Отпечатък в нарушение на GDPR

В тази модерна епоха, в която живеем днес, все по-често се използват пръстови отпечатъци като средство за идентификация, например: отключване на смартфон с сканиране с пръст. Но какво да кажем за неприкосновеността на личния живот, когато той вече не се провежда в частен въпрос, в който има съзнателен волюнтаризъм? Може ли идентифицирането на пръста, свързано с работата, да стане задължително в контекста на сигурността? Може ли организация да наложи задължение на служителите си да предадат пръстовите си отпечатъци, например за достъп до система за сигурност? И как такова задължение се свързва с правилата за поверителност?

Отпечатък в нарушение на GDPR

Отпечатъци като специални лични данни

Въпросът, който трябва да си зададем тук, е дали сканирането на пръста се прилага като лични данни по смисъла на Общия регламент за защита на данните. Отпечатъкът е биометрични лични данни, които са резултат от специфична техническа обработка на физическите, физиологичните или поведенческите характеристики на дадено лице.[1] Биометричните данни могат да се считат за информация, свързана с физическо лице, тъй като те са данни, които по своето естество предоставят информация за конкретно лице. Чрез биометрични данни, като пръстов отпечатък, лицето се идентифицира и може да се разграничи от друго лице. В член 4 GDPR това се потвърждава изрично и от разпоредбите за дефиниция.[2]

Идентификацията на пръстови отпечатъци е нарушение на поверителността?

Наскоро подсекторният съд в Амстердам се произнесе относно допустимостта на сканиране с пръст като система за идентификация, основана на нивото на регулиране на безопасността.

Веригата магазини за обувки Manfield използва система за разрешаване на сканиране с пръст, която дава на служителите достъп до касов апарат.

Според Манфийлд използването на идентификация на пръстите е било единственият начин да се получи достъп до системата на касовите апарати. Наред с другото беше необходимо да се защити финансовата информация и личните данни на служителите. Други методи вече не са били квалифицирани и са податливи на измами. Един от служителите на организацията възрази срещу използването на нейния пръстов отпечатък. Тя прие този метод на разрешение като нарушение на неприкосновеността на личния живот, позовавайки се на член 9 от GDPR. Според тази статия обработката на биометрични данни с цел уникалната идентификация на дадено лице е забранена.

необходимост

Тази забрана не се прилага, когато обработката е необходима за удостоверяване или за сигурност. Бизнес интересът на Manfield е да предотврати загуба на приходи поради измамен персонал. Подрайонният съд отхвърли жалбата на работодателя. Бизнес интересите на Manfield не правят системата „необходима за удостоверяване или за сигурност“, както е предвидено в раздел 29 от Закона за прилагане на ОРЗД. Разбира се, Manfield е свободен да действа срещу измами, но това не може да бъде направено в нарушение на разпоредбите на GDPR. Освен това работодателят не е предоставил на компанията си друга форма на сигурност. Не бяха проведени достатъчно изследвания на алтернативни методи за разрешаване; помислете за използването на пропуск за достъп или цифров код, независимо дали е комбинация от двете. Работодателят не беше внимателно измерил предимствата и недостатъците на различните видове системи за сигурност и не можа да мотивира достатъчно защо предпочита конкретна система за сканиране на пръсти. Основно поради тази причина, работодателят няма законното право да изисква използването на системата за оторизация за сканиране на пръстови отпечатъци на неговия персонал въз основа на Закона за прилагане на ОРЗД.

Ако се интересувате от въвеждането на нова система за сигурност, ще трябва да се прецени дали тези системи са разрешени съгласно GDPR и Закона за прилагане. Ако има въпроси, моля, свържете се с адвокатите на адрес Law & More, Ние ще отговорим на вашите въпроси и ще ви предоставим правна помощ и информация.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Сподели