Відбитки пальців з порушенням GDPR

У цю сучасну епоху, в якій ми живемо сьогодні, все частіше використовують відбитки пальців як засіб ідентифікації, наприклад: розблокування смартфона за допомогою сканування пальцем. Але що з приватним життям, коли воно більше не відбувається в приватній справі, де є свідомий волюнтаризм? Чи може ідентифікація пальців, пов'язаних з роботою, зробити обов'язковою в контексті безпеки? Чи може організація покласти на своїх працівників зобов’язання вручити відбитки пальців, наприклад, доступ до системи безпеки? І як таке зобов’язання стосується правил конфіденційності?

Відбитки пальців з порушенням GDPR

Відбитки пальців як спеціальні особисті дані

Питання, яке ми повинні задати собі тут, полягає в тому, чи застосовується сканування пальцем як персональних даних у значенні Загального регламенту щодо захисту даних. Відбиток пальців - це біометричні особисті дані, які є результатом конкретної технічної обробки фізичних, фізіологічних чи поведінкових особливостей людини.[1] Біометричні дані можуть розглядатися як інформація, що стосується фізичної особи, оскільки це дані, які за своєю природою надають інформацію про конкретну особу. За допомогою біометричних даних, таких як відбиток пальця, особа може бути ідентифікована і її можна відрізнити від іншої людини. У статті 4 GDPR це також прямо підтверджується положеннями про визначення.[2]

Ідентифікація відбитків пальців - це порушення конфіденційності?

Нещодавно Субрайонний суд Амстердама постановив про допустимість сканування пальців як системи ідентифікації на основі рівня безпеки.

Мережа магазинів взуття Manfield використовувала систему авторизації сканування пальців, яка давала працівникам доступ до каси.

За словами Менфілда, використання ідентифікації пальців було єдиним способом отримати доступ до системи касових апаратів. Необхідно було, серед іншого, захистити фінансову інформацію та особисті дані працівників. Інші методи вже не були кваліфікованими та схильні до шахрайства. Один із працівників організації заперечив проти використання її відбитка пальців. Цей спосіб дозволу вона сприйняла як порушення її приватного життя, посилаючись на статтю 9 GDPR. Відповідно до цієї статті обробка біометричних даних з метою унікальної ідентифікації особи забороняється.

Необхідність

Ця заборона не застосовується, коли обробка необхідна для автентифікації або безпеки. Бізнес-інтерес Менфілда полягав у запобіганні втрати доходу через шахрайських кадрів. Субрайонний суд відхилив апеляцію роботодавця. Ділові інтереси Менфілда не зробили систему «необхідною для автентифікації або безпеки», як це передбачено в розділі 29 Закону про реалізацію GDPR. Звичайно, Менфілд вільний діяти проти шахрайства, але це може бути зроблено не з порушенням положень GDPR. Крім того, роботодавець не надав своїй компанії жодної іншої форми забезпечення. Не було проведено недостатнього дослідження альтернативних методів дозволу; подумайте про використання пропускного доступу або числового коду, незалежно від того, поєднання обох. Роботодавець ретельно не вимірював переваги та недоліки різних типів систем безпеки і не міг достатньо мотивувати, чому він надає перевагу конкретній системі сканування пальців. В основному з цієї причини роботодавець не мав законного права вимагати використання системи дозволу сканування відбитків пальців для своїх співробітників на підставі Закону про реалізацію GDPR.

Якщо ви зацікавлені у впровадженні нової системи безпеки, доведеться оцінити, чи дозволені такі системи згідно GDPR та Законом про реалізацію. Якщо є якісь питання, зв'яжіться з юристами за адресою Law & More. Ми відповімо на ваші запитання та надамо вам юридичну допомогу та інформацію.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

частка