Νόμιμη αλλά υπό συγκεκριμένες προϋποθέσεις έκρινε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τη λειτουργία πιλοτικού βιομετρικού συστήματος ελέγχου πρόσβασης σε κρίσιμες εγκαταστάσεις του διεθνούς αερολιμένα «Μακεδονία» στη Θεσσαλονίκη.
Με τη χρήση της συγκεκριμένης μεθόδου, όπως αναφέρεται στην απόφαση της Αρχής, επιτυγχάνεται η αναγνώριση των ατόμων αποκλειστικά μέσω των βιομετρικών τους ταυτοτήτων, χωρίς να απαιτείται η διατήρηση των πραγματικών βιομετρικών αποτυπωμάτων τους.
Η λειτουργία του βιομετρικού συστήματος για ένα μήνα στο αεροδρόμιο «Μακεδονία» θα γίνει με σκοπό την πιλοτική δοκιμή του σε πραγματικές συνθήκες (εκτός εργαστηρίου).
Τα δεδομένα του βιομετρικού συστήματος θα τηρηθούν μέχρι την περάτωση του έργου και την τελική έγκρισή του από την Ευρωπαϊκή Επιτροπή (Ιούνιος 2011).
Η Αρχή έκρινε ότι η εγκατάσταση του εν λόγω βιομετρικού συστήματος αποκλειστικά για ερευνητικούς σκοπούς δεν αντίκειται στις διατάξεις του ν. 2472/1997, εφόσον:
1. Η κατασκευάστρια εταιρεία αναθεωρήσει το υφιστάμενο έντυπο ενημέρωσης και λήψης συγκατάθεσης των εθελοντών και αναφέρει ρητά τις κατηγορίες προσωπικών δεδομένων που υφίστανται επεξεργασία.
2. Αναπτύξει πολιτική ασφάλειας για τη διαδικασία τήρησης των δεδομένων στο πλαίσιο λειτουργίας του πιλοτικού βιομετρικού συστήματος και ενημερώσει σχετικά την Αρχή εντός τριών μηνών.
3. Ενημερώσει την Αρχή για την καταστροφή των δεδομένων που τηρούνται στο πλαίσιο του βιομετρικού συστήματος μετά το ένα έτος που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας.
Η ενημέρωση πρέπει να γίνει εντός 15 ημερών από την πραγματοποίησή της, επισυνάπτοντας και το σχετικό πρωτόκολλο καταστροφής.
Ακόμη, η Αρχή αναφέρει ότι απαγορεύεται η διατήρηση των πρωτογενών βιομετρικών δεδομένων που θα προκύψουν από τις δοκιμές σε κεντρική βάση, όπως επίσης απαγορεύεται η οποιαδήποτε επέκταση λειτουργιών ή άλλη τεχνική αλλαγή ή αλλαγή διαδικασιών σχετικά με την εφαρμογή και λειτουργία του βιομετρικού συστήματος, χωρίς προηγούμενη ενημέρωση και έγκριση της Αρχής.
