Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την υπ΄ αριθμ. 74/2009 απόφασή της έκρινε ότι δεν είναι νόμιμη και πρέπει να σταματήσει η επεξεργασία βιομετρικών δεδομένων για την είσοδο εργαζομένων στο χώρο εργασίας της Ανώνυμος Εταιρεία Μηχανογραφικών Υπηρεσιών και Οργάνωσης Εθνοdata. Παράλληλα, η Αρχή διέταξε την εν λόγω εταιρεία να καταστρέψει τα βιομετρικά δεδομένα των εργαζομένων της.
Ειδικότερα, η εταιρεία γνωστοποίησε στην Αρχή την τήρηση αρχείου και επεξεργασίας δεδομένων προσωπικού χαρακτήρα με σκοπό τον έλεγχο των χαρακτηριστικών της γεωμετρίας του προσώπου των εργαζομένων σε αυτήν. Ειδικότερα, η εταιρεία δήλωσε ότι είναι υποχρεωμένη να εξασφαλίσει την ελεγχόμενη και απολύτως ασφαλή πρόσβαση μόνο σε εξουσιοδοτημένους χρήστες στους χώρους και τα συστήματα της εταιρείας. Υποστήριξε ότι με την αξιοποίηση της βιομετρικής τεχνολογίας επιτυγχάνεται η διασφάλιση της επαλήθευσης της ταυτότητας των εργαζομένων, κατά τον έλεγχο πρόσβασής τους στους χώρους της εταιρείας
Σύμφωνα με όσα υποστηρίζει η εν λόγω εταιρεία, το σύστημα προϋποθέτει μια φάση καταγραφής, κατά την οποία οι υπάλληλοι προσέρχονται στο γραφείο έκδοσης αδειών εισόδου και υποβάλλονται στην ανάγνωση από ειδική συσκευή των βιομετρικών τους χαρακτηριστικών. Τα βιομετρικά χαρακτηριστικά αποθηκεύονται σε κεντρική βάση δεδομένων, μαζί με το ονοματεπώνυμό τους, τον κωδικό της μισθοδοσίας και την ημερομηνία έναρξης και λήξης του δικαιώματος πρόσβασης στη βάση δεδομένων του γραφείου προσωπικού. Η εταιρεία υποστήριξε ότι η διαδικασία λήψης των βιομετρικών χαρακτηριστικών έχει ήδη γίνει, με την προσκόμιση φωτογραφίας των εργαζομένων, κατά την πρόσληψή τους. Η εταιρεία, μεταξύ των άλλων, υποστήριξε ότι χρησιμοποιεί τα βιομετρικά δεδομένο για τη είσοδο των εργαζομένων στους χώρους εργασίας, καθώς επεξεργάζεται στοιχεία 200.000 συνταξιούχων, αναπτύσσει λογισμικό για την Εθνική Τράπεζα, κ.λπ.
Η Αρχή, με την απόφασή της, έκρινε ότι ο έλεγχος της εισόδου στο χώρο εργασίας μπορεί να επιτευχθεί με ηπιότερα μέσα, όπως κάρτα πρόσβασης, χωρίς βιομετρικά στοιχεία.
Η εν λόγω εταιρεία, αναφέρει η Αρχή, «εισάγει μια επαχθή για τα υποκείμενα επεξεργασία (σ.σ.: εργαζόμενους), για όλους τους χώρους εργασίας, χωρίς να έχει σταθμίσει τις εναλλακτικές δυνατότητες που διαθέτει, για την απαγόρευση της μη εξουσιοδοτημένης πρόσβασης στα κρίσιμα δεδομένα». Αυτό, συνεχίζει η Αρχή, «θα μπορούσε να επιτευχθεί με την ενίσχυση των μέτρων ασφάλειας μόνο στο χώρο φύλαξης των δεδομένων, ο οποίος μπορεί να διαχωρισθεί φυσικά από τον υπόλοιπο χώρο της εταιρείας».
Ενόψει των ανωτέρω, η Αρχή έκρινε ότι η εταιρεία συλλέγει περισσότερα δεδομένα απ’ όσα απαιτούνται για την ικανοποίηση του σκοπού της επεξεργασίας και επομένως, σύμφωνα με το άρθρο 21 του Ν. 2472/1997, πρέπει να διαταχθεί η διακοπή της επεξεργασίας βιομετρικών δεδομένων και η καταστροφή των σχετικών δεδομένων.
