Den litauiska tillsynsmyndigheten för dataskydd, Valstybinė duomenų apsaugos inspekcija (“VDAI”), har bötfällt UAB VS FITNESS med 20 000 euro för brott mot artiklarna 5.1 (a), (c), 9.1, 13.1-2, 30 och 35.1 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att VDAI tagit emot ett klagomål från en person som uppgett att VS FITNESS krävt att medlemmar lämnar sitt fingeravtryck för att använda tjänsterna på fitnessklubben. VDAI inledde därför en granskning av VS FITNESS. Granskningen visade bland annat att kundernas samtycke till att VS FITNESS fick använda deras fingeravtryck för att komma in på anläggningen inte var frivilligt eftersom det inte fanns några alternativa identifieringsmöjligheter. Därutöver ansåg VDAI att VS FITNESS olagligt behandlat anställdas fingeravtryck och att VS FITNESS misslyckats med att ange ändamålen och på vilken rättslig grund företaget behandlat de anställdas biometriska uppgifter. Vidare har VS FITNESS inte genomfört en konsekvensbedömning avseende dataskydd för personuppgiftsbehandlingen, eller kunnat visa nödvändigheten och proportionaliteten i behandlingen av de anställdas fingeravtryck. Enligt VDAI har även VS FITNESS inte uppfyllt sina informationsskyldigheter enligt GDPR.