκεκριμένα έκαστο μέλος (παλαιό και νέο) πρέπει να εισέλθει στον ειδικό χώρο του Ομίλου, προκειμένου να πραγματοποιηθεί η λήψη των απαραίτητων δεδομένων του για την ενσωμάτωσή τους στο εν λόγω σύστημα. Κατά την εν λόγω διαδικασία αναλύεται, από αρμόδια υπάλληλό μας, η λειτουργία του εν λόγω συστήματος εισόδου καθώς και ο εναλλακτικός τρόπος εισόδου στον Όμιλο. Μετά ταύτα, το μέλος χορηγεί την ρητή συγκατάθεσή του και ενημερώνεται πάραυτα για τη δυνατότητα ανάκλησης αυτής.» Ο Ν.Ο.... επίσης αναφέρει ότι ο ισχύων αθλητικός νόμος επιβάλλει την τήρηση μητρώου μελών με συγκεκριμένα προσωπικά δεδομένα και η τυχόν ανάκληση της εν λόγω συγκατάθεσης για τα απαραίτητα εκ του νόμου προσωπικά δεδομένα, δύναται να οδηγήσει σε διαγραφή του μέλους και ότι τα μέλη, πλην των παραπάνω ενημερώσεων, ενημερώνονται για τον εναλλακτικό τρόπο εισόδου από τα μέλη του Δ.Σ., τους υπαλλήλους του Ομίλου, καθώς και τους φύλακες security των εισόδων. Προς επίρρωση αυτών, ο Όμιλος αναφέρει ότι όλες οι εν λόγω διαδικασίες περιγράφονται και στον ισχύοντα κανονισμό του Ομίλου, και υποβάλλει στην Αρχή τα σχετικά ενημερωτικά έντυπα. Ως προς τις τεχνικές προδιαγραφές του συστήματος, ο Όμιλος προσθέτει ότι «Κατά την διαδικασία εγγραφής ενός νέου χρήστη (φάση enrollment) το σύστημα συλλέγει τις συντεταγμένες της γεωμετρίας του προσώπου. ΔΕΝ φωτογραφίζει και ΔΕΝ αποθηκεύει φωτογραφίες του προσώπου. Στην συνέχεια αυτές οι συντεταγμένες επεξεργάζονται από ένα πολύ εξελιγμένο αλγόριθμο ο οποίος και δημιουργεί έναν κωδικό για κάθε χρήστη. Με αυτόν τον κωδικό συνδέεται ο χρήστης και συνεπώς όλη η πληροφορία που καταγράφεται στη βάση δεδομένων του συστήματος είναι ίδια με αυτή που θα καταγραφόταν και από ένα σύστημα αναγνώρισης RFID καρτών, δεδομένου ότι ΟΥΤΕ ο ίδιος ο αλγόριθμος μπορεί να δημιουργήσει πληροφορία που να αναπαριστά κάποιο πρόσωπο. Δηλαδή σε ουδεμία χρονική στιγμή το σύστημα φωτογραφίζει ή/και βιντεοσκοπεί πρόσωπα, είτε κάποιος βρεθεί μπροστά από την συσκευή ταυτοποίησης είτε βρεθεί πλησίον αυτής. Η τήρηση των παραπάνω δεδομένων ισχύει για όσο καιρό είναι ενεργό το μέλος του Ομίλου. Τα εν λόγω δεδομένα φυλάσσονται σε server στα γραφεία της γραμματείας του Ομίλου, σε ασφαλισμένο χώρο, εντός του ιδιωτικού, περιφραγμένου και φυλασσόμενου χώρου του Ομίλου. Υπάρχουν επίσης ενεργά τα παρακάτω συστήματα ασφαλείας: IDS/IPS & Firewall. H ανίχνευση εξωτερικών διαδικτυακών απειλών και επιθέσεων, καλύπτεται από το … με ενεργοποιημένα τα κάτωθι services μέχρι τις 11/2/2023: a)… b)… c)… d)… e)…, … . Αποδέκτης και υπεύθυνος επεξεργασίας είναι η νόμιμη εκπρόσωπος του Ομίλου και πρόεδρος αυτού κ. Β». Ως προς την απόφαση για την εγκατάσταση του επίμαχου συστήματος, ο Όμιλος αναφέρει ότι ελήφθη ομόφωνα από το Δ.Σ. κατά τη συνεδρίαση της 9ης Ιουνίου 2021 και προσκομίζει στην Αρχή τα σχετικά πρακτικά, από τα οποία προκύπτει ότι το εν θέματι έργο ανατέθηκε στην εταιρεία “...”, ενώ η έναρξη λειτουργίας αυτού, χρονολογείται περί τα μέσα Μαΐου 2022.
Τέλος, ο Ν.Ο.... διευκρινίζει ότι για το εν λόγω σύστημα δεν έχει διενεργηθεί μελέτη εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας και τούτο διότι, όπως ενημερώθηκε από την συνεργάτιδα εταιρεία, η εν λόγω επεξεργασία δεν είναι υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες των μελών του, δεδομένου ότι δεν πρόκειται για συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών σχετικά με φυσικά πρόσωπα ή για μεγάλης κλίμακας επεξεργασία ή για συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
Εξάλλου, και ενώ είχε κινηθεί η διαδικασία αυτεπάγγελτου ελέγχου της υπόθεσης κατά τα ανωτέρω αναφερόμενα, υποβλήθηκε στην Αρχή η υπ’ αριθμ. πρωτ. .../18-06-2022 καταγγελία του Α, του οποίου η … είναι μέλος του Ν.Ο...., και ο ίδιος είναι συνοδός αυτής, κατά του Ν.Ο...., στην οποία ο καταγγέλλων αναφέρει ότι στις 06-04-2022 τα μέλη του Ομίλου ενημερώθηκαν με ηλεκτρονικό μήνυμα ότι η πρόσβαση στον Όμιλο θα είναι δυνατή πλέον μόνο με τη χρήση του νέου μηχανισμού πρόσβασης με χρήση βιομετρικών χαρακτηριστικών προσώπου και το έως τώρα εν λειτουργία σύστημα καρτών εισόδου (RFID) δεν θα λειτουργεί πλέον. Ο καταγγέλλων σημειώνει ότι μέχρι την εισαγωγή του νέου συστήματος, «η είσοδος στον Όμιλο ήταν δυνατή είτε μέσω των καρτών εισόδου για τα μέλη και τους συνοδούς τους (1 άτομο συνοδός για κάθε μέλος, […]), είτε με ταυτοποίηση στην είσοδο των στοιχείων ταυτότητας των επισκεπτών και η είσοδός τους με διαδικασία που προϋποθέτει την αυτοπρόσωπη ταυτόχρονη παρουσία του μέλους, το οποίο θα είχε αναφέρει στην πύλη εισόδου και το όνομα του επισκέπτη που ανέμενε. Ήτοι, υπήρχε ταυτοποίηση της ταυτοπροσωπίας του επισκέπτη που είχε δηλωθεί με το πρόσωπο που εμφανίστηκε με την επίδειξη εκ μέρους του της Αστυνομικής Ταυτότητας. Κατόπιν της ταυτοποιήσεως, ο επισκέπτης χορηγείτο με μια RFID κάρτα, η οποία και λειτουργούσε στους αντίστοιχους καρταναγνώστες στα τουρνικέ εισόδου/εξόδου και επιστρεφόταν από τον επισκέπτη στο φυλάκιο εισόδου κατά την έξοδο. Σημειώνεται ότι οι προσωποποιημένες ταυτότητες μέλους και συνοδού φέρουν επάνω τους τυπωμένα τόσο τα στοιχεία του (ονοματεπώνυμο), όσο και τον αριθμό του μέλους, της Α/Α της κάρτας αλλά εμπεριέχεται ΚΑΙ φωτογραφία του κατόχου, ούτως ώστε να είναι δυνατή η γρήγορη ταυτοπροσωπία από το προσωπικό ασφαλείας του ΝΟ.... Επιπρόσθετα δε, κατά την ανάγνωση της κάρτας από τον καρταναγνώστη εισόδου, εμφανίζεται αυτόματα σε παρακείμενη οθόνη στο γραφείο ασφαλείας τόσο η φωτογραφία του κατόχου που υπάρχει στο αρχείο του Ομίλου τόσο και τα λοιπά στοιχεία της κάρτας. Οπότε, διασφαλίζεται η εγκυρότητα και αποτρέπεται η πλαστότητα της κάρτας, ενώ επιτρέπεται η γρήγορη (είτε με την επίδειξη από τον κάτοχο, είτε ηλεκτρονικά) επιβεβαίωση ταυτοπροσωπίας του κατόχου της κατά τη χρήση για είσοδο/έξοδο στον ΝΟ....» Σε συνέχεια του από 06-04-2022 ηλεκτρονικού μηνύματος του Ν.Ο....., ο καταγγέλλων και η … του έστειλαν στις 16-04-2022 ηλεκτρονικά προς τον Όμιλο δήλωση εναντίωσης στην επεξεργασία των προσωπικών τους δεδομένων, όσον αφορά στη χρήση/επεξεργασία οιονδήποτε βιομετρικών δεδομένων. Στις 28-04-2022, ο Ν.Ο.... απάντησε ηλεκτρονικά μόνο στη … του καταγγέλλοντος αναφορικά με τη δήλωση εναντίωσης, αναφέροντας ως λόγο κατάργησης της χρήσης της ανέπαφης κάρτας εισόδου ότι «εγκυμονούσε κινδύνους για τη δημόσια υγεία» λόγω συνωστισμού κατά τον έλεγχο των εισερχομένων με κάρτα εισόδου και ότι «για λόγους πληρότητας του παρόντος, οφείλουμε να σας ενημερώσουμε, ότι τυχόν άρνηση συμμόρφωσής σας, δύναται να αποτελέσει λόγο για τη μη διατήρηση της ιδιότητάς σας ως μέλος του Ομίλου». Ο καταγγέλλων αναφέρει ότι ο Όμιλος δεν απάντησε ποτέ στον ίδιο ως υποκείμενο, ενώ σχετικά με το επιχείρημα για την αποφυγή συνωστισμού αναφέρει ότι ο όποιος «συνωστισμός» προκύπτει μόνο από την ταυτόχρονη άφιξη, για παράδειγμα δύο πολυμελών οικογενειών, και δεν διαρκεί πάνω από λίγα δευτερόλεπτα για την πρόσβαση του καθενός μέσω των τουρνικέ, και, επειδή το υποκείμενο πρέπει να λάβει θέση ακίνητο απέναντι στον αναγνώστη των βιομετρικών χαρακτηριστικών, ο χρόνος είναι ταυτόσημος ίσως και λίγο επιπρόσθετος σε σχέση με τη χρήση RFID κάρτας, και υποστηρίζει περαιτέρω ότι από την απάντηση του Ν.Ο..... προκύπτει ότι δεν παρέχεται πλέον εναλλακτικός τρόπος πρόσβασης (είσοδος/έξοδος) στις εγκαταστάσεις του Ομίλου, πλην της χρήσης βιομετρικών χαρακτηριστικών και η οιαδήποτε εναντίωση στην εν λόγω επεξεργασία δύναται να αποτελέσει λόγο διαγραφής του μέλους. Επίσης, ο καταγγέλλων αναφέρει ότι στον νέο Κανονισμό Λειτουργίας του Ν.Ο.... που τέθηκε σε ισχύ στις 04-05-2022, δεν γίνεται αναφορά για την παράλληλη χρήση καρτών εισόδου ούτε έχει υπάρξει οιαδήποτε ενημέρωση αναφορικά με τα δικαιώματα των υποκειμένων και την άσκηση αυτών, ενώ προτάσσονται αποκλειστικά και μόνο τα βιομετρικά χαρακτηριστικά σαν τρόπος εισόδου/εξόδου και από αρχές έως πριν τα μέσα Μαΐου 2022 απεστάλη επιστολή του Ν.Ο.... προς τους γονείς των παιδιών που απασχολούνται με διάφορες δραστηριότητες του Ομίλου να επισκεφθούν άμεσα την Γραμματεία του Ομίλου για την ανανέωση των καρτών εισόδου, καθώς «από Δευτέρα 16 Μαΐου δεν θα λειτουργούν, ανεξαρτήτως οικονομικής ενημερότητας, λόγω αλλαγής του συστήματος πρόσβασης», ήτοι από 16-5-2022 και εντεύθεν ο μόνος τρόπος εισόδου/εξόδου στον Όμιλο από μέλη/συνοδούς/μέλη οικογενειών (τέκνα), που έως τότε είχαν προσωποποιημένες κάρτες εισόδου με φωτογραφία, είναι μέσω της χρήσης βιομετρικών χαρακτηριστικών προσώπου. Επίσης, ο καταγγέλλων αναφέρει ότι στις 09-06-2022 μέσω του ηλεκτρονικού newsletter του Ομίλου, τα μέλη ενημερώθηκαν ότι για αυτά πλέον απαιτείται η χρήση του νέου συστήματος για την είσοδο, ενώ οι επισκέπτες των μελών του Ομίλου, μπορούν άνευ οιασδήποτε ταυτοποίησης, όπως με την επίδειξη και την καταγραφή ΑΔΤ στην είσοδο και την απαιτούμενη επιπλέον αυτοπρόσωπη παρουσία του μέλους, να εισέλθουν οποτεδήποτε επιθυμούν στις εγκαταστάσεις του, χωρίς την απαραίτητη ταυτόχρονη παρουσία του μέλους, με την απλή χρήση ενός συνδυασμού αριθμών (6+7 ψηφίων), ο οποίος είναι αρκετά εύκολο να διαρρεύσει καθ’ οιαδήποτε μορφή, όπως προφορικά, ή/και να μην μπορεί να ελεγχθεί η ορθή και βάσει των επιθυμιών του υποκειμένου/μέλους χρήση του, θέτοντας σε άμεσο κίνδυνο ασφαλείας τους λοιπούς ταυτοποιημένους με βιομετρικά χαρακτηριστικά παρόντες. Τέλος, ο καταγγέλλων αναφέρει ότι, καθώς αρκετά μέλη αντιτίθενται στη χρήση/επεξεργασία των βιομετρικών τους χαρακτηριστικών, προσωρινά το Δ.Σ. του Ν.Ο..... δέχθηκε και έδωσε κατευθύνσεις στο προσωπικό ασφαλείας να επιτρέπει την είσοδο στα μέλη που δεν επιθυμούν την επεξεργασία των βιομετρικών τους δεδομένων να εισέρχονται παραπλεύρως, με τη διαμεσολάβηση του προσωπικού ασφαλείας (άνοιγμα πόρτας). Η δε είσοδος θα επιτρέπεται με την επίδειξη της υφιστάμενης κάρτας εισόδου, που εύκολα και άμεσα μπορεί να ταυτοποιηθεί για την εγκυρότητά της από τα ηλεκτρονικά αρχεία που διατηρεί ο Ν.Ο...., τερματικό (Η/Υ) των οποίων υπάρχει on-line συνδεδεμένο στο φυλάκιο εισόδου. Συγκεκριμένα, όπως υποστηρίζει ο καταγγέλλων, κατά την επίσκεψη του στον Ν.Ο..... στις 13-06-2022, του ζητήθηκε από το προσωπικό ασφαλείας πλην της ταυτότητας μέλους και η αστυνομική του ταυτότητα για έλεγχο της ταυτοπροσωπίας, καίτοι υπάρχει τυπωμένη φωτογραφία του μέλους επί της ταυτότητας εισόδου. Άλλο επίσης παράδειγμα προσκόμματος που προβάλλονται σε όσους δεν επιθυμούν τη χρήση βιομετρικών, όπως αναφέρει ο καταγγέλλων, είναι ότι μετά τις 8 μ.μ. δεν υπάρχει προσωπικό που να βρίσκεται στο φυλάκιο εισόδου/εξόδου, οπότε, εάν κάποιο μέλος θέλει να εισέλθει στις 6 μ.μ. και θέλει να εξέλθει μετά τις 8 μ.μ., η μόνη εναλλακτική που υπάρχει είναι να καλέσει έναν τηλεφωνικό αριθμό ανάγκης και να προσέλθει κάποιος από το προσωπικό που βρίσκεται «on call» για να ανοίξει την πόρτα παραπλεύρως -τουλάχιστον 45 λεπτά με 1 ώρα αναμονή να προσέλθει- ενώ ο επισκέπτης εισέρχεται ή αποχωρεί με την απλή χρήση ενός συνδυασμού αριθμών. Το ίδιο ισχύει και για την είσοδο στους χώρους του Ν.Ο.... μετά τις 8 μ.μ., αφού δεν υπάρχει παρουσία φύλακα και πρέπει να ακολουθηθεί η προηγούμενη διαδικασία, ήτοι ο τηλεφωνικός αριθμός ανάγκης. Με το υπ’ αριθμ. πρωτ. .../03-10-2022 συμπληρωματικό έγγραφο, ο καταγγέλλων υποβάλλει στην Αρχή το από 06-04-2022 αρχικό ηλεκτρονικό μήνυμα με το ηλεκτρονικό newsletter του Ν.Ο...., στο οποίο ο Όμιλος ενημερώνει τα μέλη του, μεταξύ άλλων, για την επικείμενη αλλαγή στο σύστημα ελέγχου εισερχομένων. Συγκεκριμένα, στο ηλεκτρονικό αυτό μήνυμα αναφέρεται ότι: «Πλέον το σύστημα ελεγχόμενης εισόδου-εξόδου στον Ν.Ο.... έχει εκσυγχρονιστεί με νέες τεχνολογίες για την ασφάλεια και την καλύτερη εμπειρία των μελών. Το μόνο που χρειάζεται είναι 3 λεπτά από το χρόνο σας για τη λήψη των βιομετρικών χαρακτηριστικών σας: περάστε από την Γραμματεία του Ν.Ο..... για να πραγματοποιήσετε την εγγραφή σας και μετά… ξενοιάστε από την κάρτα!». Επίσης, ο καταγγέλλων με το ίδιο έγγραφο ενημερώνει την Αρχή ότι σε ανακοίνωση που είχε αναρτήσει ο Όμιλος στην ιστοσελίδα του στις 09-03-2022 σχετικά με το νέο σύστημα ελεγχόμενης πρόσβασης, μεταξύ άλλων, αναφέρεται ότι: «Ο Ναυτικός Όμιλος ... αναβαθμίζει τα συστήματά του με στόχο την καλύτερη δυνατή εμπειρία των Μελών, αθλητών και εργαζομένων του. Το σύστημα ελεγχόμενης πρόσβασης στις εγκαταστάσεις του Ν.Ο..... εκσυγχρονίζεται και πλέον η είσοδος των Μελών και των οικογενειών τους πραγματοποιείται με τη χρήση των βιομετρικών χαρακτηριστικών τους. […] Αρκεί μια επίσκεψή σας στη Γραμματεία του Ν.Ο....., όπου το μόνο που θα χρειαστεί να κάνετε, είναι να κοιτάξετε σταθερά για 3 δευτερόλεπτα την ειδική οθόνη εγγραφής στο νέο σύστημα. […]Στο μεταβατικό αυτό στάδιο που διανύουμε μέχρι να γίνει η ολοκλήρωση της μετάβασης, θα συνεχίσει η λειτουργία της κάρτας από το προηγούμενο σύστημα. Εντός του καλοκαιριού όμως αυτό θα καταργηθεί, οπότε είναι απαραίτητο όλα τα Μέλη μας να έχουν κάνει την εγγραφή τους στο νέο σύστημα, ώστε να μπορούν να εισέρχονται στον Ν.Ο.... […]Η μέτρηση και κωδικοποίηση των βιομετρικών χαρακτηριστικών της γεωμετρίας προσώπου που γίνεται από το σύστημα δε δημιουργεί αρχείο προσωπικών δεδομένων που θα μπορούσαν στη συνέχεια να αναπαραχθούν με κάποιο τρόπο. Στο πλαίσιο αυτό, τα προσωπικά σας δεδομένα είναι ασφαλή.»
Στη συνέχεια, υποβλήθηκε στην Αρχή η υπ’ αριθμ. πρωτ. .../08-07-2022 καταγγελία, όπως αυτή συμπληρώθηκε με το υπ’ αριθμ. πρωτ. .../08-07-2022 έγγραφο, του Γ, μέλους του Ν.Ο...., κατά του Ν.Ο....., με την οποία καταγγέλλει και αυτός ότι έγινε εισαγωγή του νέου συστήματος, χωρίς να γνωστοποιεί ο Ν.Ο..... στα μέλη ότι έχουν δυνατότητα επιλογής μεταξύ του ισχύοντος συστήματος ηλεκτρονικών καρτών και αυτού των βιομετρικών χαρακτηριστικών, χωρίς ενημέρωση για τα χαρακτηριστικά του νέου συστήματος, χωρίς να τους γνωστοποιεί ότι υπάρχει η δυνατότητα αντίρρησης και ανάκλησης και χωρίς να υπογράφεται το σχετικό έγγραφο συναίνεσης, καθώς και ότι η εγκατάσταση του νέου συστήματος έγινε αιφνίδια και κατέλαβε τα μέλη εξ απήνης, ενώ σύμφωνα με τη ρητή και απόλυτη δήλωση των, κατ’ εντολήν της Προέδρου του Ν.Ο..... και συγκεκριμένων μελών που την ακολουθούν, υπαλλήλων ελέγχου της εισόδου, εξανάγκαζαν παραπλανητικά τα εισερχόμενα μέλη στην υποχρεωτική απόδοση των βιομετρικών τους δεδομένων, «προκειμένου να έχουν στο εξής την δυνατότητα εισόδου στον Ν.Ο.....», όπως δήλωναν συνεχώς. Δεν έχει αναρτηθεί καμία ενημερωτική πινακίδα, ούτε έχει σταλεί e-mail ενημερωτικό στα μέλη για την αναγκαιότητα εισαγωγής του νέου συστήματος, ή για την εναλλακτική χρήση του παλιού συστήματος ή για τη δυνατότητα ανάκλησης της συγκατάθεσης επεξεργασίας των βιομετρικών δεδομένων. Ο καταγγέλλων αναφέρει ότι στον νέο Κανονισμό Λειτουργίας του Ν.Ο..... που εγκρίθηκε τον Μάιο 2022 δεν γίνεται αναφορά στην εναλλακτική δυνατότητα χρήσης του παλιού συστήματος ελέγχου εισερχόμενων αλλά μετά από τα έγγραφα που απέστειλε η Αρχή στον Ν.Ο..... τον Ιούνιο 2022, ο Όμιλος προέβη σε συμπλήρωση της διάταξης 2.1 του εν λόγω Κανονισμού, ως ακολούθως: «Σας υπενθυμίζουμε πως σε περίπτωση ανάκλησης της ρητής συγκατάθεσης του Μέλους για χρήση των βιομετρικών του δεδομένων, μπορεί να εισέρχεται στον Όμιλο με το σύστημα ταυτοποίησης με την προσωπική κάρτα μέλους.» Τέλος, ο καταγγέλλων αναφέρει ότι τα μέλη που διαφωνούν με την επεξεργασία των δεδομένων τους από το νέο σύστημα, δεν μπορούν να έχουν άμεση πρόσβαση στις εγκαταστάσεις του Ν.Ο....., ό,τι ώρα επιθυμούν, αφού δεν μπορούν να εισέλθουν κάνοντας χρήση των παλαιών καρτών, αλλά είναι υποχρεωμένοι να καλούν τηλεφωνικώς στον επιστάτη, για να φτάσει στην είσοδο, και να ελέγξει την ταυτότητά τους και την κάρτα τους σε συσχέτιση με μία χειρόγραφη κατάσταση με τα μέλη που έχουν αρνηθεί να χορηγήσουν τα βιομετρικά δεδομένα τους, θεωρεί δε ότι αυτό αποτελεί μία ιδιαίτερα άνιση μεταχείριση, έναν μεθοδευμένο εξαναγκασμό σε παράβαση των κανονισμών που αφορούν την προστασία των προσωπικών δεομένων χωρίς καμία αναγκαιότητα, ενώ υπάρχει ένα τέλεια λειτουργικό σύστημα των ηλεκτρονικών καρτών που δίνει την δυνατότητα του ελέγχου όσων βρίσκονται εντός του Ν.Ο..... απλά με την επίδειξη της κάρτας.
Ενόψει των ανωτέρω, η Αρχή κάλεσε με τα υπ’ αριθμ. πρωτ. .../07-12-2022, .../07-12-2022 και .../07-12-2022 έγγραφα i. τον Ν.Ο...., όπως νομίμως εκπροσωπείται, ii. τον καταγγέλλοντα Γ, και iii. τον καταγγέλλοντα Α, αντιστοίχως, να παραστούν στη συνεδρίαση της Ολομέλειας της Αρχής στις 13-12-2022, προκειμένου να λάβει χώρα ακρόαση επί του ενδεχομένου παραβίασης της κείμενης νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Με το ως άνω έγγραφο διαβιβάστηκαν στον Ν.Ο..... και οι δύο σχετικές της εν λόγω υπόθεσης καταγγελίες. Στη συνεδρίαση αυτή, συζητήθηκε το αίτημα αναβολής που υπέβαλε ο Ν.Ο....., το οποίο έγινε αποδεκτό από την Ολομέλεια της Αρχής και ορίστηκε ως νέα ημερομηνία συζήτησης η 07-02-2023. Στην εν λόγω συνεδρίαση παρέστησαν οι καταγγέλλοντες Γ με τον πληρεξούσιο δικηγόρο του Δημήτρη Καμπουραμαλή (ΑΜΔΣΑ …) και την Δ, η οποία παρέστη για την παροχή πληροφοριών, και Α και εκ μέρους του Ν.Ο.... οι Β, Πρόεδρος του Δ.Σ. του Ομίλου, Ε και ΣΤ, μέλη του Δ.Σ. του Ομίλου μετά των πληρεξουσίων δικηγόρων Δημητρίου Βερβεσού (ΑΜΔΣΑ …) και Χριστίνας Παναγουλέα (ΑΜΔΣΑ …), Ζ, Διευθύνων Σύμβουλος της εταιρείας ... Α.Ε. και Η, Γενικός Διευθυντής της εταιρείας .... Τα μέρη αφού εξέφρασαν τις απόψεις τους, έλαβαν από τον Πρόεδρο της Ολομέλειας προθεσμία για να υποβάλουν υπομνήματα.
Με το υπ’ αριθ. πρωτ. .../09-03-2023 υπόμνημα ο πρώτος καταγγέλλων, συμπληρωματικά σε όσα ανέφερε κατά τη συζήτηση και στα έγγραφα που είχε υποβάλει στην Αρχή, επεσήμανε ότι από την ακροαματική διαδικασία και από τις παραδοχές της δικηγόρου του Ν.Ο..... διαπίστωσε τις ακόλουθες σημαντικές παραβιάσεις από την πλευρά του Ομίλου: i. Παραβίαση των αρχών της αναλογικότητας και της αναγκαιότητας του σκοπού επεξεργασίας, δεδομένου ότι υπάρχουν άλλες ηπιότερες μορφές ελεγχόμενης εισόδου. Ο εναλλακτικός τρόπος εισόδου για μέλος που έχει εναντιωθεί στον υπό κρίση τρόπο ελέγχου, είναι η επίδειξη των ταυτοποιητικών εγγράφων που φέρει το μέλος στον φύλακα που βρίσκεται στην πύλη μεταξύ 8:00 π.μ. και 8:00 μ.μ., και για τις λοιπές ώρες ή όταν τους χειμερινούς μήνες απουσιάζει περισσότερες ώρες -ο φύλακας- θα πρέπει το μέλος να καλεί από το κινητό του τηλέφωνο τον φύλακα βάρδιας, διαδικασία χρονοβόρα σε σχέση με τη χρήση της μαγνητικής κάρτας. Απαντώντας στον ισχυρισμό της δικηγόρου του Ν.Ο.... για το γεγονός ότι το σύστημα τοποθετήθηκε προκειμένου να ελαχιστοποιηθούν τα συλλεγόμενα προσωπικά δεδομένα, αφού έπρεπε το μέλος να επιδεικνύει την ταυτότητά του, ο καταγγέλλων αναφέρει ότι ουδέποτε ζητήθηκε η ταυτότητα, αφού με το χτύπημα της κάρτας εμφανιζόταν η φωτογραφία του μέλους, παρά μόνο εάν η κάρτα είχε ακυρωθεί ή ήταν πλαστή και επισημαίνει ότι η απλή επίδειξη ταυτοποιητικού εγγράφου δεν συνιστά συλλογή δεδομένων προσωπικού χαρακτήρα. ii. Παράβαση των άρθρων 6 παρ. 1 ΓΚΠΔ και 5 παρ. 1α και γ για τη θεμελίωση της νομικής βάσης του εννόμου συμφέροντος για την εν λόγω επεξεργασία των βιομετρικών δεδομένων. iii. Αναφορικά με τη λογοδοσία, ο Ν.Ο....., ως υπεύθυνος επεξεργασίας, παραβιάζει το άρθρο 37 ΓΚΠΔ, καθώς δεν έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (εφεξής «ΥΠΔ») στην Αρχή, τα άρθρα 37 παρ.1, 38 παρ. 3 και 39 παρ. 1 ΓΚΠΔ και την Οδηγία 243/2016 της Ομάδας του Άρθρου 19, καθώς χρέη ατύπου ΥΠΔ ασκεί η Πρόεδρός του και έτσι καταστρατηγείται η λειτουργική ανεξαρτησία του ΥΠΔ, το άρθρο 57 παρ.1γ’ ΓΚΠΔ και την Οδηγία 2016/680, καθώς δεν ζήτησε προηγουμένως τη γνώμη της Αρχής για να εισάγει περιορισμό στην προστασία των προσωπικών δεδομένων, και τέλος τα άρθρα 35 ΓΚΠΔ, 27 της Οδηγίας 2016/680 και 65 Ν.4624/2019, καθώς δεν έχει εκπονηθεί μελέτη εκτίμησης αντικτύπου για τις επιπτώσεις της επίμαχης επεξεργασίας. iv. Ο Ν.Ο..... δεν διαθέτει την απαιτούμενη τεκμηρίωση σε σχέση με την επίμαχη επεξεργασία αναφορικά με την ενημέρωση των μελών του και τη λήψη σχετικής συγκατάθεσης, καθώς οι παρεχόμενες πληροφορίες στον τελευταίο Εσωτερικό Κανονισμό είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, ενώ δεν έχει καταρτίσει πολιτική απορρήτου και δεν την έχει αναρτήσει στην ιστοσελίδα του. Η μέθοδος λήψης της συναίνεσης από τα μέλη του είναι ιδιαιτέρως προβληματική δεδομένης της δεσπόζουσας θέση του Ομίλου έναντι των μελών, τα οποία πιστεύουν ότι θα αποκλειστεί η είσοδός τους στις εγκαταστάσεις του Ομίλου σε περίπτωση που εναντιωθούν στην επεξεργασία αυτή. Τέλος, ο καταγγέλλων αναφέρει ότι δηλώθηκε από την Πρόεδρο και τον Γεν. Γραμματέα, υπεύθυνα και ενυπογράφως, ότι ισχύει εναλλακτικό εν λειτουργία, το σύστημα των καρτών, γεγονός απολύτως αναληθές, διότι το σύστημα αυτό ουδέποτε συνυπήρξε με τα βιομετρικά δεδομένα, και, κατά τη συζήτηση ενώπιον της Ολομέλειας της Αρχής, η δικηγόρος του Ν.Ο.... ομολόγησε ξεκάθαρα ότι δεν λειτούργησε εναλλακτικά η κάρτα, ούτε έγινε η δέουσα ενημέρωση πριν την επιβολή του νέου μέτρου. v. Η προμηθεύτρια εταιρεία δεν διευκρίνισε α. ποιο είναι το «facial recognition» των συστημάτων (τα στοιχεία βιομετρίας που συλλέγονται αποκαλύπτουν φυλετική καταγωγή ή θέματα υγείας και αυτό έρχεται σε σύγκρουση και με τα θεμελιώδη ανθρώπινα δικαιώματα), β. ποιες εγγυήσεις ζήτησε ο Ν.Ο.... και έλαβε από την προμηθεύτρια εταιρεία αναφορικά με την προστασία της ιδιωτικότητας από τον σχεδιασμό και κατά την λειτουργία των συσκευών αυτών, γ. αν υπεγράφη κάποια σύμβαση εκτελούντος την επεξεργασία στα πλαίσια της προμήθειας των συστημάτων αυτών, και δ. αν η προμηθεύτρια εταιρεία έχει πιστοποιηθεί με κάποιο πρότυπο «privacy seal» ή «privacy audit assessment».
Με το υπ’ αριθ. πρωτ. .../13-03-2023 υπόμνημα ο Ν.Ο.... συμπληρωματικά σε όσα ανέφερε κατά τη συζήτηση ενώπιον της Ολομέλειας και στα έγγραφα που έχει υποβάλει στην Αρχή, επεσήμανε, με το αίτημα να αναγνωριστεί ως επιτρεπτή και σύννομη η εγκατάσταση και λειτουργία του συστήματος ProFace για την είσοδο αποκλειστικά των μελών του Ν.Ο...., υπό τους όρους και προϋποθέσεις που τυχόν θα υπαγορευθούν από την Αρχή, ότι:
i. Υπάρχει αυξημένη ιδιωτικότητα του Ν.Ο..... ως προς τα υποκείμενα επί των οποίων εφαρμόζεται το επίμαχο σύστημα ελέγχου εισόδου, ήτοι επειδή ο Ν.Ο..... είναι αθλητικό σωματείο και δεν ασκεί εμπορικές και επαγγελματικές δραστηριότητες και το υπό εξέταση σύστημα επεξεργάζεται δεδομένα ενός στενού κύκλου προσώπων, τα οποία επέλεξαν ο έλεγχος να πραγματοποιείται με το σύστημα αναγνώρισης προσώπου, καθώς υφίσταται μεταξύ τους σχέση εμπιστοσύνης και οικειότητας και η επεξεργασία που λαμβάνει χώρα είναι περιορισμένη, στιγμιαία, χωρικά καθορισμένη και ουδείς τρίτος αποκτά πρόσβαση σε αυτά και γι’ αυτό η εν λόγω επεξεργασία ακόμα κι αν δεν εντάσσεται στην εξαίρεση του άρθρου 2 παρ. 2γ του ΓΚΠΔ (οικιακή ή προσωπική δραστηριότητα), αποκλειστικά και μόνο λόγω του μεγάλου αριθμού των μελών του Ν.Ο....., θα πρέπει να τύχει νομικής αξιολόγησης λαμβανομένου υπόψη του γεγονότος ότι η εν λόγω επεξεργασία πληροί όλα τα κριτήρια εξαίρεσης εφαρμογής του ΓΚΠΔ,
ii. Παρά το γεγονός ότι ο Ν.Ο..... παρουσίαζε αρνητικό οικονομικό αποτέλεσμα για μία δεκαετία, τα έσοδά του το 2022 ανέρχονται στα 3,5 εκ. ευρώ και το σύνολο των εσόδων διοχετεύεται στην κάλυψη λειτουργικών αναγκών του Ομίλου,
iii. Επειδή, μεταξύ άλλων, υπήρχαν στο παρελθόν πολλές περιπτώσεις δανεισμού καρτών και πρακτική αδυναμία ελέγχου ταυτοποίησης κατά τους καλοκαιρινούς μήνες, με αποτέλεσμα να έχουν παρατηρηθεί άκρως ανησυχητικά περιστατικά, όπως φθορά εξοπλισμού, ανεξέλεγκτη παραμονή στον Όμιλο αγνώστων ατόμων, καθώς στο παρελθόν ο φύλακας κατέγραφε το όνομα κάποιου καλεσμένου που υποδείκνυε κάποιο μέλος ή έδειχνε την ταυτότητά του χωρίς περαιτέρω έλεγχο, ενώ τώρα το κάθε μέλος μπορεί να χρησιμοποιήσει έναν κωδικό για τους καλεσμένους που δικαιούται να προσκαλέσει και άρα φέρει την ευθύνη γι’ αυτούς, επιλέχθηκε το υπό κρίση σύστημα ως πιο διασφαλιστικό της προστασίας των δεδομένων και των καλεσμένων. Το παλιό σύστημα ήταν η χρήση μία μαγνητικής κάρτας RFID και το μέλος εισερχόταν από περισσότερες της μίας εισόδους στον Όμιλο, με την επίδειξη εγγράφου ταυτοποίησης που πολλές φορές δεν εφαρμοζόταν και όταν εφαρμοζόταν ήταν αλυσιτελές γιατί η φωτογραφία δεν ανταποκρινόταν στην πραγματικότητα λόγω της παλαιότητας της. Γι’ αυτούς τους λόγους, επιλέχθηκε ομόφωνα, χωρίς κάποια αντίδραση από τα μέλη, στην Ετήσια Γ.Σ. των μελών του Ομίλου τον Μάρτιο του 2022 η εγκατάσταση στην είσοδο του Ομίλου του συστήματος «access control» με τη χρήση βιομετρικών δεδομένων της γεωμετρίας του προσώπου με σκοπό την ασφάλεια των προσώπων και των εγκαταστάσεων. Τον Απρίλιο του 2022 απεστάλη newsletter σε όλα τα μέλη για να λάβουν γνώση για την εγκατάσταση του νέου συστήματος, τον Μάιο του 2022 απεστάλη ο νέος Κανονισμός Λειτουργίας του Ν.Ο..... για τα μέλη με αναφορά στον τρόπο χρήσης του νέους συστήματος και λήψης των βιομετρικών τους δεδομένων και τον Ιούνιο του 2022, μετά την καταγγελία του κ. Α, τροποποιήθηκε το σχετικό άρθρο στον Κανονισμό και προβλέφθηκε η δυνατότητα διαφωνίας/ανάκλησης της συγκατάθεσης των μελών για το νέο σύστημα,
iv. Ως προς τα τεχνικά χαρακτηριστικά του συστήματος ... της ..., επισημαίνεται ότι οι συντεταγμένες του κάθε προσώπου δημιουργούν μέσω ενός πολύ εξελιγμένου αλγόριθμου ένα μοναδικό κωδικό, και η συσκευή κάθε φορά που εισέρχεται ένα μέλος δεν αναγνωρίζει πρόσωπα ή βιομετρικά χαρακτηριστικά αλλά τον κωδικό και η μέτρηση και η κωδικοποίηση των βιομετρικών χαρακτηριστικών δεν δημιουργεί αρχείο προσωπικών δεδομένων στο σύστημα που θα μπορούσαν να αναπαραχθούν με κάποιο τρόπο. Επίσης, το λογισμικό συμπληρώνει το ανωτέρω σύστημα από πλευράς ασφαλείας και έχει εγκατασταθεί μαζί με το ... σε άλλον server από αυτόν που εξυπηρετεί την υπόλοιπη μηχανοργάνωση του Ομίλου, είναι το λογισμικό «... ERP», το οποίο χρησιμοποιείται για την εμπορικό-λογιστική μηχανοργάνωση των μελών και από το οποίο, το σύστημα ... αντλεί πληροφορίες, όπως για το εάν κάποιο μέλος είναι οικονομικά ενήμερο προκειμένου να του επιτραπεί η είσοδος, με τον ακόλουθο τρόπο: Δημιουργείται ένα μέλος στο ERP (τα στοιχεία του, τα στοιχεία τιμολόγησης, σε ποια ομάδα ανήκει -αν είναι μέλος ή συνοδός ή άλλο), με φωτογραφία του προσώπου, από το οποίο προκύπτει η οικονομική καρτέλα του κάθε μέλους, και εάν είναι οικονομικά ενήμερο, το ERP ενημερώνει το ... ότι του επιτρέπεται η είσοδος. Στο ERP υπάρχουν επίσης οι κάρτες των επισκεπτών με συγκεκριμένο αριθμό διελεύσεων ενώ κάθε οικονομικά ενήμερο μέλος έχει δικαίωμα για 2 κάρτες. Το κάθε φυσικό πρόσωπο ανοίγεται στο ERP και παίρνει έναν 6ψήφιο κωδικό, ο δε χρήστης ενημερώνει ένα πεδίο flag εάν θέλει να ανοιχθεί αυτός ο 6ψήφιος και στο σύστημα ... και ανοίγεται το μέλος ως εγγραφή στο ... με τον ίδιο 6ψήφιο κωδικό. Το ERP ενημερώνεται μόνο με τον αριθμό διελεύσεων που πραγματοποιούν οι επισκέπτες των μελών με τη χρήση των καρτών. Τα δικαιώματα πρόσβασης του κάθε προσώπου τα διαχειρίζεται ο Ν.Ο..... Επομένως, το ERP, όπως υποστηρίζει ο Ν.Ο....., δεν έχει την παραμικρή σχέση με το ..., ούτε ο κρυπτογραφημένος κωδικός που χρησιμοποιείται για την αναγνώριση καταγράφεται/αποθηκεύεται/αρχειοθετείται κάπου στο ERP.
v. Υπεύθυνος επεξεργασίας του βιομετρικού συστήματος ταυτοποίησης είναι ο Ν.Ο.... και δεν υπάρχει εκτελών την επεξεργασία, καθώς, όπως αναφέρει ο Ν.Ο...., η εταιρεία .... που εγκατέστησε το σύστημα παρέχει υπηρεσίες υποστήριξης ad hoc, όταν εμφανιστεί τεχνικό ζήτημα και αποκτά πρόσβαση μόνο στα κρυπτογραφημένα δεδομένα της ... . ΥΠΔ του Ν.Ο..... έχει οριστεί η Πρόεδρος του ΔΣ του Ομίλου, ενώ ο Όμιλος σκοπεύει να συμβληθεί με πιστοποιημένο ΥΠΔ. Τα υποκείμενα των οποίων τα δεδομένα τυγχάνουν επεξεργασίας με το νέο σύστημα ελέγχου πρόσβασης είναι τα μέλη και οι συνοδοί τους που ανέρχονται στους 3.500, ενώ οι εργαζόμενοι, οι επισκέπτες/φίλαθλοι, οι αθλητές και οι θαμώνες του εστιατορίου εξακολουθούν να κάνουν χρήση άλλων συστημάτων και να εισέρχονται από άλλες εισόδους. Αποδέκτες των όποιων δεδομένων και όσον αφορά τα βιομετρικά αποκλειστικά του μοναδικού κωδικού είναι οι μισθωτοί υπάλληλοι της γραμματείας, οι οποίοι έχουν πρόσβαση μόνο στα κρυπτογραφημένα δεδομένα και στα παραγόμενα από αναφορές της εφαρμογής ... . Υπό την παραδοχή ότι δεν λαμβάνει χώρα επεξεργασία βιομετρικών δεδομένων από το σύστημα ελέγχου εισόδου ..., νόμιμη βάση της επεξεργασίας είναι το άρθρο 6 περ. παρ. 1 α’ του ΓΚΠΔ, διότι τα μέλη κατά την εγγραφή τους υπέγραψαν έντυπο συγκατάθεσης, στο οποίο αναφέρονται ρητά τόσο τα δικαιώματά τους, όσο και η δυνατότητα ανάκλησής της. Συμπληρωματικά, ο Ν.Ο..... έχει έννομο συμφέρον στην προστασία προσώπων και αγαθών που βρίσκονται υπό την ευθύνη του, το οποίο ερείδεται στην περίπτωση στ’ της παρ. 1 του άρθρου 6 ΓΚΠΔ, ενώ υπό την παραδοχή ότι υφίσταται επεξεργασία δεδομένων ειδικής κατηγορίας τυγχάνει εφαρμογής το άρθρο 9 παρ. 2 περ. α ΓΚΠΔ.
vi. Η επεξεργασία των δεδομένων διέπεται από τις αρχές της νομιμότητας γιατί έχει νόμιμη βάση, αντικειμενικότητας και διαφάνειας γιατί υπάρχει πλήρης ενημέρωση για το σύστημα, της αναλογικότητας γιατί τα δεδομένα είναι τα πλέον πρόσφορα, αναγκαία και συναφή για τον επιδιωκόμενο σκοπό, καθώς κατόπιν στάθμισης προκρίθηκε το υπό κρίση σύστημα με την όσο το δυνατόν περιορισμένη παρέμβαση στην ιδιωτικότητα των μελών, σε αντίθεση με τις λοιπές προτεινόμενες τεχνολογικά λύσεις, όπως η χρήση δακτυλικού αποτυπώματος.
vii. Ως προς τα τεχνικά και οργανωτικά μέτρα, επισημαίνει ότι σχετικά με τη φυσική ασφάλεια το rack βρίσκεται σε διαμορφωμένο computer room, το backup των αρχείων του Windows server 2008 R2 είναι κρυπτογραφημένο και διενεργείται μόνο για τα κοινόχρηστα αρχεία του Ομίλου και η ιστορικότητα λόγω όγκου είναι 7 ημέρες και τα δεδομένα τηρούνται σε 2 εξωτερικούς δίσκους, τους οποίους ο Γεν. Δ/ντης εναλλάσσει τακτικά.
viii. Επειδή ο Ν.Ο..... επιδιώκει την περαιτέρω συμμόρφωση, έχει αναθέσει τη διενέργεια Μελέτης Εκτίμησης Αντικτύπου και όποιο κι εάν είναι το αποτέλεσμα, δεσμεύεται να το λάβει υπόψη του και να αναπροσαρμόσει, εφόσον χρειαστεί, τα τεχνικά και οργανωτικά του μέτρα. Ήδη από τη διενέργεια της ακρόασης, έχει προβεί σε διαδικασίες ανάθεσης στην εταιρεία «GDPR Greece IKE» του έργου λήψης πιστοποιητικού ISO27001, ήτοι του πιστοποιητικού για τη διαχείριση της ασφάλειας πληροφοριών και των προσωπικών δεδομένων που υφίστανται επεξεργασία εντός του Ομίλου.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τους βοηθούς εισηγητή, οι οποίοι παρέστησαν χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2. Επειδή, σύμφωνα με τους ορισμούς του άρθρου 4 στοιχ. 1 ΓΚΠΔ «νοούνται ως δεδομένα προσωπικού χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· …» και στοιχ. 14 ως βιομετρικά δεδομένα νοούνται «δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα».
3. Επειδή, τα βιομετρικά δεδομένα εντάσσονται στις ειδικές κατηγορίες προσωπικών δεδομένων, τα οποία κατ’ αρχήν απαγορεύεται να υπόκεινται σε επεξεργασία, σύμφωνα με το άρθρο 9 παρ. 1 ΓΚΠΔ: «Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό». Η παρ. 2 του ιδίου άρθρου προβλέπει τις εξαιρέσεις από την ως άνω απαγόρευση, πρώτη εκ των οποίων είναι η ρητή συγκατάθεση του υποκειμένου. Συγκεκριμένα, ορίζεται: «Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις: α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων, […]».
4. Επειδή, το άρθρο 5 του ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα ορίζεται στην παράγραφο 1 ότι τα δεδομένα προσωπικού χαρακτήρα μεταξύ άλλων: « α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»). β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς (…), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων») (…) στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)», και στην παράγραφο 2 ότι «ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 («λογοδοσία»)». Προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνα προς τις απαιτήσεις του ΓΚΠΔ, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ. Η συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να λαμβάνει χώρα πάντοτε υπό το πρίσμα των αρχών της αναλογικότητας και της αναγκαιότητας και ο υπεύθυνος επεξεργασίας, στο πλαίσιο της από μέρους του τήρησης της αρχής της θεμιτής ή δίκαιης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οφείλει να ενημερώνει το υποκείμενο των δεδομένων ότι πρόκειται να επεξεργαστεί τα δεδομένα του με νόμιμο και διαφανή τρόπο και να βρίσκεται σε θέση ανά πάσα στιγμή να αποδείξει τη συμμόρφωσή του με τις αρχές αυτές. Επίσης, όπως έχει ήδη κρίνει η Αρχή, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό σημείο του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον, ο υπεύθυνος επεξεργασίας βαρύνεται με το ειδικότερο καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ, τόσο ως προς το υποκείμενο των δεδομένων δια λόγους διαφάνειας της επεξεργασίας, όσο και, ιδίως, ενώπιον της εποπτικής Αρχής. Δεν είναι τυχαίο ότι ο ΓΚΠΔ εντάσσει τη λογοδοσία (άρθρο 5 παρ. 2 ΓΚΠΔ) στη ρύθμιση των αρχών (άρθρο 5 παρ. 1 ΓΚΠΔ) που διέπουν την επεξεργασία, προσδίδοντας σε αυτήν, τη λειτουργία ενός μηχανισμού τήρησής τους, αντιστρέφοντας κατ’ ουσίαν το «βάρος της απόδειξης» ως προς τη νομιμότητα της επεξεργασίας (και εν γένει την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ), μεταθέτοντάς τη στον υπεύθυνο επεξεργασίας, ώστε να υποστηρίζεται βάσιμα ότι εκείνος φέρει το βάρος της επίκλησης και απόδειξης της νομιμότητας της επεξεργασίας. Έτσι, συνιστά υποχρέωση του υπευθύνου επεξεργασίας αφενός να λαμβάνει από μόνος του τα αναγκαία μέτρα προκειμένου να συμμορφώνεται προς τις απαιτήσεις του ΓΚΠΔ, αφετέρου, να αποδεικνύει ανά πάσα στιγμή την ανωτέρω συμμόρφωσή του, χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους - εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.
5. Επειδή, όπως διευκρινίζει η αιτιολογική σκέψη 51 του ΓΚΠΔ, οι ειδικές κατηγορίες δεδομένων χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. Ενώ, λοιπόν, προκειμένου να είναι νόμιμη η επεξεργασία των «απλών» προσωπικών δεδομένων, αρκεί να συντρέχει μία από τις νομικές βάσεις του άρθρου 6, όσον αφορά τις ειδικές κατηγορίες δεδομένων, η επεξεργασία τους, καταρχήν, απαγορεύεται και επιτρέπεται, μόνο εάν σωρευτικά συντρέχει κάποια από τις νομικές βάσεις του άρθρου 6 και κάποια από τις εξαιρέσεις του άρθρου 9 παρ. 2 ΓΚΠΔ .
6. Επειδή, η ύπαρξη ενός νόμιμου θεμελίου (άρθρο 6 ΓΚΠΔ) δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από την υποχρέωση τήρησης των αρχών (άρθρο 5 παρ. 1 ΓΚΠΔ) αναφορικά με τον θεμιτό χαρακτήρα, την αναγκαιότητα και την αναλογικότητα, και την αρχή της ελαχιστοποίησης. Σε περίπτωση κατά την οποία παραβιάζεται κάποια εκ των προβλεπομένων στο άρθρο 5 παρ. 1 ΓΚΠΔ αρχών, η εν λόγω επεξεργασία παρίσταται ως μη νόμιμη (αντικείμενη στις διατάξεις του ΓΚΠΔ) και παρέλκει η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρου 6 ΓΚΠΔ. Έτσι, η κατά παράβαση των αρχών του άρθρου 5 ΓΚΠΔ μη νόμιμη συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν θεραπεύεται από την ύπαρξη νόμιμου σκοπού και νομικής βάσης (πρβλ. ΑΠΔΠΧ 38/2004).
7. Επειδή, σύμφωνα με το άρθρο 35 παρ. 1 ΓΚΠΔ: «όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.» Η Αρχή, κατ’ εφαρμογή της παρ. 4 του άρθρου 35 ΓΚΠΔ, με την απόφασή της 65/2018, έχει καταρτίσει και δημοσιοποιήσεικατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παρ. 1. Μεταξύ των πράξεων αυτών περιλαμβάνονται οι ακόλουθες:
«1.2 Συστηματική επεξεργασία δεδομένων που αποσκοπεί στη λήψη αυτοµατοποιηµένων αποφάσεων, οι οποίες παράγουν έννομα αποτελέσματα σχετικά µε τα υποκείμενα των δεδομένων ή επηρεάζουν σημαντικά τα υποκείμενα των δεδομένων κατά ανάλογο τρόπο και μπορούν να οδηγήσουν σε αποκλεισμό ή διακρίσεις σε βάρος του φυσικού προσώπου (…).
1.3 Συστηματική επεξεργασία δεδομένων που ενδέχεται να εμποδίζει το υποκείμενο να ασκήσει τα δικαιώματά του ή να χρησιμοποιήσει μια υπηρεσία ή σύμβαση, ιδίως όταν λαμβάνονται υπόψη δεδομένα που συλλέγονται από τρίτους (…).
2.1 Μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων (περιλαμβανομένων των γενετικών και των βιομετρικών µε σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου) που αναφέρονται στο άρθρο 9 παρ. 1 και των δεδομένων που αναφέρονται στο άρθρο 10 του ΓΚΠ∆.
3.1 Καινοτόμος χρήση ή εφαρμογή νέων τεχνολογιών ή οργανωτικών λύσεων, οι οποίες μπορεί να περιλαμβάνουν νέες μορφές συλλογής και χρήσης δεδομένων, µε ενδεχόμενο υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων όπως η συνδυασμένη χρήση των δακτυλικών αποτυπωμάτων και η αναγνώριση προσώπου για βελτιωμένο φυσικό έλεγχο πρόσβασης, ή εφαρμογές mhealth ή άλλες «έξυπνες» εφαρμογές, από τις οποίες δημιουργείται προφίλ των χρηστών (π.χ. καθημερινές συνήθειες), ή εφαρμογές τεχνητής νοημοσύνης ή τεχνολογίες δημόσια προσπελάσιμων blockchain που περιλαμβάνουν προσωπικά δεδομένα.»
8. Επειδή, σύμφωνα με τις Κατευθυντήριες Γραμμές 3/2019 του ΕΣΠΔ: «73. Η χρήση βιομετρικών δεδομένων, και ιδίως η αναγνώριση προσώπου, εγκυμονεί αυξημένους κινδύνους για τα δικαιώματα των υποκειμένων των δεδομένων. Τα τεχνολογικά αυτά μέσα πρέπει οπωσδήποτε να χρησιμοποιούνται με γνώμονα τις αρχές της νομιμότητας, της αναγκαιότητας, της αναλογικότητας και της ελαχιστοποίησης δεδομένων όπως προβλέπονται στον ΓΚΠΔ. Μολονότι η χρήση αυτών των τεχνολογιών μπορεί να θεωρείται ιδιαίτερα αποτελεσματική, οι υπεύθυνοι επεξεργασίας θα πρέπει πρώτα από όλα να αξιολογούν τον αντίκτυπο που έχουν τα τεχνολογικά αυτά μέσα στα θεμελιώδη δικαιώματα και τις ελευθερίες και να εξετάζουν τη χρήση λιγότερο παρεμβατικών μέσων για να επιτυγχάνουν τον νόμιμο σκοπό της επεξεργασίας. 74. Η επεξεργασία ανεπεξέργαστων δεδομένων όπως τα φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, για να χαρακτηριστεί επεξεργασία βιομετρικών δεδομένων όπως ορίζεται στον ΓΚΠΔ, πρέπει να υποδηλώνει μέτρηση αυτών των χαρακτηριστικών. Εφόσον τα βιομετρικά δεδομένα είναι αποτέλεσμα τέτοιων μετρήσεων», ισχύει ο ορισμός του ΓΚΠΔ στο άρθρο 4(14), όπως παρατίθεται ανωτέρω, «Ωστόσο, το υλικό βιντεοσκόπησης που απεικονίζει άτομα δεν μπορεί να θεωρηθεί ότι αποτελεί καθαυτό βιομετρικό δεδομένο σύμφωνα με το άρθρο 9, εάν προηγουμένως το υλικό δεν έχει υποβληθεί σε ειδική τεχνική επεξεργασία προκειμένου να συμβάλει η επεξεργασία αυτή στην ταυτοποίηση των ατόμων.» 75. Η επεξεργασία βιομετρικών δεδομένων, για να λογίζεται ως επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (άρθρο 9), πρέπει να έχει «σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου».
76. Συνοπτικά, υπό το πρίσμα του άρθρου 4(14) και του άρθρου 9, πρέπει να λαμβάνονται υπόψη τρία κριτήρια:
- Φύση των δεδομένων: δεδομένα που σχετίζονται με τα φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου,
- Μέσα και τρόπος επεξεργασίας: δεδομένα τα οποία «προκύπτουν από ειδική τεχνική επεξεργασία»,
- Σκοπός της επεξεργασίας: τα δεδομένα πρέπει να χρησιμοποιούνται με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου.
77. Η χρήση συστημάτων βιντεοεπιτήρησης που περιλαμβάνουν και λειτουργίες βιομετρικής αναγνώρισης τις οποίες εγκαθιστούν ιδιωτικές οντότητες για δικούς τους σκοπούς (π.χ. για σκοπούς εμπορικής προώθησης, στατιστικής ή ακόμη και ασφάλειας) προϋποθέτει τις περισσότερες φορές τη ρητή συγκατάθεση όλων των υποκειμένων των δεδομένων (άρθρο 9 παράγραφος 2 στοιχείο α)), μολονότι και σε αυτήν την περίπτωση μπορεί να ισχύει άλλη νόμιμη εξαίρεση του άρθρου 9.»
9. Επειδή, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, «όπως προκύπτει από την αιτιολογική σκέψη 39 του ΓΚΠΔ, η απαίτηση αναγκαιότητας δεν πληρούται όταν ο επιδιωκόμενος σκοπός γενικού συμφέροντος μπορεί εύλογα να επιτευχθεί κατά τρόπο εξίσου αποτελεσματικό με άλλα μέσα τα οποία θίγουν λιγότερο τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων, ιδίως τα δικαιώματα στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, λαμβανομένου υπόψη ότι οι παρεκκλίσεις και οι περιορισμοί όσον αφορά την αρχή της προστασίας τέτοιων δεδομένων δεν πρέπει να υπερβαίνουν το αυστηρώς αναγκαίο μέτρο» και «η προϋπόθεση περί αναγκαιότητας της επεξεργασίας πρέπει να εξετάζεται από κοινού με τη λεγόμενη αρχή της «ελαχιστοποίησης των δεδομένων», την οποία καθιερώνουν το άρθρο 6, παράγραφος 1, στοιχείο γʹ, της οδηγίας 95/46, όπως και το άρθρο 5, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, κατά το οποίο τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο μέτρο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία». Με την απόφαση αυτή γίνεται ουσιαστικά δεκτό ότι η επεξεργασία είναι νόμιμη μόνο για τα αναγκαία δεδομένα.
10. Επειδή, στις από 06-10-2022 προτάσεις του Γενικού Εισαγγελέα του ΔΕΕ, που υποβλήθηκαν στο πλαίσιο της διαδικασίας έκδοσης της από 04-05-2023 απόφασης του ΔΕΕ στην υπόθεση C-300/2021, μεταξύ άλλων αναφέρεται ότι «73. Η συγκατάθεση του υποκειμένου των δεδομένων, ως ύψιστη έκφραση ελέγχου, αποτελεί μία μόνον από τις νομικές βάσεις για τη νόμιμη επεξεργασία, αλλά δεν είναι ικανή να επικυρώσει τη μη τήρηση των λοιπών υποχρεώσεων και προϋποθέσεων που βαρύνουν τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία. 74. Δεν είναι, κατά γνώμη μου, ευχερές να συναχθεί από τον ΓΚΠΔ ότι σκοπός του τελευταίου είναι να παράσχει στο υποκείμενο των δεδομένων τον έλεγχο επί των δεδομένων προσωπικού χαρακτήρα ως αυτοτελή αξία. Ούτε ότι το υποκείμενο των δεδομένων θα πρέπει να έχει τον μεγαλύτερο δυνατό έλεγχο επί των δεδομένων αυτών. 75. Η διαπίστωση αυτή δεν προκαλεί έκπληξη. Αφενός, δεν είναι προφανές εάν ο έλεγχος, υπό την έννοια της κυριότητας των δεδομένων, αποτελεί μέρος του ουσιαστικού περιεχομένου του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα. Αφετέρου, η αναγνώριση του δικαιώματος αυτού ως δικαιώματος πληροφοριακής αυτοδιάθεσης κάθε άλλο παρά ομόφωνη είναι: το άρθρο 8 του Χάρτη δεν χρησιμοποιεί τους όρους αυτούς. 76. Για τον ίδιο λόγο, δεν περιελήφθη στο τελικό κείμενο του ΓΚΠΔ ούτε αιτιολογική σκέψη που να αναφέρει ότι «το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα βασίζεται στο δικαίωμα του υποκειμένου των δεδομένων να ασκεί έλεγχο επί των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία».
11. Επειδή, αναφορικά με τον υπεύθυνο προστασίας δεδομένων, σύμφωνα με το άρθρο 38 παρ. 3 ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία», παρ. 5 «Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους» και παρ. 6 «Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.». Περαιτέρω, στις Κατευθυντήριες Γραμμές της ΟΑ 29αναφέρεται ότι «ο υπεύθυνος προστασίας δεδομένων δεν μπορεί να κατέχει στους κόλπους του οργανισμού θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επειδή κάθε οργανισμός έχει διαφορετική οργανωτική δομή, το συγκεκριμένο ζήτημα θα πρέπει να εξετάζεται για κάθε περίπτωση χωριστά».
12. Επειδή, στην υπό εξέταση υπόθεση, από τα στοιχεία του φακέλου, την ακρόαση των εμπλεκομένων μερών, καθώς και τα υποβληθέντα υπομνήματα, προκύπτει ότι:
i. Ο Ν.Ο....., σύμφωνα με τον «Κανονισμό Λειτουργίας Ν.Ο..... για τα Μέλη -2022», έχει τοποθετήσει και λειτουργεί, τουλάχιστον από τα μέσα Μαΐου 2022, στην είσοδο των εγκαταστάσεών του «σύστημα βιομετρικών χαρακτηριστικών», όπως το χαρακτηρίζει, το οποίο σύστημα ταυτοποίησης βασίζεται στη γεωμετρία προσώπου που για κάθε άνθρωπο είναι μοναδική. Για τη λειτουργία του εν λόγω συστήματος, το υποκείμενο πρέπει να εισέλθει στον ειδικό χώρο του Ν.Ο..... για να γίνει η προαπαιτούμενη απεικόνιση ευδιάκριτων γεωμετρικών στοιχείων εκάστου προσώπου. Το σύστημα συλλέγει τις συντεταγμένες της γεωμετρίας του προσώπου που τυγχάνουν επεξεργασίας μέσω ενός αλγορίθμου, ο οποίος δημιουργεί έναν κωδικό για κάθε χρήστη και τα ανωτέρω δεδομένα τηρούνται ψηφιακά στον server του Ν.Ο..... για όσο καιρό το υποκείμενο των δεδομένων είναι ενεργό μέλος του Ομίλου.
Συνεπώς, η Αρχή διαπιστώνει ότι με το εν λόγω σύστημα ταυτοποίησης εισερχομένων πραγματοποιείται επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα και ο Ν.Ο..... καθίσταται υπεύθυνος επεξεργασίας αυτών.
ii. Κατά τον χρόνο που υποβλήθηκαν οι καταγγελίες κατά του Ν.Ο....., τα μέλη του Ν.Ο..... δεν είχαν τη δυνατότητα επιλογής χρήσης έτερου συστήματος εισόδου στον Όμιλο, πέραν του υπό εξέταση συστήματος, καθώς για κάποιο χρονικό διάστημα, αυτό αποτελούσε τον μοναδικό τρόπο εισόδου αυτών.
iii. Στον «Κανονισμό Λειτουργίας Ν.Ο..... για τα Μέλη - 2022», που υπέβαλε ο N.O..... με το υπ’ αριθμ. πρωτ. .../29-06-2022 έγγραφό του, αναγράφεται ότι «Για την είσοδο στον Ν.Ο..... των Μελών (κύρια και προστατευόμενα) γίνεται χρήση βιομετρικών χαρακτηριστικών. Μετά τη εγγραφή τους στο σύστημα βιομετρικών χαρακτηριστικών, ακυρώνονται οι πλαστικές κάρτες. […] Σας υπενθυμίζουμε πως σε περίπτωση ανάκληση της ρητής συγκατάθεσης του Μέλους για χρήση των βιομετρικών του δεδομένων, μπορεί να εισέρχεται στον Όμιλο με το σύστημα ταυτοποίησης με την προσωπική κάρτα μέλους.» Ωστόσο, στο διαθέσιμο την ίδια χρονική περίοδο έντυπο προς τα μέλη του Ν.Ο..... «Ενημερωτικό Έντυπο προς τα εγγραφόμενα μέλη, σχετικά με προσωπικά τους δεδομένα» παρέχεται ενημέρωση για την επεξεργασία των δεδομένων προσωπικού, χωρίς αναφορά στα δεδομένα που τυγχάνουν επεξεργασίας με το υπό εξέταση βιομετρικό σύστημα και στη νομική βάση της συγκατάθεσης για τα ειδικής κατηγορίας δεδομένα. Με το μετά την ακρόαση ενώπιον της Ολομέλειας υπ’ αριθμ. πρωτ. .../13-03-2023 υπόμνημα που υπέβαλε στην Αρχή ο Ν.Ο..... προσκόμισε το «Έντυπο συναίνεσης για το σύστημα βιομετρικής ταυτοποίησης ... ως μέθοδος Ελέγχου Εισόδου/Access Control στο ΝΟ...», στο οποίο αναφέρεται ότι «Ρητώς διαβεβαιώνεται από τον Όμιλο, ότι, τα βιομετρικά/γεωμετρικά του προσώπου και όχι απεικονιστικά) δεδομένα που χρησιμοποιούνται για την αναγνώριση/ταυτοποίηση δεν συλλέγονται σε αρχείο, ούτε αποθηκεύονται σε μονάδα Η/Υ» και «Δηλώνω ρητά ότι ΕΝΗΜΕΡΩΘΗΚΑ για την κατά τα ανωτέρω επεξεργασία των βιομετρικών δεδομένων που λαμβάνει χώρα από τον Ναυτικό Όμιλο ... και ΣΥΝΑΙΝΩ στην εν λόγω επεξεργασία», και δίνεται σχετικό πεδίο επιλογής στο υποκείμενο. Τέλος, στο από 28-04-2022 απαντητικό μήνυμα ηλεκτρονικού ταχυδρομείου του Ν.Ο..... προς τη … του πρώτου καταγγέλλοντος, σε συνέχεια της από 16-04-2022 δήλωσης εναντίωσης τους στην επεξεργασία των προσωπικών δεδομένων τους, αναφερόταν ότι «τυχόν άρνηση συμμόρφωσή σας [ήτοι χορήγηση συγκατάθεσης για το νέο σύστημα εισόδου], δύναται να αποτελέσει λόγο για τη μη διατήρηση της ιδιότητάς σας ως μέλος του Ομίλου».
iv. Τα υποκείμενα, των οποίων τα δεδομένα τυγχάνουν επεξεργασίας με το νέο σύστημα ελέγχου πρόσβασης, είναι τα μέλη και οι συνοδοί τους που ανέρχονται στους 3.500, ενώ οι εργαζόμενοι, οι επισκέπτες/φίλαθλοι, οι αθλητές και οι θαμώνες του εστιατορίου εξακολουθούν να κάνουν χρήση άλλων συστημάτων και να εισέρχονται από άλλες εισόδους.
v. Αναφορικά με την εκτίμηση αντικτύπου, η αρχική απάντηση του Ν.Ο..... προς την Αρχή ήταν ότι δεν κρίνεται απαραίτητη η εκπόνηση αυτής, ενώ μετά την ακρόαση ενώπιον της Ολομέλειας, ο Ν.Ο..... ενημέρωσε την Αρχή ότι έχει αναθέσει τη διενέργεια μελέτης αυτής και όποιο κι εάν είναι το αποτέλεσμα, δεσμεύεται να το λάβει υπόψη του και να αναπροσαρμόσει, εφόσον χρειαστεί, τα τεχνικά και οργανωτικά μέτρα που έχει ήδη εφαρμόσει. O Ν.Ο..... δεν έχει προσκομίσει στην Αρχή εκτίμηση αντικτύπου για το υπό εξέταση σύστημα. vi. Ο Ν.Ο..... έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων την Πρόεδρο του ΔΣ του Ομίλου.
13. Επειδή, ενόψει των ανωτέρω, η Αρχή διαπιστώνει ότι ο Ν.Ο.... έχει εγκαταστήσει και θέσει σε λειτουργία το υπό εξέταση σύστημα βιομετρικών χαρακτηριστικών, για το οποίο, όπως προκύπτει από την ως άνω σκέψη 12.i. απαιτείται η επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα των υποκειμένων, ο δε Ν.Ο.... καθίσταται υπεύθυνος επεξεργασίας αυτών. Η εν λόγω επεξεργασία σχετίζεται με τη συστηματική επεξεργασία δεδομένων με εφαρμογή νέας τεχνολογίας και αυτοματοποιημένη επεξεργασία των δεδομένων, με ενδεχόμενο υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (αναγνώριση προσώπου), καθώς λαμβάνει χώρα μεγάλης κλίμακαςεπεξεργασία ειδικών κατηγοριών δεδομένων 3.500 περίπου υποκειμένων, εφόσον αφορά όλα τα μέλη του Ομίλου και τους συνοδούς τους. Από τον φάκελο της υπόθεσης, προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν έχει τεκμηριώσει ότι καθίσταται αναγκαία και αναλογική η χρήση του νέου συστήματος και ιδίως ότι δεν είναι δυνατή για τον σκοπό της επεξεργασίας η εφαρμογή ηπιότερων μορφών ελεγχόμενης εισόδου στον χώρο, με την επεξεργασία απλών δεδομένων, ενώ για κάποιο χρονικό διάστημα έθεσε σε εφαρμογή το εν λόγω σύστημα βιομετρικών χαρακτηριστικών, χωρίς να έχει παράσχει κατάλληλη ενημέρωση στα υποκείμενα για την επεξεργασία των δεδομένων τους, χωρίς να έχει λάβει τη συγκατάθεσή τους και χωρίς να παράσχει εναλλακτικό τρόπο ελεγχόμενης εισόδου. Συνεπώς, εφόσον δεν τεκμηριώθηκε, βάσει της αρχής της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ), από τον υπεύθυνο επεξεργασίας, που υποχρεούται να αποδεικνύει τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ, η αναγκαιότητα του σκοπού της εν λόγω επεξεργασίας, έχει παραβιασθεί η αρχή της νομιμότητας (άρθρο 5 παρ. 1 στοιχ. α’) και η επίμαχη επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα κρίνεται παράνομη, σύμφωνα δε με όσα αναφέρονται στη σκέψη 6, παρέλκει η εξέταση της συνδρομής νομικής βάσης επεξεργασίας κατά το άρθρο 6 του ΓΚΠΔ και της εφαρμογής των εξαιρέσεων από την απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα ειδικών κατηγοριών κατά το άρθρο 9 παρ. 2 ΓΚΠΔ.
14. Επειδή, αν και, σύμφωνα με όσα εκτίθενται στη σκέψη 7, ο Ν.Ο.... ως υπεύθυνος επεξεργασίας είχε υποχρέωση, κατά το άρθρο 35 παρ. 3 στοιχ. γ’ ΓΚΠΔ και την προαναφερόμενη απόφαση 65/2018 της Αρχής, να διενεργήσει εκτίμηση αντικτύπου σχετικά με την προστασία ειδικής κατηγορίας δεδομένων, δεν τεκμηρίωσε ενώπιον της Αρχής, σύμφωνα με την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ), τη συμμόρφωσή του προς την υποχρέωση αυτή, η παραβίαση της οποίας συνιστά αυτοτελή παράβαση κατά το άρθρο 35 του ΓΚΠΔ.
15. Επειδή, σύμφωνα με τον ΓΚΠΔ και τις Κατευθυντήριες Γραμμές της ΟΕ 29, ο Υπεύθυνος Προστασίας Δεδομένων (εφεξής «ΥΠΔ»), πρέπει να ασκεί τα καθήκοντά του με ανεξαρτησία και ως εκ τούτου δεν επιτρέπεται να κατέχει στους κόλπους του υπευθύνου επεξεργασίας θέση, από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στη συγκεκριμένη περίπτωση, η Πρόεδρος του ΔΣ του Ν.Ο...., ως η νόμιμη εκπρόσωπος του υπευθύνου επεξεργασίας, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα και με την ανάθεση στην ίδια καθηκόντων ΥΠΔ δεν εξασφαλίζεται η αντικειμενική επίβλεψη της συμμόρφωσης με τον ΓΚΠΔ. Ως εκ τούτου, σύμφωνα με τις ανωτέρω Κατευθυντήριες Γραμμές, η θέση του Προέδρου του ΔΣ έρχεται σε ουσιώδη σύγκρουση συμφερόντων και είναι ασύμβατος με τη θέση του ΥΠΔ, και, συνεπώς, η σύμπτωση των δύο αυτών ιδιοτήτων στο ίδιο πρόσωπο έρχεται σε αντίθεση με τη διάταξη του άρθρου 38 παρ. 3 του ΓΚΠΔ.
16. Επειδή, με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά τα άρθρα 58 παρ. 2 θ’ και 83 ΓΚΠΔ διορθωτικές εξουσίες της επιβολής προστίμων, όσον αφορά τις ανωτέρω διαπιστωθείσες παραβάσεις, καθώς και τις κατά το άρθρο 58 παρ. 2 δ’ και στ’ διορθωτικές εξουσίες της προκειμένου να επιβάλει στον υπεύθυνο επεξεργασίας την υποχρέωση να εκπονήσει μελέτη εκτίμησης αντικτύπου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων μέσω του υπό εξέταση συστήματος και τη διακοπή της επεξεργασίας αυτής μέχρι την εκπόνηση της μελέτης. Για τον καθορισμό των προστίμων, ώστε να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνονται υπόψη τα κριτήρια επιμέτρησης που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ που έχουν εφαρμογή στην παρούσα υπόθεση, όπως αυτά έχουν ειδικότερα ερμηνευτεί από τις Κατευθυντήριες Γραμμές 4/2022 του ΕΣΠΔ για τον υπολογισμό των διοικητικών προστίμων.
17. Επειδή, κατά την αξιολόγηση των δεδομένων, η Αρχή λαμβάνει ιδιαιτέρως υπόψη:
i. τη φύση και τη βαρύτητα της παράβασης, η οποία αφορά τις βασικές αρχές νομιμότητας της επεξεργασίας που είναι θεμελιώδεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ΓΚΠΔ, συνεκτιμώντας και ότι, ανεξαρτήτως του γεγονότος ότι η τήρηση των αρχών που προβλέπονται από τη διάταξη του άρθρου 5 του ΓΚΠΔ είναι κεφαλαιώδους σημασίας, πρωτίστως δε, η αρχή της νομιμότητας, ώστε, εάν εκλείπει αυτή, καθίσταται εξ’ αρχής παράνομη η επεξεργασία, ακόμη και εάν έχουν τηρηθεί οι λοιπές αρχές επεξεργασίας, εν προκειμένω διαπιστώθηκε ότι πραγματοποιήθηκε παράνομη επεξεργασία με τη χρήση του υπό εξέταση συστήματος,
ii. ότι η επίμαχη επεξεργασία αφορά ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού υποκειμένων,
iii. ότι ο υπεύθυνος επεξεργασίας εξέτασε το ενδεχόμενο διενέργειας εκτίμησης αντικτύπου και αποφάσισε ότι δεν απαιτείται
iv. το γεγονός ότι η παράβαση των διατάξεων σχετικά με τις βασικές αρχές για την επεξεργασία υπάγεται, σύμφωνα με τις διατάξεις του άρθρου 83 παρ. 5 εδ. α΄ και β΄ ΓΚΠΔ, στην ανώτερη προβλεπόμενη κατηγορία του συστήματος διαβάθμισης διοικητικών προστίμων,
v. ότι τα έσοδα του Ν.Ο.... ανέρχονται στα 3,5 εκ. για το έτος 2022
Βάσει των ανωτέρω, η Αρχή αποφασίζει ομόφωνα ότι πρέπει να επιβληθεί στον καταγγελλόμενο Όμιλο, ως υπεύθυνο επεξεργασίας, οι αναφερόμενες στο διατακτικό διοικητικές κυρώσεις, οι οποίες κρίνονται ανάλογες με τη βαρύτητα των παραβάσεων.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
Α. Επιβάλλει στον Ναυτικό Όμιλο ..., ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ, πρόστιμο ύψους είκοσι οκτώ χιλιάδων ευρώ (28.000 €) ευρώ για την παραβίαση της αρχής της νομιμότητας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ).
Β. Επιβάλλει στον Ναυτικό Όμιλο ..., ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ, πρόστιμο ύψους δεκατεσσάρων χιλιάδων ευρώ (14.000 €) ευρώ για την παράλειψη διενέργειας εκτίμησης αντικτύπου του συστήματος βιομετρικών χαρακτηριστικών ελεγχόμενης εισόδου (άρθρο 35 ΓΚΠΔ).
Γ. Επιβάλλει στον Ναυτικό Όμιλο ..., ως υπεύθυνο επεξεργασίας, αφενός, με βάση το άρθρο 58 παρ. 2 εδαφ. δ’ του ΓΚΠΔ, να εκπονήσει, σύμφωνα με το άρθρο 35 ΓΚΠΔ, μελέτη εκτίμησης αντικτύπου των πράξεων επεξεργασίας μέσω του συστήματος βιομετρικών χαρακτηριστικών ελεγχόμενης εισόδου στην προστασία δεδομένων προσωπικού χαρακτήρα και αφετέρου, με βάση το άρθρο 58 παρ. 2 εδαφ. στ’ του ΓΚΠΔ, να διακόψει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα μέσω του ανωτέρω συστήματος βιομετρικών χαρακτηριστικών ελεγχόμενης εισόδου, μέχρις ότου εκπονήσει μελέτη εκτίμηση αντικτύπου, κατά τα ανωτέρω και να ενημερώσει την Αρχή σχετικώς με τις ανωτέρω ενέργειες, το αργότερο εντός τριών (3) μηνών από την κοινοποίηση της παρούσας.
Δ. Επιβάλλει στον Ναυτικό Όμιλο ..., ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ, πρόστιμο ύψους δεκατεσσάρων χιλιάδων ευρώ (14.000 €) ευρώ για την παραβίαση του άρθρου 38 παρ. 3 του ΓΚΠΔ.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου