ΑΠΔ 74/2009
ΠΕΡΙΛΗΨΗ
Μη νόμιμη η επεξεργασία
βιομετρικών δεδομένων σε σύστημα ελέγχου της εισόδου των εργαζομένων σε
επιχείρηση με ενιαίο εργασιακό χώρο.
KEIMENO
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ
ΧΑΡΑΚΤΗΡΑ
Αθήνα, 06-11-2009
Αριθ. Πρωτ.:
Γ/ΕΞ/6675/06-11-2009
ΑΠΟΦΑΣΗ 74/2009
Η Αρχή Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση
την 09.07.2009 στο κατάστημά της, αποτελούμενη από τους Χ. Γεραρή,
Πρόεδρο, Λ. Κοτσαλή, Α. Παπανεοφύτου,
Α. Πράσσο, Α.-Ι. Μεταξά, Α.
Ρουπακιώτη, τακτικά μέλη, και το αναπληρωματικό μέλος
Γ. Πάντζιου, σε αντικατάσταση του τακτικού μέλους Α. Πομπόρτση, ο οποίος αν και εκλήθη νομίμως εγγράφως δεν
παρέστη λόγω κωλύματος, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο
ιστορικό της παρούσας. Στη συνεδρίαση παρέστησαν οι εισηγητές Γ. Ρουσόπουλος, Ε. Χατζηλιάση, Λ.
Ρούσσος, υπάλληλοι του Τμήματος Ελεγκτών και η γραμματέας Γ. Παλαιολόγου,
υπάλληλος του Διοικητικού-Οικονομικού Τμήματος,
μετά από εντολή του Προέδρου.
Η Αρχή έλαβε
υπόψη τα παρακάτω:
Η Εθνοdata, Ανώνυμος Εταιρεία Μηχανογραφικών Υπηρεσιών και
Οργάνωσης υπέβαλε την υπ αριθμ. πρωτ. ΓΝ/ΕΙΣ/638/01.06.2009
γνωστοποίηση τήρησης αρχείου και επεξεργασίας δεδομένων προσωπικού χαρακτήρα με
την οποία δηλώνει ότι για σκοπούς διοίκησης προσωπικού πραγματοποιεί έλεγχο των
χαρακτηριστικών της γεωμετρίας του προσώπου. Ειδικότερα, η εταιρεία δηλώνει ότι
είναι υποχρεωμένη να εξασφαλίσει την ελεγχόμενη και απολύτως ασφαλή πρόσβαση
μόνο σε εξουσιοδοτημένους χρήστες στους χώρους και τα συστήματα της εταιρείας.
Υποστηρίζει ότι με την αξιοποίηση της βιομετρικής τεχνολογίας επιτυγχάνεται η
διασφάλιση της επαλήθευσης της ταυτότητας του εργαζομένου κατά τον έλεγχο
πρόσβασής του στους χώρους της εταιρείας.
Πρόσβαση στους χώρους της εταιρείας έχουν μόνο οι υπάλληλοί της.
Σύμφωνα με όσα αναφέρονται στη γνωστοποίηση, το σύστημα προϋποθέτει μια
φάση καταγραφής κατά την οποία οι υπάλληλοι προσέρχονται στο γραφείο έκδοσης
αδειών εισόδου και υποβάλλονται στην ανάγνωση από ειδική συσκευή των
βιομετρικών τους χαρακτηριστικών. Τα βιομετρικά χαρακτηριστικά αποθηκεύονται σε
κεντρική βάση δεδομένων, μαζί με το ονοματεπώνυμό τους, τον κωδικό της
μισθοδοσίας και την ημερομηνία έναρξης και λήξης του δικαιώματος πρόσβασης στη
βάση δεδομένων του γραφείου προσωπικού. Η εταιρεία υποστηρίζει ότι πρακτικά η
διαδικασία λήψης των βιομετρικών χαρακτηριστικών έχει ήδη γίνει, με την προσκόμιση
φωτογραφίας του εργαζόμενου κατά την πρόσληψη.
Κατά τη φάση λειτουργίας του συστήματος, ο εισερχόμενος υπάλληλος
παρουσιάζεται για δευτερόλεπτα μπροστά στην κάμερα, μετρώνται τα βιομετρικά του
χαρακτηριστικά, συγκρίνονται με αυτά της βάσης δεδομένων και εφόσον
ταυτίζονται, επιτρέπεται η είσοδος στην εταιρεία. Το σύστημα αποθηκεύει μόνο
την ώρα εισόδου/εξόδου.
Η εταιρεία δηλώνει ότι θα ενημερώσει πλήρως και σαφώς τους εργαζόμενους
για τη λειτουργία του συστήματος και το σκοπό της επεξεργασίας. Επίσης, με την
αρχική γνωστοποίηση η εταιρεία δηλώνει ότι καλύπτει τις απαιτήσεις του άρθρου 4
του Ν. 2472/1997.
Η Αρχή απέστειλε την υπ αριθμ. πρωτ.
ΓΝ/ΕΞ/638-1/17.06.2009 επιστολή, ενημερώνοντας τον υπεύθυνο επεξεργασίας για
όσα αναφέρονται στο τμήμα Ε, παρ. 3 της οδηγίας 115/2001 της Αρχής για την
προστασία των προσωπικών δεδομένων στο πεδίο των εργασιακών σχέσεων.
Επισημάνθηκε ότι το σύστημα αφορά όλη την επιχείρηση κι όχι περιορισμένες
εγκαταστάσεις που χρήζουν αυξημένης προστασίας και ότι ο σκοπός της επεξεργασίας
ενδέχεται να ικανοποιείται με λιγότερο επαχθή μέσα για το υποκείμενο, όπως π.χ.
με την ύπαρξη προσωπικού ασφαλείας ή τη χρήση ειδικής κάρτας εισόδου, χωρίς την
επεξεργασία βιομετρικών δεδομένων και ζητήθηκε πληρέστερη τεκμηρίωση για την
αναγκαιότητα και την αναλογικότητα της εγκατάστασής του συστήματος.
Ο υπεύθυνος επεξεργασίας υπέβαλε το υπ αριθμ. πρωτ.
ΓΝ/ΕΙΣ/757/25.06.2009 συμπληρωματικό υπόμνημα με το οποίο παρέχει περισσότερα
στοιχεία. Διευκρινίζει ότι οι εγκαταστάσεις της εταιρείας βρίσκονται στον 3ο
όροφο κτιρίου με ενιαίο χώρο εισόδου και δύο θύρες ασφαλείας. Η διάταξη του
χώρου είναι ανοιχτού τύπου (open space),
οπότε όποιος περάσει την κεντρική είσοδο μπορεί να αποκτήσει πρόσβαση στο
μεγαλύτερο μέρος των δραστηριοτήτων της εταιρείας. Η εταιρεία θεωρεί ότι το
σύστημα εισόδου εξασφαλίζει την ομαλή ροή των εργασιών της εταιρείας που αφενός
χειρίζεται στοιχεία 200.000 συνταξιούχων και αφετέρου αναπτύσσει λογισμικό για
την Εθνική Τράπεζα, στο οποίο κανείς δεν πρέπει να έχει πρόσβαση. Τέλος, αναφέρει
ότι έχει πιστοποιηθεί και κατά ISO 27001:2005 για την
ασφάλεια των πληροφοριών, όπου ένα βασικό στοιχείο που ελέγχεται είναι η
ασφάλεια περιμέτρου που περιλαμβάνει τον τρόπο πρόσβασης.
Ο υπεύθυνος επεξεργασίας εξέθεσε τις απόψεις του ενώπιον της Αρχής στη
συνεδρίαση της 09.07.2009, δια της πληρεξουσίου δικηγόρου της Κ. Κουράφαλου και του Διευθυντή εργασιών και marketing A. Διευκρινίστηκε ότι η
εταιρεία αναλαμβάνει εργασίες για λογαριασμό φορέων όπως η Εθνική Τράπεζα, το ΤΕΒΕ ή το ΤΕΑΠΟΚΑ που αφορούν την
επεξεργασία κρίσιμων δεδομένων και για τις οποίες η ανάθεση γίνεται με
συμβάσεις που περιέχουν όρους για τη διασφάλιση του απορρήτου. Οι υπάλληλοι της
εταιρείας υπογράφουν συμβάσεις στις οποίες περιλαμβάνονται όροι για την
εμπιστευτικότητα και το απόρρητο της επεξεργασίας. Επισημάνθηκε ότι το κέντρο
αποθήκευσης δεδομένων της εταιρείας (data center) βρίσκεται στο ίδιο χώρο και διαχωρίζεται με πόρτα
που διαθέτει απλή κλειδαριά, όπως άλλωστε και άλλοι κρίσιμοι χώροι, όπως αυτοί
στους οποίους γίνεται εισαγωγή δεδομένων από έντυπες φόρμες των πελατών της
εταιρείας και παραμένει, έστω και προσωρινά, τμήμα του φυσικού αυτού αρχείου.
Τέλος, για τη λογική πρόσβαση των υπαλλήλων της εταιρείας στα συστήματά της
χρησιμοποιεί όνομα χρήστη και κωδικό πρόσβασης με συγκεκριμένες προδιαγραφές
καθώς και δικαιώματα ενεργειών ανά χρήστη.
Η Αρχή, μετά από εξέταση όλων των παραπάνω στοιχείων και κατόπιν
διεξοδικής συζήτησης,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Όπως έχει ήδη κρίνει η Αρχή (βλ. απόφαση 45/2009), η φωτογραφία ενός προσώπου
και τα στοιχεία βιομετρίας (της γεωμετρίας του προσώπου στην υπό κρίση
περίπτωση) αποτελούν προσωπικά δεδομένα, κατά την έννοια του άρθρου 2 στοιχ. α' του Ν. 2472/1997, καθώς αποτελούν πληροφορίες που
αναφέρονται στο υποκείμενο των δεδομένων. Η επεξεργασία, συνεπώς, φωτογραφικών
και βιομετρικών δεδομένων (της γεωμετρίας του προσώπου) φυσικών προσώπων,
υπόκειται στις ρυθμίσεις του Ν. 2472/1997 για την προστασία του προσώπου από
την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
2. Η διάταξη του άρθρου 4 παρ. 1 στοιχ. β' του
Ν. 2472/1997 προβλέπει ότι «Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν
νόμιμης επεξεργασίας πρέπει :... β) Να είναι συναφή, πρόσφορα, και όχι
περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας».
Η διάταξη αυτή θέτει ως κριτήρια για τη νομιμότητα κάθε επεξεργασίας τις αρχές
της αναγκαιότητας και της αναλογικότητας. Σύμφωνα με την αρχή της
αναγκαιότητας, πρέπει κάθε φορά να εξετάζεται αν η επεξεργασία των
συγκεκριμένων προσωπικών δεδομένων είναι απολύτως αναγκαία για τον επιδιωκόμενο
σκοπό, ο οποίος δεν μπορεί να επιτευχθεί με λιγότερο επαχθή για το πρόσωπο
μέσα, καθώς αυτά έχουν κριθεί ή αποδεικνύονται ανεπαρκή στη συγκεκριμένη
περίπτωση. Η αρχή δε της αναλογικότητας επιβάλλει σε κάθε συγκεκριμένη περίπτωση
να κρίνεται, εάν το συμφέρον του υπευθύνου της επεξεργασίας είναι καταφανώς
υπέρτερο των δικαιωμάτων και των συμφερόντων των προσώπων στα οποία αναφέρονται
τα δεδομένα και ότι επιπλέον δεν θίγονται οι θεμελιώδεις ελευθερίες των
τελευταίων.
3. Το άρθρο 5 παρ. 2 στοιχ. ε' του N. 2472/1997 ορίζει ότι η επεξεργασία δεδομένων προσωπικού
χαρακτήρα χωρίς τη συγκατάθεση των υποκειμένων επιτρέπεται όταν «η
επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος
που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους
ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των
δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και
δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών». Ως υπέρτερο έννομο συμφέρον
του υπεύθυνου επεξεργασίας νοείται και η προστασία αγαθών, όπως έχει ήδη δεχθεί
η Αρχή στην Οδηγία 1122/2000 για τα κλειστά κυκλώματα τηλεόρασης (βλ. άρθρο 1
σημ. 2 της Οδηγίας, ό.π).
4. Το τμήμα Ε, παρ. 3 της οδηγίας 115/2001 της Αρχής για την προστασία
των προσωπικών δεδομένων στο πεδίο των εργασιακών σχέσεων αναφέρει: «Από
την αρχή της αναλογικότητας, όπως αυτή
προβλέπεται στο άρθρο 4 του Ν. 2472/97, η χρήση βιομετρικών μεθόδων για τη
διαπίστωση της ταυτότητας των εργαζομένων και την πρόσβαση στο σύνολο ή τμήμα
των χώρων εργασίας είναι επιτρεπτή μόνο στις περιπτώσεις που αυτό επιβάλλεται
από ιδιαίτερες απαιτήσεις ασφαλείας των
χώρων εργασίας και εφόσον δεν υπάρχει άλλο μέσο για την επίτευξη του σκοπού
αυτού (π.χ. στρατιωτικές εγκαταστάσεις, εργαστήρια υψηλού κινδύνου) . Κατά
συνέπεια, ο υπεύθυνος επεξεργασίας οφείλει να σταθμίζει κάθε φορά αφενός τους
υπάρχοντες κινδύνους, την έκταση των κινδύνων αυτών και τις υπάρχουσες
εναλλακτικές δυνατότητες αντιμετώπισης των κινδύνων και, αφετέρου, τις
προσβολές της ανθρώπινης προσωπικότητας και της ιδιωτικότητας
από τη χρήση τέτοιων μεθόδων.»
5. Στην υπό κρίση περίπτωση ως σκοπός της επεξεργασίας δηλώνεται η
διοίκηση προσωπικού. Στην πραγματικότητα, η εταιρεία αποσκοπεί στην προστασία
των αγαθών της, όπως αυτά περιγράφηκαν στο ιστορικό, μέσω του ελέγχου της
πρόσβασης του προσωπικού στο χώρο. Η εταιρεία έχει έννομο συμφέρον να φροντίσει
τόσο για τον έλεγχο της φυσικής πρόσβασης, όσο και για τον έλεγχο της λογικής
πρόσβασης των χρηστών στα συστήματά της. Με τη συγκεκριμένη επεξεργασία επιδιώκει
να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση υπαλλήλων της και τρίτων σε κρίσιμα
δεδομένα, όπως τραπεζικά ή ασφαλιστικά στοιχεία.
Το μέτρο που έχει επιλέξει, έχει ως
αποτέλεσμα να τυγχάνουν επεξεργασίας
τα βιομετρικά χαρακτηριστικά όλων των υπαλλήλων της, ακόμα και όσων η
ειδικότητα δεν έχει σχέση με την επεξεργασία των κρίσιμων δεδομένων,
καταγράφοντας την είσοδό τους στο χώρο, όχι όμως και τις προσβάσεις στα κρίσιμα
δεδομένα.
6. Η Αρχή κρίνει ότι ο έλεγχος της φυσικής πρόσβασης (της εισόδου στο
χώρο) μπορεί να επιτευχθεί με ηπιότερα μέσα, όπως κάρτα πρόσβασης, χωρίς
βιομετρικά στοιχεία. Οι ιδιαίτερες απαιτήσεις ασφαλείας που επικαλείται ο
υπεύθυνος επεξεργασίας υφίστανται μόνο για συγκεκριμένους χώρους ή εφαρμογές
λογισμικού όπου γίνεται η επεξεργασία των κρίσιμων δεδομένων (server room, χώρος αποθήκευσης
εγγράφων, ηλεκτρομηχανολογικές εγκαταστάσεις κλπ.). Ο υπεύθυνος επεξεργασίας
όμως εισάγει μια επαχθή για τα υποκείμενα επεξεργασία, για όλους τους χώρους
εργασίας, χωρίς να έχει σταθμίσει τις εναλλακτικές δυνατότητες που διαθέτει,
για την απαγόρευση της μη εξουσιοδοτημένης πρόσβασης στα κρίσιμα δεδομένα.
Τούτο θα μπορούσε να επιτευχθεί με την ενίσχυση των μέτρων ασφάλειας μόνο στο
χώρο φύλαξης των δεδομένων, ο οποίος μπορεί να διαχωρισθεί
φυσικά από τον υπόλοιπο χώρο της εταιρείας. Περαιτέρω, πρέπει να ληφθεί υπόψη
ότι η φυσική ασφάλεια δεν αποτελεί το μόνο μέσο ελέγχου της πρόσβασης του
προσωπικού στα συστήματα της εταιρείας. Είναι δυνατό να λαμβάνονται μέτρα για
τη λογική ασφάλεια (ισχυρή αυθεντικοποίηση για την
πρόσβαση στα συστήματα, όπως με τη χρήση κάρτας και κωδικών μιας χρήσης - OTP, περιορισμένα δικαιώματα πρόσβασης κλπ) τα οποία
ενεργούν από κοινού με τα μέτρα φυσικής ασφάλειας για την προστασία των αγαθών
της εταιρείας. Ενόψει των ανωτέρω, η Αρχή διαπιστώνει ότι ο υπεύθυνος
επεξεργασίας συλλέγει περισσότερα δεδομένα απ όσα απαιτούνται για την
ικανοποίηση του σκοπού της επεξεργασίας και επομένως, σύμφωνα με το άρθρο 21
του Ν. 2472/1997, πρέπει να διαταχθεί η διακοπή της επεξεργασίας βιομετρικών
δεδομένων και η καταστροφή των σχετικών δεδομένων.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
1) Αποφαίνεται ότι η επεξεργασία που γνωστοποιήθηκε από τον υπεύθυνο
επεξεργασίας δεν είναι νόμιμη.
2) Επιβάλλει τη διακοπή της επεξεργασίας βιομετρικών δεδομένων και την
καταστροφή των σχετικών δεδομένων.