Šajā mūsdienu laikmetā, kurā mēs šodien dzīvojam, aizvien biežāk pirkstu nospiedumus izmanto kā identifikācijas līdzekli, piemēram: viedtālruņa atbloķēšana ar pirkstu skenēšanu. Bet kā ir ar privātumu, kad tas vairs nenotiek privātā jautājumā, kur valda apzināts brīvprātīgums? Vai drošības kontekstā var padarīt par obligātu pirkstu identificēšanu ar darbu? Vai organizācija var uzlikt darbiniekiem pienākumu ievietot pirkstu nospiedumus, piemēram, piekļuvei drošības sistēmai? Un kā šāds pienākums attiecas uz privātuma noteikumiem?
Pirkstu nospiedumi kā īpaši personas dati
Jautājums, kas mums šeit būtu jāuzdod sev, ir, vai pirkstu skenēšana ir personas dati Vispārējās datu aizsardzības regulas nozīmē. Pirkstu nospiedums ir biometriski personas dati, kas ir personas fizisko, fizioloģisko vai uzvedības īpašību īpašas tehniskas apstrādes rezultāts. [1] Biometriskos datus var uzskatīt par informāciju, kas attiecas uz fizisku personu, jo tie ir dati, kas pēc to būtības sniedz informāciju par konkrētu personu. Izmantojot biometriskos datus, piemēram, pirkstu nospiedumus, persona ir identificējama un to var atšķirt no citas personas. GDPR 4. pantā to skaidri apstiprina arī definīcijas noteikumi [2].
Pirkstu nospiedumu identificēšana ir privātuma pārkāpums?
Apgabaltiesa Amsterdam nesen pieņēma lēmumu par pirkstu skenēšanas kā identifikācijas sistēmas pieļaujamību, pamatojoties uz drošības noteikumu līmeni.
Apavu veikalu tīkls Manfield izmantoja pirkstu skenēšanas autorizācijas sistēmu, kas darbiniekiem ļāva piekļūt kasei.
Pēc Manfīlda teiktā, pirkstu identifikācijas izmantošana bija vienīgais veids, kā piekļūt kases aparātu sistēmai. Cita starpā bija jāaizsargā darbinieku finanšu informācija un personas dati. Citas metodes vairs nebija kvalificētas un uzņēmīgas pret krāpšanu. Viens no organizācijas darbiniekiem iebilda pret viņas pirkstu nospiedumu izmantošanu. Viņa šo atļaujas metodi izmantoja kā privātuma pārkāpumu, atsaucoties uz GDPR 9. pantu. Saskaņā ar šo pantu biometrisko datu apstrāde personas unikālas identifikācijas nolūkos ir aizliegta.
nepieciešamība
Šis aizliegums neattiecas uz gadījumiem, kad apstrāde ir nepieciešama autentifikācijas vai drošības nolūkos. Manfīlda biznesa interese bija novērst ieņēmumu zaudēšanu krāpnieciska personāla dēļ. Apgabala tiesa noraidīja darba devēja apelāciju. Manfīlda biznesa intereses nepadarīja sistēmu “nepieciešamu autentifikācijas vai drošības nolūkos”, kā noteikts GDPR Īstenošanas likuma 29. pantā. Protams, Manfīlds var brīvi rīkoties pret krāpšanu, taču to var nedarīt, pārkāpjot GDPR noteikumus. Turklāt darba devējs nebija sniedzis savam uzņēmumam nekādu citu nodrošinājumu. Tika veikts nepietiekams alternatīvo autorizācijas metožu pētījums; domājiet par piekļuves caurlaides vai ciparu koda izmantošanu neatkarīgi no tā, vai tas ir abu kombinācija. Darba devējs nebija rūpīgi izmērījis dažādu veidu drošības sistēmu priekšrocības un trūkumus un nevarēja pietiekami motivēt, kāpēc viņš dod priekšroku konkrētai pirkstu skenēšanas sistēmai. Galvenokārt šī iemesla dēļ darba devējam nebija likumīgu tiesību pieprasīt darbiniekiem izmantot pirkstu nospiedumu skenēšanas atļauju sistēmu, pamatojoties uz GDPR Īstenošanas likumu.
Ja jūs interesē jaunas drošības sistēmas ieviešana, būs jānovērtē, vai šādas sistēmas ir atļautas saskaņā ar GDPR un Īstenošanas likumu. Ja rodas kādi jautājumi, lūdzu, sazinieties ar juristiem vietnē Law & More. Mēs atbildēsim uz jūsu jautājumiem un sniegsim jums juridisko palīdzību un informāciju.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005