У гэтую сучасную эпоху, у якой мы жывем сёння, усё часцей выкарыстоўваецца адбіткі пальцаў у якасці сродку ідэнтыфікацыі, напрыклад: разблакіроўка смартфона пры сканаванні пальцаў. Але што з прыватнасцю, калі яна больш не адбываецца ў прыватнай справе, дзе ёсць свядомы валюнтарызм? Ці можа ідэнтыфікацыя пальцаў, звязаных з працай, становіцца абавязковай у кантэксце бяспекі? Ці можа арганізацыя накласці на сваіх супрацоўнікаў абавязак здаваць адбіткі пальцаў, напрыклад, доступ да сістэмы бяспекі? І як падобныя абавязацельствы ставяцца да правілаў прыватнасці?
Адбіткі пальцаў як спецыяльныя асабістыя дадзеныя
Пытанне, якое мы павінны задаць сабе, заключаецца ў тым, ці ўжывае сканаванне пальцаў як асабістыя дадзеныя ў значэнні Агульнага рэгламента аб абароне дадзеных. Адбітак пальцаў - гэта біяметрычныя асабістыя дадзеныя, якія з'яўляюцца вынікам канкрэтнай тэхнічнай апрацоўкі фізічных, фізіялагічных і паводніцкіх характарыстык чалавека [1]. Біяметрычныя дадзеныя можна разглядаць як інфармацыю, якая тычыцца фізічнай асобы, бо гэта дадзеныя, якія па сваёй прыродзе даюць інфармацыю пра канкрэтную асобу. Пры дапамозе біяметрычных дадзеных, такіх як адбіткі пальцаў, чалавек ідэнтыфікуецца і можа адрознівацца ад іншага чалавека. У артыкуле 4 GDPR гэта таксама відавочна пацвярджаецца палажэннямі аб вызначэнні [2].
Ідэнтыфікацыя адбіткаў пальцаў - гэта парушэнне прыватнасці?
Падраённы суд Amsterdam нядаўна вынес рашэнне аб дапушчальнасці сканавання пальцаў у якасці сістэмы ідэнтыфікацыі на аснове ўзроўню рэгулявання бяспекі.
Сетка крам абутку Manfield выкарыстала сістэму аўтарызацыі праверкі пальцаў, якая давала супрацоўнікам доступ да касавага апарата.
Па словах Мэнфілда, выкарыстанне ідэнтыфікацыі пальцаў было адзіным спосабам атрымаць доступ да сістэмы касавых апаратаў. Неабходна было, між іншым, абараніць фінансавую інфармацыю і асабістыя дадзеныя супрацоўнікаў. Іншыя метады ўжо не былі кваліфікаванымі і схільныя да махлярства. Адзін з супрацоўнікаў арганізацыі пярэчыў супраць выкарыстання яе адбіткаў пальцаў. Яна ўспрыняла гэты спосаб аўтарызацыі як парушэнне яе прыватнасці, спасылаючыся на артыкул 9 GDPR. Згодна з гэтым артыкулам, апрацоўка біяметрычных дадзеных з мэтай унікальнай ідэнтыфікацыі чалавека забаронена.
Неабходнасць
Гэтая забарона не распаўсюджваецца, калі апрацоўка неабходная для праверкі сапраўднасці або бяспекі. Бізнэс-інтарэс Мэнфілда заключаўся ў прадухіленні страты даходаў з-за падробных супрацоўнікаў. Падраённы суд адхіліў скаргу працадаўцы. Бізнес-інтарэсы Мэнфілда не рабілі сістэму "неабходнай для праверкі сапраўднасці або бяспекі", як гэта прадугледжана ў раздзеле 29 Закона аб рэалізацыі GDPR. Вядома, Мэнфілд можа дзейнічаць супраць махлярства, але гэта не можа быць зроблена з парушэннем палажэнняў GDPR. Акрамя таго, працадаўца не прадастаўляў сваёй кампаніі якой-небудзь іншай формы забеспячэння. Праведзена недастатковае даследаванне альтэрнатыўных метадаў дазволу; падумайце аб выкарыстанні доступу або лічбавага кода, камбінацыя абодвух. Працадаўца не старанна вымяраў перавагі і недахопы розных тыпаў сістэм бяспекі і не мог у дастатковай ступені матываваць, чаму ён аддае перавагу пэўнай сістэме сканавання пальцаў. У асноўным з гэтай прычыны працадаўца не меў законнага права патрабаваць выкарыстання аўтарызацыі сістэмы сканавання адбіткаў пальцаў для сваіх супрацоўнікаў на падставе Закона аб рэалізацыі GDPR.
Калі вы зацікаўлены ў ўвядзенні новай сістэмы бяспекі, вам давядзецца ацаніць, ці дазволены такія сістэмы паводле GDPR і Закона аб рэалізацыі. Калі ёсць якія-небудзь пытанні, звяжыцеся са юрыстамі па адрасе Law & More. Мы адкажам на вашы пытанні і прадаставім вам юрыдычную дапамогу і інфармацыю.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005