O firmă specializată în dezvoltarea de software, servicii și soluții pentru industria de jocuri de noroc online, prezentă pe piața românească, a primit un avertisment din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în baza Regulamentului GDPR, după ce a intenționat să introducă în sediile sale un sistem de acces pentru angajați bazat pe recunoaștere facială.
Investigația autorității a început în urma unor sesizări care semnalau că firma ARRISE LIVE SRL ar urma să implementeze un sistem de securitate ce folosește date biometrice pentru a permite accesul angajaților în sedii sau puncte de lucru.
„În cadrul investigației efectuate s-a constatat faptul că prelucrarea datelor biometrice urma să fie efectuată în scopul de a asigura securitatea accesului în spațiile societății, operatorul utilizând deja un sistem de control al accesului bazat pe carduri”, precizează ANSPDCP.
În urma verificărilor, Autoritatea a constatat că sistemul biometric nu fusese încă implementat, astfel că firma nu a ajuns să prelucreze efectiv date biometrice ale angajaților, furnizorilor sau vizitatorilor.
Sistemul de recunoaștere facială era gândit pentru a preveni accesul neautorizat și pentru a evita folosirea abuzivă a cardurilor de acces, prin verificarea identității persoanelor.
„Totodată, s-a constatat că situația prezentată de operator nu se subsuma cerințelor de legalitate, necesitate și proporționalitate a prelucrării datelor biometrice ale propriilor angajați/furnizori/vizitatori, ceea ce ar fi putut aduce atingere dreptului la viață privată și la protecția datelor cu caracter personal a persoanelor vizate care urmau să acceseze spaţiile/locaţiile operatorului”, apreciază ANSPDCP.
Așadar, autoritatea a recomandat operatorului să utilizeze metode mai puțin intruzive pentru controlul accesului, care să nu implice prelucrarea datelor biometrice.
În final, compania a primit o avertizare, întrucât implementarea sistemului de recunoaștere facială ar fi putut încălca prevederile Regulamentului GDPR, în special principiile privind legalitatea și limitarea datelor prelucrate.