Krši li skeniranje otiska prsta GDPR pravila?
U ovom modernom dobu u kojem danas živimo sve je češće koristiti otiske prstiju kao sredstvo identifikacije, na primjer: otključavanje pametnog telefona skeniranjem prsta. Ali što je sa privatnošću kada se ona više ne odvija u privatnim stvarima u kojima postoji svjesni volonterizam? Može li prepoznavanje prsta povezanog s radom biti obvezno u kontekstu sigurnosti? Može li organizacija nametnuti svojim zaposlenicima obvezu da predaju otiske prstiju, na primjer za pristup sigurnosnom sistemu? I kako se takva obaveza odnosi na pravila o privatnosti?
Otisci prstiju kao posebni lični podaci
Pitanje koje bismo si ovdje trebali postaviti jest da li se skeniranje prsta odnosi na osobne podatke u smislu Opće uredbe o zaštiti podataka. Otisak prsta je biometrijski lični podatak koji je rezultat specifične tehničke obrade fizičkih, fizioloških ili ponašajnih karakteristika osobe. [1] Biometrijski podaci mogu se smatrati informacijama koje se odnose na fizičku osobu, jer su to podaci koji po svojoj prirodi pružaju informacije o određenoj osobi. Pomoću biometrijskih podataka, poput otiska prsta, osoba se može identificirati i može se razlikovati od druge osobe. U članu 4. GDPR-a to je izričito potvrđeno i odredbama definicije. [2]
Identifikacija otiska prsta je kršenje privatnosti?
Podokružni sud Amsterdam nedavno je donio odluku o prihvatljivosti skeniranja prsta kao sistema identifikacije zasnovanog na nivou sigurnosnih propisa.
Manfield lanac prodavaonica obuće Manfield koristio je sistem autorizacije skeniranja prstiju, koji je zaposlenima omogućio pristup blagajni.
Prema Manfieldu, upotreba identifikacije prsta bila je jedini način za pristup sistemu kase. Bilo je potrebno, između ostalog, zaštititi finansijske podatke i lične podatke zaposlenih. Ostale metode više nisu bile kvalificirane i podložne prijevarama. Jedna od zaposlenih u organizaciji usprotivila se upotrebi njenog otiska prsta. Ovu metodu autorizacije shvatila je kao kršenje svoje privatnosti, pozivajući se na član 9. GDPR-a. Prema ovom članku, obrada biometrijskih podataka u svrhu jedinstvene identifikacije osobe je zabranjena.
Nužnost
Ova zabrana se ne primjenjuje kada je obrada neophodna u svrhu provjere autentičnosti ili sigurnosti. Manfieldov poslovni interes bio je spriječiti gubitak prihoda zbog prevare osoblja. Podokružni sud je odbio žalbu poslodavca. Manfieldovi poslovni interesi nisu činili sistem 'neophodnim za autentifikaciju ili sigurnosne svrhe', kao što je navedeno u odjeljku 29 Zakona o implementaciji GDPR-a.
Naravno, Manfield je slobodan da djeluje protiv prijevare, ali to ne smije biti učinjeno kršenjem odredbi GDPR-a. Nadalje, poslodavac svojoj kompaniji nije obezbijedio nikakav drugi oblik obezbjeđenja. Provedeno je nedovoljno istraživanja alternativnih metoda autorizacije; razmislite o upotrebi pristupne propusnice ili numeričkog koda, bez obzira da li je kombinacija oboje.
Poslodavac nije pažljivo izmjerio prednosti i nedostatke različitih tipova sigurnosnih sistema i nije mogao dovoljno motivirati zašto je preferirao određeni sistem za skeniranje prstiju. Uglavnom iz tog razloga, poslodavac nije imao zakonsko pravo da od svog osoblja zahtijeva korištenje sistema autorizacije skeniranja otiska prsta na osnovu Zakona o implementaciji GDPR-a.
Ako ste zainteresirani za uvođenje novog sigurnosnog sustava, morat će se procijeniti jesu li takvi sustavi dopušteni GDPR-om i Zakonom o provedbi. Ako postoje pitanja, kontaktirajte pravnike na zakon & Više. Odgovorit ćemo na vaša pitanja i pružiti vam legalno pomoć i informacije.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005