Piršto atspaudas pažeidžiant GDPR

Šiuolaikiniame amžiuje, kuriame mes gyvename šiandien, vis dažniau įprasta naudoti pirštų atspaudus kaip atpažinimo priemonę, pavyzdžiui: atrakinti išmanųjį telefoną pirštu. O kaip su privatumu, kai tai nebevyksta asmeniniame reikale, kur egzistuoja sąmoningas savanoriškumas? Ar dėl darbo pirštų identifikavimas gali būti privalomas saugumo sumetimais? Ar organizacija gali įpareigoti savo darbuotojus paimti pirštų atspaudus, pavyzdžiui, norint patekti į apsaugos sistemą? Ir kaip toks įpareigojimas susijęs su privatumo taisyklėmis?

Piršto atspaudas pažeidžiant GDPR

Pirštų atspaudai kaip specialūs asmens duomenys

Čia turėtume sau užduoti klausimą, ar pirštų nuskaitymas taikomas kaip asmens duomenys, kaip apibrėžta Bendrajame duomenų apsaugos reglamente. Pirštų atspaudai yra biometriniai asmens duomenys, kurie yra konkretaus techninio asmens fizinių, fiziologinių ar elgesio ypatybių apdorojimo rezultatas.[1] Biometriniai duomenys gali būti laikomi informacija, susijusia su fiziniu asmeniu, nes tai yra duomenys, kurie pagal savo pobūdį suteikia informacijos apie konkretų asmenį. Pagal biometrinius duomenis, pavyzdžiui, pirštų atspaudus, asmuo yra atpažįstamas ir gali būti atskirtas nuo kito asmens. GDPR 4 straipsnyje tai aiškiai patvirtina ir apibrėžimo nuostatos.[2]

Pirštų atspaudų identifikavimas yra privatumo pažeidimas?

Neseniai Amsterdamo apygardos teismas priėmė sprendimą dėl pirštų skenavimo kaip identifikavimo sistemos, pagrįstos saugos reguliavimo lygiu, priimtinumo.

Batų parduotuvių tinklas „Manfield“ naudojo pirštų nuskaitymo leidimų sistemą, kuri darbuotojams suteikė prieigą prie kasos.

Pasak Manfieldo, pirštų identifikavimas buvo vienintelis būdas patekti į kasos sistemą. Tai, be kita ko, buvo būtina apsaugoti darbuotojų finansinę informaciją ir asmens duomenis. Kiti metodai nebebuvo kvalifikuoti ir nebuvo linkę sukčiauti. Viena iš organizacijos darbuotojų prieštaravo jos pirštų atspaudų naudojimui. Šį autorizacijos metodą ji suprato kaip savo privatumo pažeidimą, remdamasi GDPR 9 straipsniu. Pagal šį straipsnį draudžiama tvarkyti biometrinius duomenis, siekiant unikalaus asmens identifikavimo.

būtinybė

Šis draudimas netaikomas, kai apdorojimas reikalingas tapatybės patvirtinimo ar saugumo tikslais. „Manfield“ verslo interesas buvo užkirsti kelią pajamų praradimui dėl apgaulingo personalo. Apygardos teismas atmetė darbdavio apeliaciją. „Manfield“ verslo interesai nepadarė sistemos „reikalinga tapatybės patvirtinimo ar saugumo tikslais“, kaip numatyta GDPR įgyvendinimo įstatymo 29 straipsnyje. Žinoma, „Manfield“ gali laisvai veikti prieš sukčiavimą, tačiau tai gali būti padaryta ne pažeidžiant GDPR nuostatas. Be to, darbdavys nepateikė savo įmonei jokios kitos garantijos. Buvo atlikta nepakankama alternatyvių autorizacijos metodų analizė; pagalvokite apie prieigos leidimo ar skaitmeninio kodo naudojimą, nesvarbu, ar jie abu, ar ne. Darbdavys nebuvo kruopščiai matavęs įvairių tipų apsaugos sistemų privalumų ir trūkumų ir negalėjo pakankamai motyvuoti, kodėl pirmenybę teikė konkrečiai pirštų nuskaitymo sistemai. Iš esmės dėl šios priežasties darbdavys neturėjo teisinės teisės reikalauti, kad jo darbuotojai naudotų pirštų atspaudų nuskaitymo leidimų sistemą, remdamiesi GDPR įgyvendinimo įstatymu.

Jei jus domina naujos apsaugos sistemos įdiegimas, reikės įvertinti, ar tokios sistemos yra leidžiamos pagal GDPR ir Įgyvendinimo įstatymą. Jei kiltų klausimų, susisiekite su teisininkais šiuo adresu: Law & More. Atsakysime į jūsų klausimus ir suteiksime teisinę pagalbą bei informaciją.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Dalintis