Ovenstående behandling indebærer behandling af personoplysninger omfattet af databeskyttelsesforordningens[1] artikel 9, stk. 1. I medfør af forordningens artikel 9, stk. 2, litra g, gælder forbuddet mod behandling af følsomme oplysninger ikke, såfremt behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser. I medfør af databeskyttelseslovens[2] § 7, stk. 4, skal Datatilsynet give tilladelse til en sådan behandling, når den ikke foretages for en offentlig myndighed.
Datatilsynet meddeler – efter at sagen har været forelagt Datarådet – hermed Brøndbyernes I.F. Fodbold A/S
TILLADELSE
til behandling af biometriske data i medfør af databeskyttelseslovens § 7, stk. 4,
adgangskontrol ved brug af automatisk ansigtsgenkendelse
Tilladelsen til behandling af biometriske data med det formål entydigt at identificere en fysisk person, ved brug af automatisk ansigtsgenkendelse, gives på følgende vilkår:
- Tilladelsen gælder ved afvikling af fodboldlandskampe, fodboldkampe, herunder træningskampe med deltagelse af hold fra superligaen, 1. og 2. division samt ved fodboldkampe i UEFA-regi på Brøndby Stadion.
- Meddelelse af karantæne skal ske på et sagligt og proportionalt grundlag i forhold til overtrædelse af ordensreglementet for Brøndby IF og Superligaen.
- Personoplysninger, der behandles som led i ansigtsgenkendelsessystemet, der ikke resulterer i et match med oplysninger fra Brøndby IF’s interne karantæneliste, må ikke lagres.
- Personoplysninger, der behandles som led i ansigtsgenkendelsessystemet, der resulterer i et match med oplysninger fra Brøndby IF’s interne karantæneliste, skal slettes umiddelbart efter enhver kamp på Brøndby Stadion
- Brøndby IF skal iagttage oplysningspligten ved indsamling af personoplysninger. Brøndby IF skal desuden ved skiltning eller på anden tydelig måde give oplysning om, at der foretages adgangskontrol, herunder behandling af biometriske data ved brug af et automatisk ansigtsgenkendelsessystem.
- Personoplysninger, der behandles som led i ansigtsgenkendelsessystemet skal transporteres til og opbevares krypteret på serveren med ajourførte og bredt anerkendte krypteringsalgoritmer.
- Overvågningskameraerne skal installeres på et separat VLAN og må ikke være eksponeret mod internettet.
- Brøndby IF skal føre adgangskontrol med ansigtsgenkendelsessystemet, herunder
- autorisation af medarbejdere til betjening af ansigtsgenkendelsessoftwaren og logning af manuelle opslag i systemet,
- anvendelse af to-faktor-godkendelse i log-in processen.
- Eventuelle ændringer i de forhold, der er omfattet af ansøgningen, skal meddeles Datatilsynet.
Ovenstående vilkår gælder indtil videre. Datatilsynet forbeholder sig ret til, at tage vilkår op til revision, hvis der skulle vise sig behov for det.
Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det skal understreges, at de databeskyttelsesretlige regler således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.
Datatilsynet må endvidere forbeholde sig sin stillingtagen i tilfælde af en eventuel klagesag.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)