Otisak prsta koji krši GDPR

U ovom modernom dobu u kojem danas živimo sve je češća uporaba otisaka prstiju kao sredstva identifikacije, na primjer: otključavanje pametnog telefona skeniranjem prsta. Ali što je s privatnošću kad se ona više ne odvija u privatnim stvarima u kojima postoji svjesni volonterizam? Može li prepoznavanje prsta povezanog s radom biti obvezno u kontekstu sigurnosti? Može li organizacija nametnuti svojim zaposlenicima obvezu predavanja otisaka prstiju, na primjer, za pristup sigurnosnom sustavu? I kako se takva obveza odnosi na pravila o privatnosti?

Otisak prsta koji krši GDPR

Otisci prstiju kao posebni osobni podaci

Pitanje koje bismo se ovdje trebali postaviti je da li se skeniranje prsta primjenjuje kao osobni podaci u smislu Opće uredbe o zaštiti podataka. Otisak prsta je biometrijski osobni podatak koji je rezultat specifične tehničke obrade fizičkih, fizioloških ili ponašanja osobe.[1] Biometrijski podaci mogu se smatrati podacima koji se odnose na fizičku osobu, jer su oni podaci koji po svojoj prirodi pružaju informacije o određenoj osobi. Pomoću biometrijskih podataka, kao što je otisak prsta, osoba se može prepoznati i razlikovati od druge osobe. U članku 4. GDPR, to se također izrijekom potvrđuje odredbama definicije.[2]

Identifikacija otiska prsta je kršenje privatnosti?

Područni sud Amsterdam nedavno je presudio o prihvatljivosti skeniranja prsta kao sustava identifikacije temeljenog na razini sigurnosti.

Manfield lanac prodavaonica obuće Manfield koristio je sustav autorizacije skeniranja prstiju, koji je zaposlenicima omogućio pristup blagajni.

Prema Manfieldu, identifikacija prsta bila je jedini način da se pristup sustavu blagajni. Bilo je potrebno između ostalog zaštititi financijske podatke i osobne podatke zaposlenika. Ostale metode više nisu bile kvalificirane i podložne prijevari. Jedna od zaposlenica organizacije prigovorila je upotrebi njezinog otiska prsta. Ovu je metodu autorizacije shvatila kao kršenje njezine privatnosti pozivajući se na članak 9. GDPR-a. Prema ovom članku, zabranjena je obrada biometrijskih podataka u svrhu jedinstvene identifikacije osobe.

Nužnost

Ova se zabrana ne primjenjuje tamo gdje je obrada potrebna radi provjere autentičnosti ili sigurnosti. Manfield-ov poslovni interes bio je spriječiti gubitak prihoda zbog prijevara osoblja. Pododređeni sud odbio je žalbu poslodavca. Manfield-ovi poslovni interesi nisu učinili sustav "potrebnim za autentifikaciju ili sigurnost", kako je utvrđeno u odjeljku 29. Zakona o provedbi GDPR-a. Naravno, Manfield je slobodan djelovati protiv prevare, ali to se možda neće učiniti kršeći odredbe GDPR-a. Nadalje, poslodavac svojoj tvrtki nije pružio nikakav drugi oblik osiguranja. Nedovoljno je provedeno istraživanje alternativnih metoda autorizacije; razmislite o upotrebi pristupne propusnice ili numeričkog koda, bilo da je kombinacija oboje. Poslodavac nije pažljivo odmjerio prednosti i nedostatke različitih vrsta sigurnosnih sustava i nije mogao dovoljno motivirati zašto preferira određeni sustav pretraživanja prsta. Uglavnom zbog toga poslodavac nije imao zakonsko pravo zahtijevati korištenje sustava autorizacije skeniranja otiska prsta na svom osoblju na temelju Zakona o provedbi GDPR-a.

Ako ste zainteresirani za uvođenje novog sigurnosnog sustava, morat ćete procijeniti jesu li takvi sustavi dopušteni GDPR-om i Zakonom o provedbi. Ako imate bilo kakvih pitanja, obratite se odvjetnicima na adresi Law & More, Odgovorit ćemo na vaša pitanja i pružiti vam pravnu pomoć i informacije.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Udio