Den österrikiska dataskyddsmyndigheten Datenschutzbehörde (DSB) anser att en skidliftsoperatör får ta bilder av sina kunder varje gång de passerar tillträdeskontrollerna till skidliftarna för att manuellt kontrollera om kunderna olagligt överför sina biljetter till tredje person.
Av beslutet framgår att den personuppgiftsansvarige driver en skidlifttjänst i en skidort i Österrike. När en innehavare av en dags- eller flerdagsbiljett passerar genom tillträdeskontrollerna för första gången tar skidliftsoperatören ett första foto av användaren. Därefter tas ytterligare ett foto varje gång användaren passerar en tillträdeskontroll som jämförs med det första fotot av en behörig anställd hos skidliftsoperatören för att kontrollera om biljettinnehavaren har överfört sin biljett till en tredje person, något som är förbjudet enligt villkoren för tjänsten. Det första fotot raderas när biljetten har gått ut, medan det andra fotot raderas 30 minuter efter att användaren passerat en viss kontrollpunkt.
I det aktuella fallet använde den registrerade skidliftsoperatörens tjänst under perioden 27-29 december 2019. Den 7 januari 2020 lämnade den registrerade in ett klagomål till DSB där han hävdade att skidliftsoperatörens agerande var olagligt eftersom inget samtycke lämnats av användaren. Skidliftsoperatören svarade med att bolaget inte förlitade sig på samtycke utan på deras berättigade intresse av att kontrollera om en kund bryter mot villkoren genom att överföra biljetten till en tredje person.
DSB avvisade klagomålet eftersom skidliftsoperatörens agerande var berättigat enligt artikel 6.1 (f) i dataskyddsförordningen (GDPR). Enligt DSB var skidliftsoperatörens intresse av att kontrollera om den registrerade brutit mot villkoren berättigat och att det inte åsidosattes av den registrerades intressen av dataskydd. Genom att hänvisa till mening 3 i skäl 51 i dataskyddsförordningen konstaterade DSB att de foton som togs av den registrerade inte utgjorde biometriska uppgifter enligt artikel 9.1 GDPR eftersom de inte var resultatet av “specifik teknisk behandling”, vilket krävs enligt artikel 4.14 GDPR, utan snarare används för att manuellt kontrollera kundens identitet. Vidare ansåg DSB att de åtgärder som skidliftsoperatören vidtagit inte är ovanliga nuförtiden och att den registrerade därför rimligen kunde ha förväntat sig fotograferingen (jämför första meningen i skäl 47 i dataskyddsförordningen).