Kaip išvengti baudos sporto klubams, tvarkantiems savo klientų biometrinius duomenis?

2/10/20232 min read

Valstybinė duomenų apsaugos inspekcija (VDAI) praeitų metų pabaigoje sporto klubus valdančiai bendrovei skyrė skyrė 6 tūkst. EUR baudą dėl biometrinių duomenų (piršto atspaudų modelių) netinkamo tvarkymo ir kitų Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų.

Pateikiame kelis patarimus dėl tinkamo biometrinių duomenų tvarkymo:

  1. Gaukite aiškius klientų sutikimus dėl biometrinių duomenų tvarkymo. BDAR 9 str. 1 d. numato draudimą tvarkyti specialiųjų kategorijų asmens duomenis, įskaitant ir biometrinius duomenis. Išimtis taikoma tik tuo atveju, jeigu asmuo aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi konkrečiu tikslu (pvz., sporto klubų atveju - kliento identifikavimo tikslais). Pažymėtina, kad sutikimas turi būti duodamas kliento laisva valia. Todėl negali susidaryti tokia situacija, kai vienintelis būdas klientui naudotis sporto klubo paslaugomis (patekti į sporto klubo patalpas) yra sutikti su biometrinių duomenų (pvz., piršto atspaudo modelio) tvarkymu. Tai yra, asmuo turi turėti aiškią ir suprantamą alternatyvą naudoti sporto klubo paslaugomis vietoje biometrinių duomenų tvarkymo, pvz., suteikiant klientui praėjimo (narystės) kortelę. Tokias alternatyvas klientams privaloma pateikti prieš registruojantis patekimui į sporto klubą (prieš įsigyjant narystę).

  2. Tinkamai informuokite klientus apie asmens duomenų tvarkymą. BDAR 13 str. numato, kad asmenys turi būti informuojami apie asmens duomenų tvarkymą (pvz., apie duomenų tvarkymo tikslus, teisėtus tvarkymo pagrindus, duomenų gavėjus, duomenų saugojimo terminus ir kt.). Atitinkamai, klientams prieš registruojantis patekimui į sporto klubą (prieš įsigyjant narystę) privaloma pateikti išsamią informaciją apie asmens duomenų tvarkymą.

  3. Atlikite poveikio duomenų apsaugai vertinimą (PDAV). PDAV, tai procedūra, kurios metu organizacija įvertina dėl duomenų tvarkymo asmenims kylantį pavojų. Daugiau apie PDAV reikalavimus skaitykite čia.

  4. Parenkite duomenų tvarkymo veiklos įrašus dėl biometrinių duomenų tvarkymo. BDAR 30 str. numato pareigą organizacijai tvarkyti kiekvienos duomenų tvarkymo veiklos įrašus. Taigi, būtina įsitikinti, kad organizacija turėtų pasirengusi ir biometrinių duomenų veiklos įrašus.

Tinkamai atlikus aukščiau nurodytus veiksmus, sporto klubą valdanti bendrovė turėtų jaustis rami, jog atitinka visus BDAR numatytus reikalavimus dėl biometrinių duomenų tvarkymo.

Kreipkitės į mūsų komandą dėl konsultacijos tvarkant biometrinius duomenis bei reikalingų BDAR dokumentų parengimo.

+370 605 20086

info@bdarapsauga.lt