Отпечатък в нарушение на GDPR

В тази модерна епоха, в която живеем днес, все по-често се използват пръстови отпечатъци като средство за идентификация, например: отключване на смартфон с сканиране с пръст. Но какво да кажем за неприкосновеността на личния живот, когато той вече не се провежда в частен въпрос, в който има съзнателен волюнтаризъм? Може ли идентифицирането на пръста, свързано с работата, да стане задължително в контекста на сигурността? Може ли организация да наложи задължение на служителите си да предадат пръстовите си отпечатъци, например за достъп до система за сигурност? И как такова задължение се свързва с правилата за поверителност?

Отпечатък в нарушение на GDPR

Отпечатъци като специални лични данни

Въпросът, който трябва да си зададем тук, е дали сканирането с пръст се прилага като лични данни по смисъла на Общия регламент за защита на данните. Отпечатъкът е биометрични лични данни, които са резултат от специфична техническа обработка на физическите, физиологичните или поведенческите характеристики на човек.[1] Биометричните данни могат да се считат за информация, свързана с физическо лице, тъй като те са данни, които по своето естество предоставят информация за конкретно лице. Чрез биометрични данни, като пръстов отпечатък, лицето се идентифицира и може да се разграничи от друго лице. В член 4 GDPR това се потвърждава изрично и от разпоредбите за дефиниция.[2]

Идентификацията на пръстови отпечатъци е нарушение на поверителността?

Наскоро подсекторният съд в Амстердам се произнесе относно допустимостта на сканиране с пръст като система за идентификация, основана на нивото на регулиране на безопасността.

Веригата магазини за обувки Manfield използва система за разрешаване на сканиране с пръст, която дава на служителите достъп до касов апарат.

Според Манфийлд използването на идентификация на пръстите е било единственият начин да се получи достъп до системата на касовите апарати. Наред с другото беше необходимо да се защити финансовата информация и личните данни на служителите. Други методи вече не са били квалифицирани и са податливи на измами. Един от служителите на организацията възрази срещу използването на нейния пръстов отпечатък. Тя прие този метод на разрешение като нарушение на неприкосновеността на личния живот, позовавайки се на член 9 от GDPR. Според тази статия обработката на биометрични данни с цел уникалната идентификация на дадено лице е забранена.

необходимост

Тази забрана не се прилага, когато обработката е необходима с цел удостоверяване или сигурност. Бизнес интересът на Manfield беше да предотврати загубата на приходи поради измама с персонал. Подрайонният съд отхвърли жалбата на работодателя. Бизнес интересите на Manfield не направиха системата „необходима за автентификация или сигурност“, както е предвидено в раздел 29 от Закона за прилагане на GDPR. Разбира се, Manfield е свободен да действа срещу измама, но това може да не се прави в нарушение на разпоредбите на GDPR. Освен това работодателят не е предоставил на компанията си никаква друга форма на сигурност. Не са проведени недостатъчни изследвания на алтернативни методи за разрешаване; помислете за използването на пропуск за достъп или цифров код, независимо дали е комбинация от двете. Работодателят не е преценил внимателно предимствата и недостатъците на различните видове системи за сигурност и не можеше достатъчно да мотивира защо предпочита конкретна система за сканиране на пръсти. Главно поради тази причина работодателят няма законното право да изисква използването на системата за разрешаване на сканиране на пръстови отпечатъци на своите служители въз основа на Закона за прилагане на GDPR.

Ако се интересувате от въвеждането на нова система за сигурност, ще трябва да се прецени дали тези системи са разрешени съгласно GDPR и Закона за прилагане. Ако има въпроси, моля, свържете се с адвокатите на адрес Law & More, Ние ще отговорим на вашите въпроси и ще ви предоставим правна помощ и информация.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Share