У цю сучасну епоху, в якій ми живемо сьогодні, все частіше використовують відбитки пальців як засіб ідентифікації, наприклад: розблокування смартфона за допомогою сканування пальцем. Але що з приватним життям, коли воно більше не відбувається в приватній справі, де є свідомий волюнтаризм? Чи може ідентифікація пальців, пов'язаних з роботою, зробити обов'язковою в контексті безпеки? Чи може організація покласти на своїх працівників зобов’язання вручити відбитки пальців, наприклад, доступ до системи безпеки? І як таке зобов’язання стосується правил конфіденційності?
Відбитки пальців як спеціальні особисті дані
Питання, яке ми повинні задати собі тут, полягає в тому, чи застосовується сканування пальцем як персональних даних у значенні Загального регламенту щодо захисту даних. Відбиток пальців - це біометричні особисті дані, які є результатом конкретної технічної обробки фізичних, фізіологічних чи поведінкових особливостей людини. [1] Біометричні дані можна вважати інформацією, що стосується фізичної особи, оскільки це дані, які за своєю природою надають інформацію про конкретну особу. За допомогою біометричних даних, таких як відбиток пальця, особа може бути ідентифікована і її можна відрізнити від іншої людини. У статті 4 GDPR це також прямо підтверджується положеннями про визначення. [2]
Ідентифікація відбитків пальців - це порушення конфіденційності?
Підрайонний суд Amsterdam нещодавно ухвалив рішення про допустимість сканування пальців як системи ідентифікації на основі рівня регулювання безпеки.
Мережа магазинів взуття Manfield використовувала систему авторизації сканування пальців, яка давала працівникам доступ до каси.
За словами Менфілда, використання ідентифікації пальців було єдиним способом отримати доступ до системи касових апаратів. Необхідно було, серед іншого, захистити фінансову інформацію та особисті дані працівників. Інші методи вже не були кваліфікованими та схильні до шахрайства. Один із працівників організації заперечив проти використання її відбитка пальців. Цей метод дозволу вона сприйняла як порушення її приватного життя, посилаючись на статтю 9 GDPR. Згідно з цією статтею, обробка біометричних даних з метою унікальної ідентифікації особи забороняється.
Необхідність
Ця заборона не застосовується, коли обробка необхідна для автентифікації або безпеки. Діловий інтерес Менфілда полягав у запобіганні втраті доходу через шахрайський персонал. Окружний суд відхилив апеляцію роботодавця. Бізнес-інтереси Менфілда не робили систему "необхідною для аутентифікації або безпеки", як це передбачено у розділі 29 Закону про імплементацію GDPR. Звичайно, Менфілд може вільно діяти проти шахрайства, але це не може бути зроблено з порушенням положень GDPR. Крім того, роботодавець не надав своїй компанії жодної іншої форми забезпечення. Проведено недостатнє дослідження альтернативних методів авторизації; подумайте про використання доступу або числового коду, незалежно від того, комбінація це чи ні. Роботодавець не ретельно вимірював переваги та недоліки різних типів систем безпеки і не міг достатньо мотивувати, чому він віддав перевагу конкретній системі сканування пальців. В основному з цієї причини роботодавець не мав законного права вимагати використання системи санкціонування сканування відбитків пальців для своїх працівників на підставі Закону про імплементацію GDPR.
Якщо ви зацікавлені у впровадженні нової системи безпеки, доведеться оцінити, чи дозволені такі системи згідно GDPR та Законом про реалізацію. Якщо є якісь питання, зв'яжіться з юристами за адресою Law & More. Ми відповімо на ваші запитання та надамо вам юридичну допомогу та інформацію.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005