Sormenjälki rikkoo GDPR: tä

Nykyaikana, jolloin elämme nykyään, on yhä yleisempi käyttää sormenjälkiä tunnistusvälineenä, esimerkiksi: älypuhelimen lukituksen avaaminen sormenjäljen avulla. Entä yksityisyys, kun sitä ei enää tapahdu yksityisessä asiassa, jossa on tietoinen vapaaehtoisuus? Voidaanko työhön liittyvä sormen tunnistus tehdä pakolliseksi turvallisuuden yhteydessä? Voiko organisaatio asettaa työntekijöilleen velvollisuuden luovuttaa sormenjälkensä esimerkiksi turvajärjestelmään pääsyä varten? Ja miten tällainen velvoite liittyy yksityisyydensääntöihin?

Sormenjälki rikkoo GDPR: tä

Sormenjäljet ​​erityisinä henkilötietoina

Kysymys, jonka meidän pitäisi kysyä itseltämme, on se, sovelletaanko sormiskannausta henkilötietoina yleisessä tietosuoja-asetuksessa tarkoitetulla tavalla. Sormenjälki on biometrinen henkilötiedo, joka on seurausta henkilön fyysisten, fysiologisten tai käyttäytymisominaisuuksien erityisestä teknisestä käsittelystä.[1] Biometrisiä tietoja voidaan pitää luonnollista henkilöä koskevina tiedoina, koska ne ovat tietoja, jotka luonteensa vuoksi tarjoavat tietoja tietystä henkilöstä. Biometristen tietojen, kuten sormenjäljen, avulla henkilö on tunnistettavissa ja se voidaan erottaa toisesta henkilöstä. GDPR: n 4 artiklassa tämä vahvistetaan myös nimenomaisesti määritelmämääräyksillä.[2]

Sormenjälkien tunnistaminen loukkaa yksityisyyttä?

Amsterdamin piirikunnan tuomioistuin antoi äskettäin päätöksen sormen skannauksen hyväksyttävyydestä turvallisuusmääräysten tasolle perustuvana tunnistusjärjestelmänä.

Kenkäkauppaketju Manfield käytti sormen skannausvaltuutusjärjestelmää, joka antoi työntekijöille pääsyn kassakoneeseen.

Manfieldin mukaan sormen tunnistuksen käyttö oli ainoa tapa päästä kassakonejärjestelmään. Oli tarpeen suojata muun muassa työntekijöiden taloudellisia tietoja ja henkilötietoja. Muut menetelmät eivät enää olleet päteviä ja alttiita petoksille. Yksi organisaation työntekijöistä vastusti sormenjäljen käyttöä. Hän piti tätä valtuutusmenettelyä yksityisyyden loukkauksena viitaten GDPR: n 9 artiklaan. Tämän artiklan mukaan biometristen tietojen käsittely henkilön yksilöivää tunnistamista varten on kielletty.

välttämättömyys

Tätä kieltoa ei sovelleta, jos käsittely on välttämätöntä todennusta tai turvallisuutta varten. Manfieldin liiketoiminnallinen tarkoitus oli estää petollisen henkilöstön aiheuttamat tulojen menetykset. Alakuntatuomioistuin hylkäsi työnantajan valituksen. Manfieldin liiketaloudelliset edut eivät tehneet järjestelmästä "tarpeellista todentamista tai turvallisuutta varten", kuten GDPR: n täytäntöönpanolain 29 §: ssä säädetään. Manfield on tietysti vapaa toimimaan petoksia vastaan, mutta tätä ei saa tehdä GDPR: n määräysten vastaisesti. Lisäksi työnantaja ei ollut toimittanut yritykselleen mitään muuta vakuutta. Vaihtoehtoisia lupamenetelmiä ei ole tutkittu riittävästi; ajattele pääsykortin tai numeerisen koodin käyttöä riippumatta siitä, yhdistetäänkö molempia. Työnantaja ei ollut huolellisesti mitannut erityyppisten turvajärjestelmien etuja ja haittoja eikä voinut riittävästi motivoida, miksi hän suosisi tiettyä sormiskannausjärjestelmää. Pääasiassa tästä syystä työnantajalla ei ollut laillista oikeutta vaatia työntekijöilleen sormenjälkien skannausjärjestelmän käyttöä GDPR: n täytäntöönpanolain perusteella.

Jos olet kiinnostunut uuden turvajärjestelmän käyttöönotosta, on arvioitava, sallitaanko tällaiset järjestelmät GDPR: n ja täytäntöönpanolain nojalla. Jos sinulla on kysyttävää, ota yhteyttä lakimiehiin osoitteessa Law & More. Vastaamme kysymyksiisi ja tarjoamme sinulle oikeudellista apua ja tietoja.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Jaa: