Porušuje skenovanie odtlačkov prstov pravidlá GDPR?
V dnešnej modernej dobe, v ktorej dnes žijeme, je čoraz bežnejšie používať odtlačky prstov ako prostriedok identifikácie, napríklad: odomknutie smartfónu snímaním prstov. Ale čo súkromie, keď sa už nedeje v súkromnej veci, kde je vedomý dobrovoľný postup? Môže byť identifikácia prstov súvisiacich s prácou povinná v súvislosti s bezpečnosťou? Môže organizácia uložiť svojim zamestnancom povinnosť odoberať odtlačky prstov, napríklad za prístup do bezpečnostného systému? A ako sa táto povinnosť týka pravidiel ochrany osobných údajov?
Odtlačky prstov ako špeciálne osobné údaje
Tu by sme si mali položiť otázku, či sa sken prstov uplatňuje ako osobný údaj v zmysle všeobecného nariadenia o ochrane údajov. Odtlačok prsta je biometrický osobný údaj, ktorý je výsledkom špecifického technického spracovania fyzických, fyziologických alebo behaviorálnych charakteristík osoby. [1] Biometrické údaje možno považovať za informácie týkajúce sa fyzickej osoby, pretože sú to údaje, ktoré svojou povahou poskytujú informácie o konkrétnej osobe. Pomocou biometrických údajov, ako je odtlačok prsta, je osoba identifikovateľná a dá sa odlíšiť od inej osoby. V článku 4 GDPR to výslovne potvrdzujú aj ustanovenia o definícii. [2]
Identifikácia odtlačkov prstov je porušením súkromia?
Okresný súd Amsterdam nedávno rozhodol o prípustnosti snímania prstov ako identifikačného systému založeného na úrovni bezpečnostných predpisov.
Obchodný reťazec topánok Manfield používa autorizačný systém snímania prstov, ktorý zamestnancom umožnil prístup do pokladnice.
Podľa Manfielda bolo použitie identifikácie prstom jediným spôsobom, ako získať prístup do pokladničného systému. Bolo potrebné okrem iného chrániť finančné informácie a osobné údaje zamestnancov. Ostatné metódy už neboli kvalifikované a náchylné na podvod. Jedna zo zamestnancov organizácie namietala proti použitiu jej odtlačku prsta. Túto metódu autorizácie zobrala ako porušenie súkromia s odvolaním sa na článok 9 GDPR. Podľa tohto článku je spracovanie biometrických údajov na účely jednoznačnej identifikácie osoby zakázané.
nevyhnutnosť
Tento zákaz sa neuplatňuje, ak je spracovanie nevyhnutné na účely autentifikácie alebo bezpečnosti. Obchodným záujmom Manfieldu bolo zabrániť strate príjmov v dôsledku podvodného personálu. Okresný súd odvolanie zamestnávateľa zamietol. Obchodné záujmy spoločnosti Manfield nespôsobili, že systém je „nevyhnutný na účely overenia alebo zabezpečenia“, ako je uvedené v § 29 zákona o implementácii GDPR.
Samozrejme, Manfield môže konať proti podvodom, ale nesmie to byť v rozpore s ustanoveniami GDPR. Okrem toho zamestnávateľ neposkytol svojej spoločnosti žiadnu inú formu zabezpečenia. Neuskutočnil sa dostatočný výskum alternatívnych metód schvaľovania; myslite na použitie prístupového preukazu alebo číselného kódu, či už ide o kombináciu oboch alebo nie.
Zamestnávateľ dôkladne nepremeral výhody a nevýhody rôznych typov bezpečnostných systémov a nedokázal dostatočne zdôvodniť, prečo uprednostnil špecifický systém snímania prstov. Predovšetkým z tohto dôvodu zamestnávateľ nemal zákonné právo požadovať od svojich zamestnancov používanie autorizačného systému snímania odtlačkov prstov na základe zákona o implementácii GDPR.
Ak máte záujem o zavedenie nového bezpečnostného systému, bude potrebné posúdiť, či sú takéto systémy povolené podľa GDPR a vykonávacieho zákona. V prípade akýchkoľvek otázok sa obráťte na právnikov na adrese zákon a ďalšie. Odpovieme na vaše otázky a poskytneme vám právne pomoc a informácie.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005
