Ali skeniranje prstnih odtisov krši pravila GDPR?
V tej moderni dobi, v kateri živimo danes, je vse pogostejša uporaba prstnih odtisov kot sredstva za identifikacijo, na primer: odklepanje pametnega telefona s skeniranjem prstov. Kaj pa zasebnost, ko se ne dogaja več v zasebni stvari, kjer obstaja zavestni volonterizem? Ali je mogoče prepoznavanje prstov, povezanih z delom, zaradi varnosti postati obvezno? Ali lahko organizacija svojim zaposlenim naloži obveznost, da jim dajo prstne odtise, na primer za dostop do varnostnega sistema? In kako se taka obveznost nanaša na pravila o zasebnosti?
Prstni odtisi kot posebni osebni podatki
Vprašanje, ki bi si ga morali zastaviti tukaj, je, ali skeniranje prstov velja za osebne podatke v smislu splošne uredbe o varstvu podatkov. Prstni odtis je biometrični osebni podatek, ki je rezultat posebne tehnične obdelave fizičnih, fizioloških ali vedenjskih značilnosti osebe. [1] Biometrične podatke lahko obravnavamo kot informacije, ki se nanašajo na fizično osebo, saj gre za podatke, ki po svoji naravi zagotavljajo informacije o določeni osebi. Z biometričnimi podatki, kot je prstni odtis, je oseba prepoznavna in jo je mogoče ločiti od druge osebe. V členu 4 GDPR to izrecno potrjujejo tudi določbe o opredelitvi. [2]
Prepoznavanje prstnih odtisov je kršitev zasebnosti?
Podokrožno sodišče Amsterdam nedavno odločil o dopustnosti skeniranja prstov kot identifikacijskega sistema, ki temelji na ravni varnostnih predpisov.
Manfilova veriga trgovin s čevlji je uporabljala sistem avtorizacije skeniranja prstov, ki je zaposlenim omogočil dostop do blagajne.
Po mnenju Manfielda je bila uporaba identifikacije s prsti edini način za dostop do sistema blagajne. Med drugim je bilo treba zaščititi finančne podatke in osebne podatke zaposlenih. Druge metode niso bile več usposobljene in dovzetne za goljufije. Ena od uslužbencev organizacije je nasprotovala uporabi njenega prstnega odtisa. Ta način odobritve je sprejela kot kršitev svoje zasebnosti in se sklicevala na 9. člen GDPR. V skladu s tem členom je obdelava biometričnih podatkov z namenom enolične identifikacije osebe prepovedana.
potreba
Ta prepoved ne velja, kadar je obdelava potrebna za preverjanje pristnosti ali varnostne namene. Manfieldov poslovni interes je bil preprečiti izgubo prihodkov zaradi goljufivega osebja. Podokrožno sodišče je zavrnilo pritožbo delodajalca. Zaradi Manfieldovih poslovnih interesov sistem ni bil "potreben za avtentikacijo ali varnostne namene", kot je določeno v 29. členu zakona o izvajanju GDPR.
Seveda lahko Manfield ukrepa proti goljufijam, vendar to ne sme storiti v nasprotju z določbami GDPR. Poleg tega delodajalec svojemu podjetju ni zagotovil nobene druge oblike varnosti. Opravljenih je bilo premalo raziskav o alternativnih metodah avtorizacije; pomislite na uporabo dostopne karte ali številčne kode, ne glede na to, ali je kombinacija obojega ali ne.
Delodajalec ni skrbno izmeril prednosti in slabosti različnih vrst varnostnih sistemov in ni mogel dovolj utemeljiti, zakaj se je odločil za določen sistem za skeniranje prstnih odtisov. Predvsem iz tega razloga delodajalec ni imel zakonske pravice, da bi od svojih zaposlenih zahteval uporabo avtorizacijskega sistema skeniranja prstnih odtisov na podlagi zakona o izvajanju GDPR.
Če vas zanima uvedba novega varnostnega sistema, boste morali presoditi, ali so takšni sistemi dovoljeni z GDPR in izvedbenim zakonom. Če imate kakršna koli vprašanja, se obrnite na odvetnike na zakon & Več. Odgovorili vam bomo na vaša vprašanja in vam zagotovili pravna pomoč in informacije.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005
