Агентство по защите данных Испании (AEPD) назначило крупнейшему оператору аэропорта страны Aena штраф в 10,04 млн евро. Причина — внедрение систем распознавания лица без корректной оценки воздействия на защиту данных. Проект остановлен до завершения полноценной проверки рисков и соответствия GDPR.
Агентство по защите данных Испании оштрафовало Aena, оператора большинства аэропортов страны, за запуск технологии распознавания лиц в восьми терминалах без валидной оценки воздействия на защиту данных (EIPD). По версии регулятора, компания начала обработку биометрических данных высокого риска без обязательного предварительного анализа, прямо требуемого статьёй 35 GDPR.
Почему AEPD признала систему нарушающей нормы
Согласно опубликованной резолюции, пилотный проект, запущенный ещё в 2019 году в аэропорту Менорки, не содержал полноценного анализа рисков, обоснования необходимости идентификации формата 1:N и проверки наличия менее инвазивных альтернатив. В ходе последующих проверок AEPD установила, что обновлённые документы также не достигали уровня, предусмотренного европейскими стандартами.
Регулятор указал, что система собирала данные в объёме большем, чем требуется: изображения лиц, биометрические шаблоны, полные данные документов и информацию с посадочных талонов. Такой объём информации, подчеркнули в AEPD, существенно повышает риски для прав пассажиров. Кроме того, комитет европейских регуляторов в своих выводах (Dictamen 11/2024) отмечал, что подобные технологии в большинстве случаев не проходят тест на необходимость и пропорциональность.
Как Aena отвечает на обвинения
Компания заявила, что не согласна с выводами регулятора и уже готовит обжалование. По версии Aena, оценка воздействия была проведена до начала пилотного запуска, а все данные обрабатывались безопасно и своевременно удалялись в соответствии с правилами. В Aena утверждают, что не произошло ни одной утечки и что участие пассажиров было добровольным и информированным.
«Система работала безопасно, а обработка данных — строго в рамках законодательства», — подчеркнули в компании.
Тем не менее Aena оставила проект замороженным ещё летом 2024 года и сможет вернуться к его использованию только после подготовки корректной, полностью соответствующей нормам GDPR оценки воздействия.
Сейчас у компании есть месяц на подачу административного обжалования или два месяца на обращение в Национальный суд Испании. В Aena отмечают, что технологию планируют пересмотреть и модернизировать, чтобы в дальнейшем ускорить процессы досмотра и посадки в аэропортах без нарушения прав пассажиров.
Почему это важно: штраф стал одним из крупнейших в испанской практике GDPR и усилил давление на компании, использующие биометрию в реальном секторе. Рынку придётся пересматривать подходы к цифровой идентификации и доказывать её необходимость, прежде чем внедрять масштабные проекты.
