Bli abonnent
Logg inn

Måtte gi fingeravtrykk for å bade – nå får parkene millionbot

To av Kanariøyenes største fornøyelsesparker krevde at gjestene ga de fingeravtrykket sitt. Det likte det spanske Datatilsynet dårlig. 

ULOVLIG: Siam Park og Loro Parque krevde at gjester la igjen fingeravtrykket sitt for å slippe inn. Det er ulovlig, ifølge det spanske Datatilsynet.
Ansvarlig redaktør
Publisert Sist oppdatert

Alt startet i 2022 da tre kunder klaget til det spanske datatilsynet (AEPD). 

De fortalte at de måtte registrere fingeravtrykk for å bruke «Twin Ticket»-billetter, som gir adgang til begge parkene i løpet av seks måneder. 

Ingen informasjon ble gitt på forhånd om dette kravet, og det fantes heller ingen alternativ løsning for å slippe inn.

Også barn helt ned i treårsalderen skal ha blitt bedt om å legge fingeren på skanneren.

Brudd på GDPR

Da Datatilsynet i Spania skulle se på saken, slo de fast at praksisen er et svært alvorlig brudd på artikkel 9 i EUs personvernforordning (GDPR). 

Dette er forbudt

  • Artikkel 9 i EUs personvernforordning (GDPR) forbyr behandling av «særlige kategorier personopplysninger».

  • Dette gjelder blant annet helseopplysninger, genetiske data – og biometriske data som brukes for å identifisere en person (f.eks. fingeravtrykk, ansiktsgjenkjenning, iris-skanning).

  • Slike data kan bare behandles i helt spesielle tilfeller, for eksempel:

    • hvis den registrerte har gitt et uttrykkelig samtykke,

    • hvis det er nødvendig for viktige samfunnsinteresser (f.eks. helsevesen, sikkerhet),

    • eller hvis det finnes en tydelig hjemmel i loven.

Eierselskapet Kiessling-gruppen forsvarte seg med at systemet ikke lagret selve fingeravtrykket, men bare en matematisk kode som ble kryptert og slettet når billetten utløp. 

De hevdet at opplysningene derfor var anonyme.

Det var ikke det spanske Datatilsynet enige i, ifølge Confilegal

Selv en kryptert mal regnes som biometrisk data så lenge den brukes for å bekrefte en persons identitet, fastslår tilsynet. 

Også på andre billetter

Krav om biometriske data stilte parken også for andre typer billetter, og ikke bare Twin Ticket, ifølge Confilegal. 

I tillegg ble det ved nettkjøp innhentet navn, e-post og telefonnummer.

- Unødvendig inngripende

Datatilsynet mente metoden var unødvendig inngripende, og at selskapet ikke kunne bevise at det ikke fantes enklere alternativer for adgangskontroll.

I tillegg til en bot på 250 000 euro, som tilsvarer nesten tre millioner norske kroner, er Loro Parque og Siam Park pålagt å endre praksisen innen 30 dager.

Tips oss

Har du tips til denne eller andre saker?

Send oss tips
spania biometriske data fornøyelsesparker gdpr nyheter personvern
Powered by Labrador CMS