В Испании оштрафовали за сбор биометрических персональных данных
Управление по защите персональных данных Испании (AEPD) оштрафовало компанию Yoti на 1,1 млн долларов за нарушение обработки биометрических персональных данных.
Yoti — британская компания, занимается технологиями цифровой идентификации.
Регулятор постановил, что Yoti нарушила три пункта регламента ЕС по защите данных (GDPR) в своем приложении для цифровой идентификации.
Решение отражает противоречие между тем, как биометрические персональные данные используются на практике и их определением как «данных особой категории» в соответствии с GDPR.
Предметом спора является порядок получения согласия субъекта данных, обязательство удаления изображения лица сразу после его обработки и наличие у компании самих оснований для обработки биометрических персональных данных.
В декабре 2023 года было решено начать расследование.
В итоговом заявлении регулятора отмечено:
- отсутствие информации о разнице обработки персональных данных несовершеннолетних в возрасте от 13 лет от обработки данных взрослых, поскольку биометрические данные обрабатываются на основании подтверждения пользователем своего совершеннолетия.
- пользователи приложения Yoti по умолчанию дают согласие на использование своих биометрических персональных данных в исследованиях и разработках.
- приложение позволяет пользователям дать согласие с политикой конфиденциальности, не ознакомившись с самой политикой.
Регулятор также заявил, что хранение биометрических персональных данных, предоставленных при открытии счета, для последующего использования при взыскании задолженности, является чрезмерным и неоправданным.
Такое же мнение высказано в отношении данных о геолокации, которые сейчас хранятся компанией в течение пяти лет.
Регулятор также возражает против хранения компанией поддельных ID для обучения своего программного обеспечения и против хранения видеозаписей, используемых для проверки «liveness detection» («обнаружения живости»), в течение 30 дней.
Таким образом, AEPD пришел к выводу, что компания Yoti нарушила три статьи GDPR (избыточное хранение данных, согласие на обработку, незаконная обработка) и наложила штрафы в размере 250 тыс. евро, 200 тыс. евро и 500 тыс. евро (суммарно около 1,1 млн долларов).
Yoti обязана в течение шести месяцев устранить выявленные нарушения и показать, что обработка биометрических персональных данных соответствует GDPR. В свою очередь, сама компания нарушения не признала и собирается оспорить решение в Верховном суде Испании.