Prstni odtis, ki krši GDPR

V tej moderni dobi, v kateri živimo danes, je vse pogostejša uporaba prstnih odtisov kot sredstva za identifikacijo, na primer: odklepanje pametnega telefona s skeniranjem prstov. Kaj pa zasebnost, ko se ne dogaja več v zasebni stvari, kjer obstaja zavestni volonterizem? Ali je mogoče prepoznavanje prstov, povezanih z delom, zaradi varnosti postati obvezno? Ali lahko organizacija svojim zaposlenim naloži obveznost, da jim dajo prstne odtise, na primer za dostop do varnostnega sistema? In kako se taka obveznost nanaša na pravila o zasebnosti?

Prstni odtis, ki krši GDPR

Prstni odtisi kot posebni osebni podatki

Vprašanje, ki bi si ga morali zastaviti tukaj, je, ali skeniranje prstov velja za osebne podatke v smislu splošne uredbe o varstvu podatkov. Prstni odtis je biometrični osebni podatek, ki je rezultat posebne tehnične obdelave fizičnih, fizioloških ali vedenjskih značilnosti osebe.[1] Biometrični podatki se lahko štejejo za informacije, ki se nanašajo na fizično osebo, saj gre za podatke, ki po svoji naravi zagotavljajo informacije o določeni osebi. Z biometričnimi podatki, kot je prstni odtis, je oseba prepoznavna in jo je mogoče razlikovati od druge osebe. V členu 4 GDPR to tudi izrecno potrjujejo določbe o opredelitvi.[2]

Prepoznavanje prstnih odtisov je kršitev zasebnosti?

Pododdržavno sodišče Amsterdam je nedavno razsodilo o dopustnosti skeniranja prstov kot identifikacijskega sistema, ki temelji na ravni varnosti.

Manfilova veriga trgovin s čevlji je uporabljala sistem avtorizacije skeniranja prstov, ki je zaposlenim omogočil dostop do blagajne.

Po mnenju Manfielda je bila uporaba identifikacije s prsti edini način za dostop do sistema blagajne. Med drugim je bilo treba zaščititi finančne podatke in osebne podatke zaposlenih. Druge metode niso bile več usposobljene in dovzetne za goljufije. Ena od uslužbencev organizacije je nasprotovala uporabi njenega prstnega odtisa. Ta način odobritve je sprejela kot kršitev svoje zasebnosti in se sklicevala na 9. člen GDPR. V skladu s tem členom je obdelava biometričnih podatkov z namenom enolične identifikacije osebe prepovedana.

potreba

Ta prepoved ne velja, kadar je obdelava potrebna zaradi preverjanja pristnosti ali varnosti. Manfieldov poslovni interes je bil preprečiti izgubo prihodkov zaradi goljufivih uslužbencev. Podokrožno sodišče je pritožbo delodajalca zavrnilo. Manfieldovi poslovni interesi niso naredili sistema „potrebnega za preverjanje pristnosti ali varnostne namene“, kot določa 29. člen zakona o izvajanju GDPR. Seveda lahko Manfield svobodno deluje proti goljufijam, vendar tega ne sme storiti v nasprotju z določbami GDPR. Poleg tega delodajalec svojemu podjetju ni zagotovil nobene druge oblike zavarovanja. Izvedene so bile premalo raziskav o alternativnih metodah odobritve; pomislite na uporabo dostopne gesla ali številčne kode, ne glede na to, ali gre za kombinacijo obeh. Delodajalec ni natančno izmeril prednosti in slabosti različnih vrst varnostnih sistemov in ni mogel dovolj motivirati, zakaj je raje imel določen sistem za skeniranje prstov. Predvsem iz tega razloga delodajalec ni imel zakonske pravice zahtevati uporabe sistema pooblastila za skeniranje prstnih odtisov pri svojem osebju na podlagi zakona o izvajanju GDPR.

Če vas zanima uvedba novega varnostnega sistema, boste morali presoditi, ali so takšni sistemi dovoljeni z GDPR in izvedbenim zakonom. Če imate kakršna koli vprašanja, se obrnite na odvetnike na Law & More. Odgovorili bomo na vaša vprašanja in vam zagotovili pravno pomoč in informacije.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Delite