Σε αυτήν τη σύγχρονη εποχή στην οποία ζούμε σήμερα, είναι όλο και πιο συνηθισμένο να χρησιμοποιούνται δακτυλικά αποτυπώματα ως μέσο αναγνώρισης, για παράδειγμα: ξεκλείδωμα ενός smartphone με σάρωση δακτύλου. Αλλά τι γίνεται με την προστασία της ιδιωτικής ζωής όταν δεν συμβαίνει πλέον σε ένα ιδιωτικό θέμα όπου υπάρχει συνειδητός εθελοντισμός; Μπορεί η αναγνώριση δακτύλου που σχετίζεται με την εργασία να καταστεί υποχρεωτική στο πλαίσιο της ασφάλειας; Μπορεί ένας οργανισμός να επιβάλει στους υπαλλήλους του την υποχρέωση να παραδώσουν τα δακτυλικά τους αποτυπώματα, για παράδειγμα για πρόσβαση σε ένα σύστημα ασφαλείας; Και πώς σχετίζεται αυτή η υποχρέωση με τους κανόνες απορρήτου;
Τα δακτυλικά αποτυπώματα ως ειδικά προσωπικά δεδομένα
Το ερώτημα που πρέπει να αναρωτηθούμε εδώ είναι αν η σάρωση με δάχτυλα ισχύει ως προσωπικά δεδομένα κατά την έννοια του Γενικού Κανονισμού Προστασίας Δεδομένων. Το δακτυλικό αποτύπωμα είναι βιομετρικά προσωπικά δεδομένα που είναι το αποτέλεσμα συγκεκριμένης τεχνικής επεξεργασίας των φυσικών, φυσιολογικών ή συμπεριφορικών χαρακτηριστικών ενός ατόμου. [1] Τα βιομετρικά δεδομένα μπορούν να θεωρηθούν ως πληροφορίες που σχετίζονται με ένα φυσικό πρόσωπο, καθώς είναι δεδομένα τα οποία, από τη φύση τους, παρέχουν πληροφορίες για ένα συγκεκριμένο άτομο. Μέσω βιομετρικών δεδομένων όπως ένα δακτυλικό αποτύπωμα, το άτομο είναι αναγνωρίσιμο και μπορεί να διακριθεί από άλλο άτομο. Στο άρθρο 4 του GDPR αυτό επιβεβαιώνεται επίσης ρητώς από τις διατάξεις ορισμού. [2]
Η αναγνώριση δακτυλικών αποτυπωμάτων παραβιάζει το απόρρητο;
Το Περιφερειακό Δικαστήριο Amsterdam πρόσφατα απεφάνθη σχετικά με το παραδεκτό μιας δακτυλικής σάρωσης ως συστήματος αναγνώρισης βάσει του επιπέδου κανονισμών ασφαλείας.
Η αλυσίδα καταστημάτων υποδημάτων Manfield χρησιμοποίησε σύστημα εξουσιοδότησης σάρωσης δακτύλων, το οποίο έδωσε στους υπαλλήλους πρόσβαση σε ταμειακή μηχανή.
Σύμφωνα με τον Manfield, η χρήση της αναγνώρισης δακτύλων ήταν ο μόνος τρόπος για να αποκτήσετε πρόσβαση στο σύστημα ταμειακών μηχανών. Ήταν απαραίτητο, μεταξύ άλλων, για την προστασία των οικονομικών πληροφοριών και των προσωπικών δεδομένων των εργαζομένων. Άλλες μέθοδοι δεν ήταν πλέον κατάλληλες και ευάλωτες σε απάτη. Ένας από τους υπαλλήλους του οργανισμού αντιτάχθηκε στη χρήση του δακτυλικού του αποτυπώματος. Πήρε αυτήν τη μέθοδο εξουσιοδότησης ως παραβίαση του απορρήτου της, αναφερόμενη στο άρθρο 9 του GDPR. Σύμφωνα με αυτό το άρθρο, απαγορεύεται η επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση ενός ατόμου.
Ανάγκη
Αυτή η απαγόρευση δεν ισχύει όταν η επεξεργασία είναι απαραίτητη για έλεγχο ταυτότητας ή ασφαλείας. Το επιχειρηματικό συμφέρον της Manfield ήταν να αποτρέψει την απώλεια εσόδων από δόλιο προσωπικό. Το Επαρχιακό Δικαστήριο απέρριψε την έφεση του εργοδότη. Τα επιχειρηματικά συμφέροντα της Manfield δεν καθιστούσαν το σύστημα «απαραίτητο για έλεγχο ταυτότητας ή ασφάλειας», όπως ορίζεται στην Ενότητα 29 του Νόμου Εφαρμογής του GDPR. Φυσικά, το Manfield είναι ελεύθερο να δράσει κατά της απάτης, αλλά αυτό δεν μπορεί να γίνει κατά παράβαση των διατάξεων του GDPR. Επιπλέον, ο εργοδότης δεν είχε παράσχει στην εταιρεία του καμία άλλη μορφή ασφάλειας. Δεν πραγματοποιήθηκε επαρκής έρευνα για εναλλακτικές μεθόδους έγκρισης. Σκεφτείτε τη χρήση ενός κωδικού πρόσβασης ή αριθμητικού κωδικού, ανεξάρτητα από το εάν συνδυάζονται και τα δύο. Ο εργοδότης δεν είχε μετρήσει προσεκτικά τα πλεονεκτήματα και τα μειονεκτήματα διαφορετικών τύπων συστημάτων ασφαλείας και δεν μπορούσε να παρακινήσει επαρκώς γιατί προτιμούσε ένα συγκεκριμένο σύστημα σάρωσης δακτύλων. Κυρίως εξαιτίας αυτού του λόγου, ο εργοδότης δεν είχε το νόμιμο δικαίωμα να απαιτήσει τη χρήση του συστήματος εξουσιοδότησης σάρωσης δακτυλικών αποτυπωμάτων στο προσωπικό του βάσει του νόμου εφαρμογής του GDPR
Εάν ενδιαφέρεστε να εισαγάγετε ένα νέο σύστημα ασφαλείας, θα πρέπει να αξιολογηθεί εάν τέτοια συστήματα επιτρέπονται βάσει του GDPR και του νόμου εφαρμογής. Εάν υπάρχουν ερωτήσεις, επικοινωνήστε με τους δικηγόρους στο Law & More. Θα απαντήσουμε στις ερωτήσεις σας και θα σας παρέχουμε νομική βοήθεια και πληροφορίες.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005