Η Αρχή Προστασίας Δεδομένων της Ολλανδίας (Dutch DPA) πραγματοποίησε πρόσφατα έρευνα σε 8 τουριστικά θέρετρα που χρησιμοποιούν τεχνολογία αναγνώρισης προσώπου για την πρόσβαση των επισκεπτών σε πισίνες και παιδότοπους. Τα αποτελέσματα της έρευνας έδειξαν ότι και τα 8 θέρετρα παραβίασαν την νομοθεσία για την προστασία προσωπικών δεδομένων. Ορισμένα θέρετρα δεν ενημέρωναν τους επισκέπτες για εναλλακτικούς τρόπους πρόσβασης, όπως για παράδειγμα η χρήση κάρτας ή βραχιολιού, ώστε να αποφύγουν την αναγνώριση προσώπου. Υπό την πίεση της Αρχής, τα 7 από τα 8 θέρετρα συμμορφώθηκαν, ενώ ένα συνεχίζει να παραβιάζει τις απαιτήσεις. Εάν αυτή η κατάσταση συνεχιστεί, η Αρχή ενδέχεται να επιβάλει κυρώσεις, όπως πρόστιμο ή άλλη ποινή.
Η έρευνα ξεκίνησε έπειτα από καταγγελίες πολιτών που εξέφρασαν έκπληξη και ανησυχία για τη χρήση αυτής της τεχνολογίας. “Ο κόσμος ήταν έκπληκτος”, αναφέρει η Monique Verdier, αντιπρόεδρος της Αρχής. “Παλαιότερα, οι επισκέπτες χρησιμοποιούσαν κάρτες ή βραχιόλια για την είσοδό τους. Ξαφνικά, η αναγνώριση προσώπου εφαρμόστηκε για να δώσει πρόσβαση στην πισίνα, τόσο για ενήλικες όσο και για παιδιά. Και το ερώτημα ήταν: επιτρέπεται αυτό; Αυτό ήθελαν να μάθουν οι πολίτες.”
Η αναγνώριση προσώπου υπό αυστηρούς περιορισμούς
O GDPR θέτει αυστηρούς περιορισμούς στη χρήση της αναγνώρισης προσώπου. Η τεχνολογία αυτή είναι γενικά απαγορευμένη, με εξαίρεση τρεις περιπτώσεις:
- Όταν χρησιμοποιείται για προσωπικούς ή οικιακούς σκοπούς, όπως για την ξεκλείδωμα κινητού τηλεφώνου.
- Όταν η χρήση της είναι απαραίτητη για λόγους ασφάλειας, όπως για την προστασία υποδομών ζωτικής σημασίας, όπως πυρηνικοί σταθμοί.
- Όταν υπάρχει ρητή συγκατάθεση του ατόμου.
Στην περίπτωση της πρόσβασης στην πισίνα, η μόνη εφικτή λύση ήταν η ρητή συγκατάθεση των επισκεπτών. Η Αρχή υπογράμμισε ότι η συγκατάθεση αυτή πρέπει να δίνεται ελεύθερα, με πλήρη ενημέρωση και δυνατότητα εναλλακτικών τρόπων πρόσβασης, όπως η χρήση κάρτας.
Πολλαπλές παραβιάσεις από τα τουριστικά θέρετρα
Η έρευνα αποκάλυψε διάφορες παραβιάσεις της νομοθεσίας από τα τουριστικά θέρετρα. Σε κάποιες περιπτώσεις, οι επισκέπτες δεν κλήθηκαν καν να δώσουν τη συγκατάθεσή τους ή δεν ενημερώθηκαν επαρκώς για την πολιτική αναγνώρισης προσώπου. Σε άλλες περιπτώσεις, υπήρχε εναλλακτική λύση, όπως η χρήση κάρτας, αλλά το θέρετρο δεν ενημέρωσε τους επισκέπτες γι’ αυτήν.
Επιπλέον, δεν δόθηκε πληροφορία στους επισκέπτες για το χρονικό διάστημα διατήρησης των δεδομένων τους ή για το ποιος έχει πρόσβαση σε αυτά τα δεδομένα. “Αυτό είναι πολύ σοβαρό”, υπογραμμίζει η Verdier. “Δεν επιτρέπεται να πιέζονται οι άνθρωποι να παραδώσουν τα βιομετρικά τους δεδομένα για να απολαύσουν τις υπηρεσίες που πλήρωσαν.”
Τι έπεται;
Η Αρχή Προστασίας Δεδομένων της Ολλανδίας έχει δώσει προθεσμία στο θέρετρο που δεν έχει συμμορφωθεί να προσαρμόσει την πολιτική του μέχρι τις αρχές Δεκεμβρίου. Εάν δεν γίνει αυτό, η Αρχή μπορεί να επιβάλει πρόστιμο ή άλλη κυρωτική ποινή. “Σε αυτήν την περίπτωση, η εταιρεία θα έχει λάβει αρκετές ευκαιρίες για συμμόρφωση”, τονίζει η Verdier. “Ενδέχεται να χρειαστούν πιο αυστηρά μέτρα.”
Η χρήση της αναγνώρισης προσώπου εγείρει σοβαρά ερωτήματα για την ιδιωτικότητα και τα δικαιώματα των πολιτών, ειδικά όταν αφορά παιδιά. Τα τουριστικά θέρετρα οφείλουν να προστατεύουν την ιδιωτικότητα των επισκεπτών τους, προσφέροντας εναλλακτικές επιλογές και διασφαλίζοντας ότι οι επισκέπτες είναι πλήρως ενημερωμένοι για τις πρακτικές συλλογής δεδομένων.