Δακτυλικό αποτύπωμα κατά παράβαση του GDPR

Σε αυτήν τη σύγχρονη εποχή στην οποία ζούμε σήμερα, είναι όλο και πιο συνηθισμένο να χρησιμοποιούνται δακτυλικά αποτυπώματα ως μέσο αναγνώρισης, για παράδειγμα: ξεκλείδωμα ενός smartphone με σάρωση δακτύλου. Αλλά τι γίνεται με την προστασία της ιδιωτικής ζωής όταν δεν συμβαίνει πλέον σε ένα ιδιωτικό θέμα όπου υπάρχει συνειδητός εθελοντισμός; Μπορεί η αναγνώριση δακτύλου που σχετίζεται με την εργασία να καταστεί υποχρεωτική στο πλαίσιο της ασφάλειας; Μπορεί ένας οργανισμός να επιβάλει στους υπαλλήλους του την υποχρέωση να παραδώσουν τα δακτυλικά τους αποτυπώματα, για παράδειγμα για πρόσβαση σε ένα σύστημα ασφαλείας; Και πώς σχετίζεται αυτή η υποχρέωση με τους κανόνες απορρήτου;

Δακτυλικό αποτύπωμα κατά παράβαση του GDPR

Τα δακτυλικά αποτυπώματα ως ειδικά προσωπικά δεδομένα

Το ερώτημα που πρέπει να αναρωτηθούμε εδώ είναι αν η σάρωση δακτύλου εφαρμόζεται ως προσωπικά δεδομένα κατά την έννοια του Γενικού Κανονισμού Προστασίας Δεδομένων. Το δακτυλικό αποτύπωμα είναι βιομετρικά προσωπικά δεδομένα που είναι το αποτέλεσμα συγκεκριμένης τεχνικής επεξεργασίας των φυσικών, φυσιολογικών ή συμπεριφορικών χαρακτηριστικών ενός ατόμου.[1] Τα βιομετρικά δεδομένα μπορούν να θεωρηθούν ως πληροφορίες που σχετίζονται με ένα φυσικό πρόσωπο, καθώς είναι δεδομένα τα οποία, από τη φύση τους, παρέχουν πληροφορίες για ένα συγκεκριμένο άτομο. Μέσω βιομετρικών δεδομένων όπως ένα δακτυλικό αποτύπωμα, το άτομο είναι αναγνωρίσιμο και μπορεί να διακριθεί από άλλο άτομο. Στο άρθρο 4 του GDPR αυτό επιβεβαιώνεται επίσης ρητώς από τις διατάξεις ορισμού.[2]

Η αναγνώριση δακτυλικών αποτυπωμάτων παραβιάζει το απόρρητο;

Το Subd District Court Amsterdam αποφάσισε πρόσφατα σχετικά με το παραδεκτό μιας σάρωσης δακτύλου ως συστήματος αναγνώρισης που βασίζεται σε επίπεδο ασφάλειας.

Η αλυσίδα καταστημάτων υποδημάτων Manfield χρησιμοποίησε σύστημα εξουσιοδότησης σάρωσης δακτύλων, το οποίο έδωσε στους υπαλλήλους πρόσβαση σε ταμειακή μηχανή.

Σύμφωνα με τον Manfield, η χρήση της αναγνώρισης των δακτύλων ήταν ο μόνος τρόπος για να αποκτήσετε πρόσβαση στο σύστημα ταμειακών μηχανών. Ήταν απαραίτητο, μεταξύ άλλων, να προστατευθούν οι οικονομικές πληροφορίες και τα προσωπικά δεδομένα των εργαζομένων. Άλλες μέθοδοι δεν ήταν πλέον κατάλληλες και ευάλωτες σε απάτη. Ένας από τους υπαλλήλους του οργανισμού αντιτάχθηκε στη χρήση του δακτυλικού του αποτυπώματος. Πήρε αυτήν τη μέθοδο εξουσιοδότησης ως παραβίαση του απορρήτου της, αναφερόμενη στο άρθρο 9 του GDPR. Σύμφωνα με αυτό το άρθρο, απαγορεύεται η επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση ενός ατόμου.

Ανάγκη

Αυτή η απαγόρευση δεν ισχύει όταν η επεξεργασία είναι απαραίτητη για έλεγχο ταυτότητας ή για λόγους ασφαλείας. Το επιχειρηματικό συμφέρον της Manfield ήταν να αποτρέψει την απώλεια εσόδων λόγω δόλιου προσωπικού. Το Επαρχιακό Δικαστήριο απέρριψε την έφεση του εργοδότη. Τα επιχειρηματικά συμφέροντα της Manfield δεν κατέστησαν το σύστημα «απαραίτητο για έλεγχο ταυτότητας ή ασφάλειας», όπως ορίζεται στην Ενότητα 29 του Νόμου Εφαρμογής του GDPR. Φυσικά, το Manfield είναι ελεύθερο να δράσει κατά της απάτης, αλλά αυτό δεν μπορεί να γίνει κατά παράβαση των διατάξεων του GDPR. Επιπλέον, ο εργοδότης δεν είχε παράσχει στην εταιρεία του καμία άλλη μορφή ασφάλειας. Δεν πραγματοποιήθηκε επαρκής έρευνα για εναλλακτικές μεθόδους έγκρισης. Σκεφτείτε τη χρήση ενός κωδικού πρόσβασης ή αριθμητικού κωδικού, ανεξάρτητα από το εάν συνδυάζονται και τα δύο. Ο εργοδότης δεν είχε μετρήσει προσεκτικά τα πλεονεκτήματα και τα μειονεκτήματα διαφορετικών τύπων συστημάτων ασφαλείας και δεν μπορούσε να παρακινήσει επαρκώς γιατί προτιμούσε ένα συγκεκριμένο σύστημα σάρωσης δακτύλων. Κυρίως εξαιτίας αυτού του λόγου, ο εργοδότης δεν είχε το νομικό δικαίωμα να απαιτήσει τη χρήση του συστήματος εξουσιοδότησης σάρωσης δακτυλικών αποτυπωμάτων στο προσωπικό του βάσει του Νόμου Εφαρμογής του GDPR.

Εάν ενδιαφέρεστε να εισαγάγετε ένα νέο σύστημα ασφαλείας, θα πρέπει να αξιολογηθεί εάν τέτοια συστήματα επιτρέπονται βάσει του GDPR και του νόμου εφαρμογής. Εάν υπάρχουν ερωτήσεις, επικοινωνήστε με τους δικηγόρους στο Law & More. Θα απαντήσουμε στις ερωτήσεις σας και θα σας παρέχουμε νομική βοήθεια και πληροφορίες.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Κοινοποίηση