Amprenta digitală cu încălcarea GDPR

În această epocă modernă în care trăim astăzi, este din ce în ce mai comună utilizarea amprentelor digitale ca mijloc de identificare, de exemplu: deblocarea unui smartphone cu scanarea degetelor. Dar ce zici de intimitate atunci când nu mai are loc într-o problemă privată unde există voluntarism conștient? Identificarea degetelor legate de muncă poate fi obligatorie în contextul securității? Poate o organizație să impună angajaților săi obligația de a preda amprentele lor, de exemplu pentru accesul la un sistem de securitate? Și cum se leagă o astfel de obligație cu regulile de confidențialitate?

Amprenta digitală cu încălcarea GDPR

Amprentele digitale ca date personale speciale

Întrebarea pe care ar trebui să ne-o punem aici este dacă scanarea cu degetul se aplică ca date cu caracter personal în sensul Regulamentului general privind protecția datelor. O amprentă digitală este o informație personală biometrică care este rezultatul prelucrării tehnice specifice a caracteristicilor fizice, fiziologice sau comportamentale ale unei persoane.[1] Datele biometrice pot fi considerate informații referitoare la o persoană fizică, deoarece sunt date care, prin natura lor, oferă informații despre o anumită persoană. Prin intermediul datelor biometrice, cum ar fi amprenta, persoana este identificabilă și poate fi distinsă de o altă persoană. La articolul 4 GDPR acest lucru este confirmat în mod explicit și prin dispozițiile privind definiția.[2]

Identificarea amprentelor digitale reprezintă o încălcare a vieții private?

Subdistrict Court Amsterdam s-a pronunțat recent asupra admisibilității unei scanări de degete ca un sistem de identificare bazat pe nivelul de reglementare a siguranței.

Lanțul magazinului de încălțăminte Manfield a folosit sistemul de autorizare a scanării degetelor, care le-a oferit angajaților acces la o casă de marcat.

Potrivit lui Manfield, utilizarea identificării degetelor a fost singura modalitate de a avea acces la sistemul de case de marcat. Era necesar, printre altele, să protejăm informațiile financiare și datele personale ale angajaților. Alte metode nu mai erau calificate și susceptibile de fraudă. Unul dintre angajații organizației s-a opus utilizării amprentei sale. Ea a luat această metodă de autorizare ca o încălcare a vieții private, referindu-se la articolul 9 din GDPR. Conform acestui articol, prelucrarea datelor biometrice în scopul identificării unice a unei persoane este interzisă.

Necesitate

Această interdicție nu se aplică acolo unde prelucrarea este necesară în scopuri de autentificare sau securitate. Interesul comercial al lui Manfield era de a preveni pierderea veniturilor din cauza personalului fraudulos. Curtea subdistritală a respins apelul angajatorului. Interesele comerciale ale lui Manfield nu au făcut ca sistemul să fie „necesar în scopuri de autentificare sau securitate”, așa cum este stipulat în secțiunea 29 din Legea de implementare a GDPR. Desigur, Manfield este liber să acționeze împotriva fraudei, dar acest lucru nu poate fi făcut încălcând prevederile GDPR. În plus, angajatorul nu a oferit companiei sale nicio altă formă de garanție. S-au efectuat cercetări insuficiente cu privire la metodele alternative de autorizare; gândiți-vă la utilizarea unei permise de acces sau a unui cod numeric, indiferent dacă este sau nu o combinație a ambelor. Angajatorul nu măsurase cu atenție avantajele și dezavantajele diferitelor tipuri de sisteme de securitate și nu putea motiva suficient de ce a preferat un sistem specific de scanare a degetelor. În principal din acest motiv, angajatorul nu avea dreptul legal să solicite utilizarea personalului său de sistemul de autorizare de scanare a amprentelor digitale pe baza Legii de punere în aplicare a GDPR.

Dacă sunteți interesat de introducerea unui nou sistem de securitate, va trebui să se evalueze dacă aceste sisteme sunt permise conform GDPR și Legea de implementare. Dacă există întrebări, vă rugăm să contactați avocații la Law & More. Vă vom răspunde la întrebări și vă vom oferi asistență și informații legale.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Share