В Испании сеть спортклубов Supera получила штраф в размере 96 тысяч евро за внедрение системы распознавания лиц для контроля доступа посетителей. Решение приняла Испанская агентство по защите данных (AEPD) после того, как в 2023 году потребительская организация Facua обратила внимание на нарушения в обработке персональных данных клиентов.Система биометрического контроля была введена во всех 30 клубах сети, расположенных в 21 городе, включая А Корунью, Аликанте, Альмерию, Бургос, Чиклану-де-ла-Фронтера, Эстепону, Марбелью, Гвадалахару, Леон, Мостолес, Овьедо, Паленсию, Парлу, Ривас-Васьекамадрид, Талаверу-де-ла-Рейна, Вальдеморо, Сантандер, Севилью, Толедо, Валенсию и Вальядолид. Для входа в спортклубы клиенты должны были пройти обязательную процедуру сканирования лица, альтернативных способов доступа не предлагалось.Проверка показала, что компания Sidecu SA, владеющая сетью, нарушила положения Общего регламента по защите данных (GDPR). В частности, речь идет о незаконной обработке биометрических данных без получения явного согласия пользователей. Биометрические данные, такие как изображение лица, относятся к категории особо охраняемых персональных данных, и их обработка допускается только при наличии четко выраженного согласия или других исключительных оснований, предусмотренных законом.В ходе разбирательства выяснилось, что руководство сети ошибочно считало, что шаблоны лиц не подпадают под определение персональных данных. Однако регулятор указал, что такие данные позволяют однозначно идентифицировать человека, а значит, требуют особой защиты. Кроме того, пользователи не могли отказаться от биометрического контроля, поскольку альтернативных способов входа не было, что также нарушает принцип свободы выбора при предоставлении согласия.Изначально сумма штрафа составляла 160 тысяч евро, но после признания нарушения и добровольной оплаты санкция была снижена на 40%. В результате компания заплатила 96 тысяч евро.Этот случай стал одним из самых заметных в Испании в сфере защиты персональных данных за последний год. Эксперты отмечают, что решение AEPD подчеркивает важность соблюдения прав граждан при использовании новых технологий, особенно когда речь идет о биометрических системах. Ведомство напомнило, что обработка подобных данных возможна только при наличии четкого и добровольного согласия, а также при наличии альтернативных вариантов для тех, кто не желает использовать биометрию.Потребительские организации считают, что этот прецедент должен стать сигналом для других компаний, внедряющих цифровые системы идентификации. В ближайшее время ожидается усиление контроля за соблюдением законодательства в этой сфере, особенно в отношении крупных сетей и сервисов, работающих с личной информацией клиентов.
