Pirkstu nospiedums, pārkāpjot GDPR

Šajā mūsdienu laikmetā, kurā mēs šodien dzīvojam, aizvien biežāk pirkstu nospiedumus izmanto kā identifikācijas līdzekli, piemēram: viedtālruņa atbloķēšana ar pirkstu skenēšanu. Bet kā ir ar privātumu, kad tas vairs nenotiek privātā jautājumā, kur valda apzināts brīvprātīgums? Vai drošības kontekstā var padarīt par obligātu pirkstu identificēšanu ar darbu? Vai organizācija var uzlikt darbiniekiem pienākumu ievietot pirkstu nospiedumus, piemēram, piekļuvei drošības sistēmai? Un kā šāds pienākums attiecas uz privātuma noteikumiem?

Pirkstu nospiedums, pārkāpjot GDPR

Pirkstu nospiedumi kā īpaši personas dati

Jautājums, kas mums šeit būtu jāuzdod sev, ir, vai pirkstu skenēšana ir personas dati Vispārējās datu aizsardzības regulas nozīmē. Pirkstu nospiedums ir biometriski personas dati, kas ir personas fizisko, fizioloģisko vai uzvedības īpašību īpašas tehniskas apstrādes rezultāts.[1] Biometriskos datus var uzskatīt par informāciju, kas attiecas uz fizisku personu, jo tie ir dati, kas pēc to būtības sniedz informāciju par konkrētu personu. Izmantojot biometriskos datus, piemēram, pirkstu nospiedumus, persona ir identificējama un to var atšķirt no citas personas. GDPR 4. pantā to skaidri apstiprina arī definīcijas noteikumi.[2]

Pirkstu nospiedumu identificēšana ir privātuma pārkāpums?

Amsterdamas apgabala tiesa nesen lēma par pirkstu skenēšanas kā identifikācijas sistēmas, kas balstīta uz drošības noteikumu līmeni, pieļaujamību.

Apavu veikalu tīkls Manfield izmantoja pirkstu skenēšanas autorizācijas sistēmu, kas darbiniekiem ļāva piekļūt kasei.

Pēc Manfīlda teiktā, pirkstu identifikācijas izmantošana bija vienīgais veids, kā piekļūt kases aparātu sistēmai. Cita starpā bija jāaizsargā darbinieku finanšu informācija un personas dati. Citas metodes vairs nebija kvalificētas un uzņēmīgas pret krāpšanu. Viens no organizācijas darbiniekiem iebilda pret viņas pirkstu nospiedumu izmantošanu. Viņa šo atļaujas metodi izmantoja kā privātuma pārkāpumu, atsaucoties uz GDPR 9. pantu. Saskaņā ar šo pantu biometrisko datu apstrāde personas unikālas identifikācijas nolūkos ir aizliegta.

nepieciešamība

Šis aizliegums neattiecas uz gadījumiem, kad apstrāde ir nepieciešama autentifikācijas vai drošības nolūkos. Manfīldas biznesa interese bija novērst ieņēmumu zaudēšanu krāpnieciska personāla dēļ. Apgabaltiesa noraidīja darba devēja apelāciju. Manfīlda biznesa intereses nepadarīja sistēmu par “vajadzīgu autentifikācijai vai drošības nolūkiem”, kā noteikts GDPR Īstenošanas likuma 29. sadaļā. Protams, Manfīlds var brīvi rīkoties, lai apkarotu krāpšanu, taču to nedrīkst darīt, pārkāpjot GDPR noteikumus. Turklāt darba devējs savam uzņēmumam nebija sniedzis nekādu citu nodrošinājumu. Netika veikti pietiekami pētījumi par alternatīvām atļauju piešķiršanas metodēm. padomājiet par piekļuves caurlaides vai ciparu koda izmantošanu neatkarīgi no tā, vai tie ir abi. Darba devējs nebija rūpīgi izmērījis dažādu veidu drošības sistēmu priekšrocības un trūkumus un nevarēja pietiekami pamatot, kāpēc viņš deva priekšroku konkrētai pirkstu skenēšanas sistēmai. Galvenokārt šī iemesla dēļ darba devējam nebija likumīgu tiesību, pamatojoties uz GDPR ieviešanas likumu, pieprasīt saviem darbiniekiem izmantot pirkstu nospiedumu skenēšanas atļauju sistēmu.

Ja jūs interesē jaunas drošības sistēmas ieviešana, būs jānovērtē, vai šādas sistēmas ir atļautas saskaņā ar GDPR un Īstenošanas likumu. Ja rodas kādi jautājumi, lūdzu, sazinieties ar juristiem vietnē Law & More. Mēs atbildēsim uz jūsu jautājumiem un sniegsim jums juridisko palīdzību un informāciju.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Share