Адбіткі пальцаў з парушэннем GDPR

У гэтую сучасную эпоху, у якой мы жывем сёння, усё часцей выкарыстоўваецца адбіткі пальцаў у якасці сродку ідэнтыфікацыі, напрыклад: разблакіроўка смартфона пры сканаванні пальцаў. Але што з прыватнасцю, калі яна больш не адбываецца ў прыватнай справе, дзе ёсць свядомы валюнтарызм? Ці можа ідэнтыфікацыя пальцаў, звязаных з працай, становіцца абавязковай у кантэксце бяспекі? Ці можа арганізацыя накласці на сваіх супрацоўнікаў абавязак здаваць адбіткі пальцаў, напрыклад, доступ да сістэмы бяспекі? І як падобныя абавязацельствы ставяцца да правілаў прыватнасці?

Адбіткі пальцаў з парушэннем GDPR

Адбіткі пальцаў як спецыяльныя асабістыя дадзеныя

Пытанне, якое мы павінны задаць сабе, заключаецца ў тым, ці ўжывае сканаванне пальцаў як асабістыя дадзеныя ў значэнні Агульнага рэгламента аб абароне дадзеных. Адбітак пальцаў - гэта біяметрычныя асабістыя дадзеныя, якія з'яўляюцца вынікам канкрэтнай тэхнічнай апрацоўкі фізічных, фізіялагічных і паводніцкіх асаблівасцей чалавека.[1] Біяметрычныя дадзеныя можна разглядаць як інфармацыю, якая тычыцца фізічнай асобы, бо гэта дадзеныя, якія па сваёй прыродзе даюць інфармацыю пра канкрэтную асобу. Пры дапамозе біяметрычных дадзеных, такіх як адбіткі пальцаў, чалавек ідэнтыфікуецца і можа адрознівацца ад іншага чалавека. У артыкуле 4 GDPR гэта таксама відавочна пацвярджаецца палажэннямі аб вызначэнні.[2]

Ідэнтыфікацыя адбіткаў пальцаў - гэта парушэнне прыватнасці?

Нядаўна сканцэнтраваны суд Амстэрдама вынес рашэнне аб дапушчальнасці сканавання пальцаў як сістэмы ідэнтыфікацыі, заснаванай на ўзроўні рэгулявання бяспекі.

Сетка крам абутку Manfield выкарыстала сістэму аўтарызацыі праверкі пальцаў, якая давала супрацоўнікам доступ да касавага апарата.

Па словах Мэнфілда, выкарыстанне ідэнтыфікацыі пальцаў было адзіным спосабам атрымаць доступ да сістэмы касавых апаратаў. Неабходна было, між іншым, абараніць фінансавую інфармацыю і асабістыя дадзеныя супрацоўнікаў. Іншыя метады ўжо не былі кваліфікаванымі і схільныя да махлярства. Адзін з супрацоўнікаў арганізацыі пярэчыў супраць выкарыстання яе адбіткаў пальцаў. Яна ўспрыняла гэты спосаб аўтарызацыі як парушэнне яе прыватнасці, спасылаючыся на артыкул 9 GDPR. Згодна з гэтым артыкулам, апрацоўка біяметрычных дадзеных з мэтай унікальнай ідэнтыфікацыі чалавека забаронена.

Неабходнасць

Гэта забарона не распаўсюджваецца ў выпадках, калі апрацоўка неабходная для аўтэнтыфікацыі ці бяспекі. Дзелавым інтарэсам Мэнфілда было не дапусціць страты даходаў з-за ашуканскага персаналу. Субгруповы суд адхіліў скаргу працадаўцы. Дзелавыя інтарэсы Мэнфілда не зрабілі сістэму «неабходнай для праверкі сапраўднасці або бяспекі», як гэта прадугледжана ў раздзеле 29 Закона аб рэалізацыі GDPR. Вядома, Мэнфілд вольны дзейнічаць супраць махлярства, але гэта можа быць зроблена не ў парушэнне палажэнняў GDPR. Акрамя таго, працадаўца не прадстаўляў сваёй кампаніі ніякай іншай формы бяспекі. Не было праведзена недастаткова даследаванняў альтэрнатыўных метадаў дазволу; падумайце пра выкарыстанне пропускнага доступу або лікавага кода, няхай гэта будзе спалучэнне абодвух. Працадаўца не старанна ацэньваў перавагі і недахопы розных сістэм бяспекі і не мог дастаткова матываваць, чаму ён аддаваў перавагу пэўнай сістэме сканавання пальцаў. У асноўным з гэтай прычыны працадаўца не меў юрыдычнага права патрабаваць выкарыстання сістэмы дазволу сканавання адбіткаў пальцаў для сваіх супрацоўнікаў на падставе закона аб рэалізацыі GDPR.

Калі вы зацікаўлены ў ўвядзенні новай сістэмы бяспекі, вам давядзецца ацаніць, ці дазволены такія сістэмы паводле GDPR і Закона аб рэалізацыі. Калі ёсць якія-небудзь пытанні, звяжыцеся са юрыстамі па адрасе Law & More. Мы адкажам на вашы пытанні і прадаставім вам юрыдычную дапамогу і інфармацыю.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

доля