Otisak prsta koji krši GDPR

U ovom modernom dobu u kojem danas živimo sve je češća uporaba otisaka prstiju kao sredstva identifikacije, na primjer: otključavanje pametnog telefona skeniranjem prsta. Ali što je s privatnošću kad se ona više ne odvija u privatnim stvarima u kojima postoji svjesni volonterizam? Može li prepoznavanje prsta povezanog s radom biti obvezno u kontekstu sigurnosti? Može li organizacija nametnuti svojim zaposlenicima obvezu predavanja otisaka prstiju, na primjer, za pristup sigurnosnom sustavu? I kako se takva obveza odnosi na pravila o privatnosti?

Otisak prsta koji krši GDPR

Otisci prstiju kao posebni osobni podaci

Pitanje koje bismo si ovdje trebali postaviti jest primjenjuje li se skeniranje prsta kao osobni podatak u smislu Opće uredbe o zaštiti podataka. Otisak prsta biometrijski su osobni podaci koji su rezultat specifične tehničke obrade fizičkih, fizioloških ili ponašajnih karakteristika osobe. [1] Biometrijski podaci mogu se smatrati informacijama koje se odnose na fizičku osobu, jer su to podaci koji po svojoj prirodi pružaju informacije o određenoj osobi. Pomoću biometrijskih podataka, poput otiska prsta, osoba se može identificirati i može se razlikovati od druge osobe. U članku 4. GDPR-a to je također izričito potvrđeno odredbama definicije. [2]

Identifikacija otiska prsta je kršenje privatnosti?

Područni sud Amsterdam nedavno je presudio o prihvatljivosti skeniranja prsta kao sustava identifikacije temeljenog na razini sigurnosti.

Manfield lanac prodavaonica obuće Manfield koristio je sustav autorizacije skeniranja prstiju, koji je zaposlenicima omogućio pristup blagajni.

Prema Manfieldu, upotreba identifikacije prsta bio je jedini način za pristup sustavu blagajne. Bilo je između ostalog potrebno zaštititi financijske podatke i osobne podatke zaposlenika. Ostale metode više nisu bile kvalificirane i podložne prijevarama. Jedna od zaposlenica organizacije usprotivila se upotrebi njezinog otiska prsta. Ovu je metodu autorizacije shvatila kao kršenje svoje privatnosti, pozivajući se na članak 9. GDPR-a. Prema ovom članku, obrada biometrijskih podataka u svrhu jedinstvene identifikacije osobe je zabranjena.

Nužnost

Ova se zabrana ne odnosi na slučajeve kada je obrada potrebna radi provjere autentičnosti ili sigurnosti. Manfieldov poslovni interes bio je spriječiti gubitak prihoda zbog prijevarnog osoblja. Podokružni sud odbio je žalbu poslodavca. Manfieldovi poslovni interesi nisu učinili sustav "potrebnim za autentifikaciju ili sigurnosne svrhe", kako je određeno u odjeljku 29. Zakona o provedbi GDPR-a. Naravno, Manfield može slobodno djelovati protiv prijevara, ali to se ne smije činiti kršenjem odredbi GDPR-a. Nadalje, poslodavac svojoj tvrtki nije pružio bilo koji drugi oblik osiguranja. Nije provedeno dovoljno istraživanja alternativnih metoda odobrenja; razmislite o upotrebi pristupne propusnice ili numeričkog koda, bez obzira na to je li kombinacija oba. Poslodavac nije pažljivo izmjerio prednosti i nedostatke različitih vrsta sigurnosnih sustava i nije mogao dovoljno motivirati zašto preferira određeni sustav za skeniranje prstiju. Uglavnom iz tog razloga poslodavac nije imao zakonsko pravo zahtijevati korištenje sustava autorizacije skeniranja otiska prsta za svoje osoblje na temelju Zakona o provedbi GDPR-a.

Ako ste zainteresirani za uvođenje novog sigurnosnog sustava, morat ćete procijeniti jesu li takvi sustavi dopušteni GDPR-om i Zakonom o provedbi. Ako imate bilo kakvih pitanja, obratite se odvjetnicima na adresi Law & More, Odgovorit ćemo na vaša pitanja i pružiti vam pravnu pomoć i informacije.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Podijeli