Otisak prsta koji krši GDPR

U ovom modernom dobu u kojem danas živimo sve je češće koristiti otiske prstiju kao sredstvo identifikacije, na primjer: otključavanje pametnog telefona skeniranjem prsta. Ali što je sa privatnošću kada se ona više ne odvija u privatnim stvarima u kojima postoji svjesni volonterizam? Može li prepoznavanje prsta povezanog s radom biti obvezno u kontekstu sigurnosti? Može li organizacija nametnuti svojim zaposlenicima obvezu da predaju otiske prstiju, na primjer za pristup sigurnosnom sistemu? I kako se takva obaveza odnosi na pravila o privatnosti?

Otisak prsta koji krši GDPR

Otisci prstiju kao posebni lični podaci

Pitanje koje bismo se ovdje trebali postaviti je da li se skeniranje prsta primjenjuje kao lični podaci u smislu Opće uredbe o zaštiti podataka. Otisak prsta je biometrijski osobni podatak koji je rezultat specifične tehničke obrade fizičkih, fizioloških ili ponašanja osobe.[1] Biometrijski podaci mogu se smatrati podacima koji se odnose na fizičku osobu, jer su to podaci koji po svojoj prirodi pružaju informacije o određenoj osobi. Pomoću biometrijskih podataka kao što je otisak prsta, osoba se može prepoznati i razlikovati od druge osobe. U članku 4. GDPR-a to se izričito potvrđuje i odredbama definicije.[2]

Identifikacija otiska prsta je kršenje privatnosti?

Područni sud Amsterdam nedavno je presudio o prihvatljivosti skeniranja prsta kao sistema identifikacije temeljenog na nivou sigurnosti.

Manfield lanac prodavaonica obuće Manfield koristio je sistem autorizacije skeniranja prstiju, koji je zaposlenima omogućio pristup blagajni.

Prema Manfield-u, upotreba identifikacije prsta bila je jedini način da se pristup sistemu blagajne. Bilo je, između ostalog, potrebno zaštititi financijske podatke i osobne podatke zaposlenih. Ostale metode više nisu bile kvalificirane i podložne prijevari. Jedna od zaposlenih u organizaciji prigovorila je na upotrebu njenog otiska prsta. Ovu metodu autorizacije shvatila je kao kršenje njezine privatnosti, pozivajući se na članak 9. GDPR-a. Prema ovom članku, zabranjena je obrada biometrijskih podataka u svrhu jedinstvene identifikacije osobe.

Nužnost

Ova se zabrana ne primjenjuje tamo gdje je obrada potrebna radi provjere autentičnosti ili sigurnosti. Manfield-ov poslovni interes bio je da spriječi gubitak prihoda zbog prevare osoblja. Pododređeni sud odbio je žalbu poslodavca. Manfield-ovi poslovni interesi nisu učinili sistem „potrebnim za autentifikaciju ili sigurnosne svrhe“, kako je predviđeno u odjeljku 29. Zakona o provedbi GDPR-a. Naravno, Manfield je slobodan djelovati protiv prevare, ali to se možda neće učiniti kršeći odredbe GDPR-a. Nadalje, poslodavac svojoj kompaniji nije pružio nikakav drugi oblik osiguranja. Nedovoljno je provedeno istraživanje alternativnih metoda autorizacije; razmislite o upotrebi pristupne propusnice ili numeričkog koda, bilo da je kombinacija oboje. Poslodavac nije pažljivo odmjerio prednosti i nedostatke različitih vrsta sigurnosnih sistema i nije mogao dovoljno motivirati zašto preferira određeni sustav pretraživanja prsta. Uglavnom zbog toga poslodavac nije imao zakonsko pravo zahtijevati korištenje sustava autorizacije za skeniranje otiska prsta na svom osoblju na temelju Zakona o provedbi GDPR-a.

Ako ste zainteresirani za uvođenje novog sigurnosnog sustava, morat će se procijeniti jesu li takvi sustavi dopušteni GDPR-om i Zakonom o provedbi. Ako postoje pitanja, kontaktirajte pravnike na Law & More. Odgovorit ćemo na vaša pitanja i pružiti vam pravnu pomoć i informacije.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Udio