V dnešnej modernej dobe, v ktorej dnes žijeme, je čoraz bežnejšie používať odtlačky prstov ako prostriedok identifikácie, napríklad: odomknutie smartfónu snímaním prstov. Ale čo súkromie, keď sa už nedeje v súkromnej veci, kde je vedomý dobrovoľný postup? Môže byť identifikácia prstov súvisiacich s prácou povinná v súvislosti s bezpečnosťou? Môže organizácia uložiť svojim zamestnancom povinnosť odoberať odtlačky prstov, napríklad za prístup do bezpečnostného systému? A ako sa táto povinnosť týka pravidiel ochrany osobných údajov?
Odtlačky prstov ako špeciálne osobné údaje
Tu by sme si mali položiť otázku, či sa sken prstov uplatňuje ako osobný údaj v zmysle všeobecného nariadenia o ochrane údajov. Odtlačok prsta je biometrický osobný údaj, ktorý je výsledkom špecifického technického spracovania fyzických, fyziologických alebo behaviorálnych charakteristík osoby. [1] Biometrické údaje možno považovať za informácie týkajúce sa fyzickej osoby, pretože sú to údaje, ktoré svojou povahou poskytujú informácie o konkrétnej osobe. Pomocou biometrických údajov, ako je odtlačok prsta, je osoba identifikovateľná a dá sa odlíšiť od inej osoby. V článku 4 GDPR to výslovne potvrdzujú aj ustanovenia o definícii. [2]
Identifikácia odtlačkov prstov je porušením súkromia?
Okresný súd Amsterdam nedávno rozhodol o prípustnosti snímania prstov ako identifikačného systému založeného na úrovni bezpečnostných predpisov.
Obchodný reťazec topánok Manfield používa autorizačný systém snímania prstov, ktorý zamestnancom umožnil prístup do pokladnice.
Podľa Manfielda bolo použitie identifikácie prstom jediným spôsobom, ako získať prístup do pokladničného systému. Bolo potrebné okrem iného chrániť finančné informácie a osobné údaje zamestnancov. Ostatné metódy už neboli kvalifikované a náchylné na podvod. Jedna zo zamestnancov organizácie namietala proti použitiu jej odtlačku prsta. Túto metódu autorizácie zobrala ako porušenie súkromia s odvolaním sa na článok 9 GDPR. Podľa tohto článku je spracovanie biometrických údajov na účely jednoznačnej identifikácie osoby zakázané.
nevyhnutnosť
Tento zákaz sa nevzťahuje na prípady, keď je spracovanie nevyhnutné na účely autentifikácie alebo bezpečnosti. Obchodným záujmom spoločnosti Manfield bolo zabrániť strate výnosov v dôsledku podvodného personálu. Okresný súd zamietol odvolanie zamestnávateľa. Obchodné záujmy spoločnosti Manfield neumožňovali, aby bol systém „nevyhnutný na účely autentifikácie alebo zabezpečenia“, ako je stanovené v oddiele 29 implementačného zákona GDPR. Spoločnosť Manfield môže samozrejme slobodne konať proti podvodom, čo sa však nesmie robiť v rozpore s ustanoveniami GDPR. Zamestnávateľ okrem toho neposkytol svojej spoločnosti inú formu zabezpečenia. Uskutočnil sa nedostatočný výskum alternatívnych metód autorizácie; pouvažujte nad použitím prístupového hesla alebo číselného kódu, či už je alebo nie je kombináciou oboch. Zamestnávateľ starostlivo nezmeral výhody a nevýhody rôznych typov bezpečnostných systémov a nedokázal dostatočne motivovať, prečo uprednostnil konkrétny systém snímania prstov. Hlavne z tohto dôvodu zamestnávateľ nemal zákonné právo vyžadovať od jeho zamestnancov použitie autorizačného systému snímania odtlačkov prstov na základe implementačného zákona GDPR.
Ak máte záujem o zavedenie nového bezpečnostného systému, bude potrebné posúdiť, či sú takéto systémy povolené podľa GDPR a vykonávacieho zákona. V prípade akýchkoľvek otázok sa obráťte na právnikov na adrese Law & More, Odpovieme na vaše otázky a poskytneme vám právnu pomoc a informácie.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005