Otisak prsta koji krši GDPR

U ovom modernom dobu u kojem danas živimo sve je češće koristiti otiske prstiju kao sredstvo identifikacije, na primjer: otključavanje pametnog telefona skeniranjem prsta. Ali što je sa privatnošću kada se ona više ne odvija u privatnim stvarima u kojima postoji svjesni volonterizam? Može li prepoznavanje prsta povezanog s radom biti obvezno u kontekstu sigurnosti? Može li organizacija nametnuti svojim zaposlenicima obvezu da predaju otiske prstiju, na primjer za pristup sigurnosnom sistemu? I kako se takva obaveza odnosi na pravila o privatnosti?

Otisak prsta koji krši GDPR

Otisci prstiju kao posebni lični podaci

Pitanje koje bismo si ovdje trebali postaviti jest da li se skeniranje prsta odnosi na osobne podatke u smislu Opće uredbe o zaštiti podataka. Otisak prsta je biometrijski lični podatak koji je rezultat specifične tehničke obrade fizičkih, fizioloških ili ponašajnih karakteristika osobe.[1] Biometrijski podaci mogu se smatrati podacima koji se odnose na fizičku osobu, jer su to podaci koji po svojoj prirodi pružaju informacije o određenoj osobi. Pomoću biometrijskih podataka kao što je otisak prsta, osoba se može prepoznati i razlikovati od druge osobe. U članku 4. GDPR-a to se izričito potvrđuje i odredbama definicije.[2]

Identifikacija otiska prsta je kršenje privatnosti?

Područni sud Amsterdam nedavno je presudio o prihvatljivosti skeniranja prsta kao sistema identifikacije temeljenog na nivou sigurnosti.

Manfield lanac prodavaonica obuće Manfield koristio je sistem autorizacije skeniranja prstiju, koji je zaposlenima omogućio pristup blagajni.

Prema Manfieldu, upotreba identifikacije prsta bila je jedini način za pristup sistemu kase. Bilo je potrebno, između ostalog, zaštititi finansijske podatke i lične podatke zaposlenih. Ostale metode više nisu bile kvalificirane i podložne prijevarama. Jedna od zaposlenih u organizaciji usprotivila se upotrebi njenog otiska prsta. Ovu metodu autorizacije shvatila je kao kršenje svoje privatnosti, pozivajući se na član 9. GDPR-a. Prema ovom članku, obrada biometrijskih podataka u svrhu jedinstvene identifikacije osobe je zabranjena.

Nužnost

Ova se zabrana ne odnosi na slučajeve kada je obrada potrebna radi provjere autentičnosti ili sigurnosti. Manfieldov poslovni interes bio je spriječiti gubitak prihoda zbog prevarantskog osoblja. Podokružni sud odbio je žalbu poslodavca. Manfieldovi poslovni interesi nisu učinili sistem „neophodnim za autentifikaciju ili sigurnosne svrhe“, kako je predviđeno u članu 29. Zakona o provedbi GDPR-a. Naravno, Manfield može slobodno djelovati protiv prijevara, ali to se ne smije činiti kršenjem odredbi GDPR-a. Štaviše, poslodavac nije pružio svom preduzeću bilo koji drugi oblik osiguranja. Nije provedeno dovoljno istraživanja alternativnih metoda odobrenja; razmislite o upotrebi pristupne propusnice ili numeričkog koda, bez obzira da li je kombinacija oba. Poslodavac nije pažljivo izmjerio prednosti i nedostatke različitih vrsta sigurnosnih sistema i nije mogao dovoljno motivirati zašto preferira određeni sistem za skeniranje prstiju. Uglavnom iz tog razloga, poslodavac nije imao zakonsko pravo zahtijevati upotrebu sistema autorizacije za skeniranje otiska prsta za svoje osoblje na osnovu Zakona o provedbi GDPR-a.

Ako ste zainteresirani za uvođenje novog sigurnosnog sustava, morat će se procijeniti jesu li takvi sustavi dopušteni GDPR-om i Zakonom o provedbi. Ako postoje pitanja, kontaktirajte pravnike na Law & More. Odgovorit ćemo na vaša pitanja i pružiti vam pravnu pomoć i informacije.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Udio