Vai pirkstu nospiedumu skenēšana pārkāpj GDPR noteikumus?
Šajā mūsdienu laikmetā, kurā mēs šodien dzīvojam, aizvien biežāk pirkstu nospiedumus izmanto kā identifikācijas līdzekli, piemēram: viedtālruņa atbloķēšana ar pirkstu skenēšanu. Bet kā ir ar privātumu, kad tas vairs nenotiek privātā jautājumā, kur valda apzināts brīvprātīgums? Vai drošības kontekstā var padarīt par obligātu pirkstu identificēšanu ar darbu? Vai organizācija var uzlikt darbiniekiem pienākumu ievietot pirkstu nospiedumus, piemēram, piekļuvei drošības sistēmai? Un kā šāds pienākums attiecas uz privātuma noteikumiem?
Pirkstu nospiedumi kā īpaši personas dati
Jautājums, kas mums šeit būtu jāuzdod sev, ir, vai pirkstu skenēšana ir personas dati Vispārējās datu aizsardzības regulas nozīmē. Pirkstu nospiedums ir biometriski personas dati, kas ir personas fizisko, fizioloģisko vai uzvedības īpašību īpašas tehniskas apstrādes rezultāts. [1] Biometriskos datus var uzskatīt par informāciju, kas attiecas uz fizisku personu, jo tie ir dati, kas pēc to būtības sniedz informāciju par konkrētu personu. Izmantojot biometriskos datus, piemēram, pirkstu nospiedumus, persona ir identificējama un to var atšķirt no citas personas. GDPR 4. pantā to skaidri apstiprina arī definīcijas noteikumi [2].
Pirkstu nospiedumu identificēšana ir privātuma pārkāpums?
Apgabaltiesa Amsterdam nesen pieņēma lēmumu par pirkstu skenēšanas kā identifikācijas sistēmas pieļaujamību, pamatojoties uz drošības noteikumu līmeni.
Apavu veikalu tīkls Manfield izmantoja pirkstu skenēšanas autorizācijas sistēmu, kas darbiniekiem ļāva piekļūt kasei.
Pēc Manfīlda teiktā, pirkstu identifikācijas izmantošana bija vienīgais veids, kā piekļūt kases aparātu sistēmai. Cita starpā bija jāaizsargā darbinieku finanšu informācija un personas dati. Citas metodes vairs nebija kvalificētas un uzņēmīgas pret krāpšanu. Viens no organizācijas darbiniekiem iebilda pret viņas pirkstu nospiedumu izmantošanu. Viņa šo atļaujas metodi izmantoja kā privātuma pārkāpumu, atsaucoties uz GDPR 9. pantu. Saskaņā ar šo pantu biometrisko datu apstrāde personas unikālas identifikācijas nolūkos ir aizliegta.
nepieciešamība
Šis aizliegums neattiecas uz gadījumiem, kad apstrāde ir nepieciešama autentifikācijas vai drošības nolūkos. Manfīlda biznesa intereses bija novērst ieņēmumu zaudējumus krāpniecisku darbinieku dēļ. Apgabaltiesa darba devēja sūdzību noraidīja. Manfīlda biznesa intereses nepadarīja sistēmu par “vajadzīgu autentifikācijas vai drošības nolūkos”, kā noteikts GDPR ieviešanas likuma 29. sadaļā.
Protams, Manfield var brīvi rīkoties pret krāpšanu, taču to nedrīkst darīt, pārkāpjot GDPR noteikumus. Turklāt darba devējs savam uzņēmumam nebija devis nekādu citu nodrošinājumu. Nepietiekami tika veikti pētījumi par alternatīvām licencēšanas metodēm; padomājiet par piekļuves caurlaides vai ciparu koda izmantošanu neatkarīgi no tā, vai ir vai nav abu kombinācija.
Darba devējs nebija rūpīgi izmērījis dažāda veida drošības sistēmu priekšrocības un trūkumus un nevarēja pietiekami motivēt, kāpēc viņš dod priekšroku konkrētai pirkstu skenēšanas sistēmai. Galvenokārt šī iemesla dēļ darba devējam nebija likumīgu tiesību pieprasīt saviem darbiniekiem pirkstu nospiedumu skenēšanas autorizācijas sistēmu, pamatojoties uz GDPR ieviešanas likumu.
Ja jūs interesē jaunas drošības sistēmas ieviešana, būs jānovērtē, vai šādas sistēmas ir atļautas saskaņā ar GDPR un Īstenošanas likumu. Ja rodas kādi jautājumi, lūdzu, sazinieties ar juristiem vietnē likums & Vairāk. Mēs atbildēsim uz jūsu jautājumiem un sniegsim jums informāciju juridisks palīdzība un informācija.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005