Šiuolaikiniame amžiuje, kuriame mes gyvename šiandien, vis dažniau įprasta naudoti pirštų atspaudus kaip atpažinimo priemonę, pavyzdžiui: atrakinti išmanųjį telefoną pirštu. O kaip su privatumu, kai tai nebevyksta asmeniniame reikale, kur egzistuoja sąmoningas savanoriškumas? Ar dėl darbo pirštų identifikavimas gali būti privalomas saugumo sumetimais? Ar organizacija gali įpareigoti savo darbuotojus paimti pirštų atspaudus, pavyzdžiui, norint patekti į apsaugos sistemą? Ir kaip toks įpareigojimas susijęs su privatumo taisyklėmis?
Pirštų atspaudai kaip specialūs asmens duomenys
Čia turėtume sau užduoti klausimą, ar pirštų nuskaitymas taikomas kaip asmens duomenys, kaip apibrėžta Bendrajame duomenų apsaugos reglamente. Pirštų atspaudai yra biometriniai asmens duomenys, kurie yra konkretaus techninio asmens fizinių, fiziologinių ar elgesio ypatybių apdorojimo rezultatas. [1] Biometriniai duomenys gali būti laikomi informacija apie fizinį asmenį, nes tai yra duomenys, kurie pagal savo pobūdį teikia informaciją apie konkretų asmenį. Naudojant biometrinius duomenis, pvz., Pirštų atspaudus, asmuo gali būti atpažįstamas ir gali būti atskiriamas nuo kito asmens. BDAR 4 straipsnyje tai taip pat aiškiai patvirtinama apibrėžimo nuostatomis. [2]
Pirštų atspaudų identifikavimas yra privatumo pažeidimas?
Apygardos teismas Amsterdam neseniai priėmė sprendimą dėl pirštų skenavimo kaip identifikavimo sistemos, pagrįstos saugos reguliavimo lygiu, priimtinumo.
Batų parduotuvių tinklas „Manfield“ naudojo pirštų nuskaitymo leidimų sistemą, kuri darbuotojams suteikė prieigą prie kasos.
Pasak Manfieldo, pirštų identifikavimas buvo vienintelis būdas patekti į kasos sistemą. Tai, be kita ko, buvo būtina apsaugoti darbuotojų finansinę informaciją ir asmens duomenis. Kiti metodai nebebuvo kvalifikuoti ir nebuvo linkę sukčiauti. Viena iš organizacijos darbuotojų prieštaravo jos pirštų atspaudų naudojimui. Šį autorizacijos metodą ji suprato kaip savo privatumo pažeidimą, remdamasi GDPR 9 straipsniu. Pagal šį straipsnį draudžiama tvarkyti biometrinius duomenis, siekiant unikalaus asmens identifikavimo.
būtinybė
Šis draudimas netaikomas, kai apdorojimas reikalingas tapatybės patvirtinimo ar saugumo tikslais. „Manfield“ verslo interesas buvo užkirsti kelią pajamų praradimui dėl apgaulingo personalo. Apygardos teismas atmetė darbdavio apeliaciją. „Manfield“ verslo interesai nepadarė sistemos „reikalinga tapatybės patvirtinimo ar saugumo tikslais“, kaip numatyta GDPR įgyvendinimo įstatymo 29 straipsnyje. Žinoma, „Manfield“ gali laisvai veikti prieš sukčiavimą, tačiau tai gali būti padaryta ne pažeidžiant GDPR nuostatas. Be to, darbdavys nepateikė savo įmonei jokios kitos garantijos. Buvo atlikta nepakankama alternatyvių autorizacijos metodų analizė; pagalvokite apie prieigos leidimo ar skaitmeninio kodo naudojimą, nesvarbu, ar jie abu, ar ne. Darbdavys nebuvo kruopščiai matavęs įvairių tipų apsaugos sistemų privalumų ir trūkumų ir negalėjo pakankamai motyvuoti, kodėl pirmenybę teikė konkrečiai pirštų nuskaitymo sistemai. Iš esmės dėl šios priežasties darbdavys neturėjo teisinės teisės reikalauti, kad jo darbuotojai naudotų pirštų atspaudų nuskaitymo leidimų sistemą, remdamiesi GDPR įgyvendinimo įstatymu.
Jei jus domina naujos apsaugos sistemos įdiegimas, reikės įvertinti, ar tokios sistemos yra leidžiamos pagal GDPR ir Įgyvendinimo įstatymą. Jei kiltų klausimų, susisiekite su teisininkais šiuo adresu: Law & More. Atsakysime į jūsų klausimus ir suteiksime teisinę pagalbą bei informaciją.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005