Отпечаток пальца в нарушении GDPR

В наше современное время, в котором мы живем сегодня, все чаще встречаются отпечатки пальцев в качестве средства идентификации, например: разблокировка смартфона с помощью сканирования пальцев. Но как насчет приватности, когда она больше не происходит в частном деле, где существует сознательный волюнтаризм? Может ли идентификация пальцев, связанная с работой, стать обязательной в контексте безопасности? Может ли организация наложить обязательство на своих сотрудников сдавать свои отпечатки пальцев, например, для доступа к системе безопасности? И как такое обязательство связано с правилами конфиденциальности?

Отпечаток пальца в нарушении GDPR

Отпечатки пальцев как особые личные данные

Вопрос, который мы должны задать себе здесь, заключается в том, применяется ли сканирование пальца в качестве личных данных в значении Общего регламента защиты данных. Отпечаток пальца - это биометрические персональные данные, которые являются результатом специальной технической обработки физических, физиологических или поведенческих характеристик человека.[1] Биометрические данные могут рассматриваться как информация, относящаяся к физическому лицу, поскольку они представляют собой данные, которые по своей природе предоставляют информацию о конкретном человеке. С помощью биометрических данных, таких как отпечаток пальца, человек может быть идентифицирован и его можно отличить от другого человека. В статье 4 GDPR это также четко подтверждается положениями определения.[2]

Идентификация отпечатков пальцев является нарушением конфиденциальности?

Окружной суд Амстердама недавно вынес решение о допустимости сканирования отпечатков пальцев в качестве системы идентификации на основе уровня безопасности.

Сеть обувных магазинов Manfield использовала систему авторизации сканирования отпечатков пальцев, которая давала сотрудникам доступ к кассовому аппарату.

По словам Мэнфилда, использование идентификации по пальцам было единственным способом получить доступ к кассовой системе. Помимо прочего, необходимо было защитить финансовую информацию и личные данные сотрудников. Другие методы перестали быть квалифицированными и уязвимыми для мошенничества. Один из сотрудников организации возражал против использования ее отпечатка пальца. Она восприняла этот метод авторизации как нарушение своей конфиденциальности, сославшись на статью 9 GDPR. Согласно этой статье, обработка биометрических данных с целью однозначной идентификации человека запрещена.

Необходимость

Этот запрет не применяется, если обработка необходима для аутентификации или безопасности. Деловой интерес Manfield состоял в том, чтобы предотвратить потерю доходов из-за мошенничества с персоналом. Районный суд отклонил апелляцию работодателя. Деловые интересы Manfield не делали систему «необходимой для целей аутентификации или безопасности», как предусмотрено в разделе 29 Закона о реализации GDPR. Конечно, Manfield вправе действовать против мошенничества, но это не может быть сделано в нарушение положений GDPR. Более того, работодатель не предоставил своей компании никаких других гарантий. Были проведены недостаточные исследования альтернативных методов авторизации; подумайте об использовании пропуска доступа или числового кода, независимо от того, является ли их комбинация обоих. Работодатель не тщательно оценивал преимущества и недостатки различных типов систем безопасности и не мог в достаточной мере объяснить, почему он предпочитает конкретную систему сканирования отпечатков пальцев. В основном по этой причине работодатель не имел законного права требовать использования системы авторизации сканирования отпечатков пальцев у своих сотрудников на основании Закона о реализации GDPR.

Если вы заинтересованы во внедрении новой системы безопасности, необходимо оценить, разрешены ли такие системы в соответствии с GDPR и Законом о внедрении. Если есть какие-либо вопросы, пожалуйста, свяжитесь с юристами по адресу Law & More, Мы ответим на ваши вопросы и предоставим вам юридическую помощь и информацию.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Поделиться