Odtlačok prsta v rozpore s GDPR

V dnešnej modernej dobe, v ktorej dnes žijeme, je čoraz bežnejšie používať odtlačky prstov ako prostriedok identifikácie, napríklad: odomknutie smartfónu snímaním prstov. Ale čo súkromie, keď sa už nedeje v súkromnej veci, kde je vedomý dobrovoľný postup? Môže byť identifikácia prstov súvisiacich s prácou povinná v súvislosti s bezpečnosťou? Môže organizácia uložiť svojim zamestnancom povinnosť odoberať odtlačky prstov, napríklad za prístup do bezpečnostného systému? A ako sa táto povinnosť týka pravidiel ochrany osobných údajov?

Odtlačok prsta v rozpore s GDPR

Odtlačky prstov ako špeciálne osobné údaje

Tu by sme si mali položiť otázku, či sa skenovanie prstov uplatňuje ako osobné údaje v zmysle všeobecného nariadenia o ochrane údajov. Odtlačok prsta sú biometrické osobné údaje, ktoré sú výsledkom špecifického technického spracovania fyzických, fyziologických alebo behaviorálnych charakteristík osoby.[1] Biometrické údaje sa môžu považovať za informácie týkajúce sa fyzickej osoby, pretože sú to údaje, ktoré svojou povahou poskytujú informácie o konkrétnej osobe. Prostredníctvom biometrických údajov, ako je odtlačok prsta, je osoba identifikovateľná a možno ju odlíšiť od inej osoby. V článku 4 GDPR sa to výslovne potvrdzuje aj v ustanoveniach o definícii.[2]

Identifikácia odtlačkov prstov je porušením súkromia?

Okresný súd v Amsterdame nedávno rozhodol o prípustnosti snímania prstov ako identifikačného systému založeného na úrovni bezpečnostnej regulácie.

Obchodný reťazec topánok Manfield používa autorizačný systém snímania prstov, ktorý zamestnancom umožnil prístup do pokladnice.

Podľa spoločnosti Manfield bolo používanie identifikácie prstov jediným spôsobom, ako získať prístup do systému registračnej pokladnice. Okrem iného bolo potrebné chrániť finančné informácie a osobné údaje zamestnancov. Iné metódy už neboli kvalifikované a vystavené podvodom. Jeden zo zamestnancov organizácie namietal proti používaniu jej odtlačkov prstov. Túto metódu autorizácie považovala za porušenie súkromia a odvolávala sa na článok 9 GDPR. Podľa tohto článku je spracovanie biometrických údajov za účelom jedinečnej identifikácie osoby zakázané.

nevyhnutnosť

Tento zákaz sa neuplatňuje, ak je spracovanie potrebné na účely autentifikácie alebo bezpečnosti. Obchodným záujmom spoločnosti Manfield bolo zabrániť strate výnosov z dôvodu podvodného personálu. Okresný súd zamietol odvolanie zamestnávateľa. Obchodné záujmy spoločnosti Manfield neurobili systém „potrebný na účely autentifikácie alebo bezpečnosti“, ako je stanovené v oddiele 29 vykonávacieho zákona o GDPR. Manfield samozrejme môže konať proti podvodom, ale to sa nesmie stať v rozpore s ustanoveniami GDPR. Zamestnávateľ okrem toho neposkytol svojej spoločnosti inú formu zabezpečenia. Neuskutočnil sa dostatočný výskum alternatívnych metód autorizácie; zamyslite sa nad použitím prístupového hesla alebo číselného kódu, či už kombináciou oboch, alebo nie. Zamestnávateľ starostlivo nemeral výhody a nevýhody rôznych druhov bezpečnostných systémov a nedokázal dostatočne motivovať, prečo uprednostnil konkrétny systém snímania prstov. Hlavne z tohto dôvodu zamestnávateľ nemal zákonné právo vyžadovať používanie autorizačného systému skenovania odtlačkov prstov na svojich zamestnancoch na základe vykonávacieho zákona o GDPR.

Ak máte záujem o zavedenie nového bezpečnostného systému, bude potrebné posúdiť, či sú takéto systémy povolené podľa GDPR a vykonávacieho zákona. V prípade akýchkoľvek otázok sa obráťte na právnikov na adrese Law & More, Odpovieme na vaše otázky a poskytneme vám právnu pomoc a informácie.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

zdieľam