Otisk prstu v rozporu s GDPR

V dnešním moderním věku, ve kterém dnes žijeme, je stále častější používat otisky prstů jako prostředek identifikace, například: odemknutí smartphonu pomocí skenování prstu. Ale co soukromí, když se již neděje v soukromé záležitosti, kde je vědomý dobrovolník? Může být v souvislosti s bezpečností povinná identifikace prstů souvisejících s prací? Může organizace uložit svým zaměstnancům povinnost odevzdat své otisky prstů, například za přístup do bezpečnostního systému? A jak tato povinnost souvisí s pravidly ochrany soukromí?

Otisk prstu v rozporu s GDPR

Otisky prstů jako zvláštní osobní údaje

Otázkou, kterou bychom si zde měli položit, je, zda se jako osobní údaje ve smyslu obecného nařízení o ochraně údajů použije skenování prstem. Otisk prstu je biometrické osobní údaje, které jsou výsledkem konkrétního technického zpracování fyzických, fyziologických nebo behaviorálních charakteristik osoby.[1] Biometrická data lze považovat za informace týkající se fyzické osoby, protože se jedná o údaje, které svou povahou poskytují informace o konkrétní osobě. Pomocí biometrických údajů, jako je otisk prstu, je osoba identifikovatelná a lze ji odlišit od jiné osoby. V článku 4 GDPR je to rovněž výslovně potvrzeno ustanoveními o definici.[2]

Identifikace otisků prstů je porušením soukromí?

Subdistrict Court Amsterdam nedávno rozhodl o přípustnosti skenování prstu jako identifikačního systému založeného na úrovni regulace bezpečnosti.

Řetězec obchodů s obuví Manfield používal autorizační systém snímání prstů, který zaměstnancům umožnil přístup do pokladny.

Podle společnosti Manfield bylo použití identifikace prstů jediným způsobem, jak získat přístup k systému pokladny. Bylo nutné, mimo jiné, chránit finanční informace a osobní údaje zaměstnanců. Jiné metody již nebyly kvalifikovány a náchylné k podvodům. Jeden ze zaměstnanců organizace protestoval proti použití jejího otisků prstů. Tuto metodu autorizace využila jako porušení svého soukromí, odkazujíc na článek 9 GDPR. Podle tohoto článku je zpracování biometrických údajů za účelem jedinečné identifikace osoby zakázáno.

nutnost

Tento zákaz se nevztahuje na případy, kdy je zpracování nezbytné pro účely ověřování nebo zabezpečení. Manfieldovým obchodním zájmem bylo zabránit ztrátě příjmů v důsledku podvodného personálu. Okresní soud zamítl odvolání zaměstnavatele. Obchodní zájmy společnosti Manfield nečinily systém „nezbytným pro účely ověřování nebo zabezpečení“, jak stanoví článek 29 prováděcího zákona GDPR. Manfield může samozřejmě jednat proti podvodům, ale to nelze činit v rozporu s ustanoveními GDPR. Zaměstnavatel dále neposkytl své společnosti žádnou jinou formu zabezpečení. Nebyl proveden dostatečný výzkum alternativních metod povolování; pomysli na použití přístupového hesla nebo číselného kódu, ať už jde o kombinaci obou či nikoli. Zaměstnavatel neměřil pečlivě výhody a nevýhody různých typů bezpečnostních systémů a nedokázal dostatečně motivovat, proč upřednostňoval konkrétní systém snímání prstů. Hlavně z tohoto důvodu neměl zaměstnavatel zákonné právo požadovat od jeho zaměstnanců používání autorizačního systému snímání otisků prstů na základě zákona o implementaci GDPR.

Pokud máte zájem o zavedení nového bezpečnostního systému, bude třeba posoudit, zda jsou tyto systémy povoleny podle GDPR a prováděcího zákona. Pokud máte nějaké dotazy, obraťte se na právníky na adrese Law & More. Odpovíme na vaše dotazy a poskytneme vám právní pomoc a informace.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Share