Во ова модерно доба во кое живееме денес, се повеќе е вообичаено да се користат отпечатоци од прсти како средство за идентификација, на пример: отклучување паметен телефон со скенирање на прсти. Но, што е со приватноста кога веќе не се одвива во приватна работа каде има свесен волонтерство? Може ли идентификацијата на прстите поврзани со работата да се направи задолжителна во контекст на безбедноста? Може ли една организација да им наметне обврска на своите вработени да ги предаваат отпечатоците од прсти, на пример за пристап до безбедносен систем? И како таквата обврска се однесува на правилата за приватност?
Отпечатоци од прсти како посебни лични податоци
Прашањето што треба да се поставиме тука е дали скенирањето на прстите се однесува како лични податоци во смисла на Општата регулатива за заштита на податоците. Отпечаток е биометриски личен податок што е резултат на специфична техничка обработка на физички, физиолошки или бихевиорални карактеристики на лицето. [1] Биометриските податоци можат да се сметаат за информации што се однесуваат на физичко лице, бидејќи тие се податоци кои, по својата природа, даваат информации за одредена личност. Со помош на биометриски податоци како што е отпечаток, лицето е идентификувано и може да се разликува од друго лице. Во член 4, БДПР, ова е исто така експлицитно потврдено со одредбите за дефинирање. [2]
Идентификацијата на отпечатоци е повреда на приватноста?
Подобласниот суд Amsterdam неодамна донесе одлука за допуштеноста на скенирањето на прстите како систем за идентификација врз основа на нивото на безбедносна регулатива.
Синџирот на продавници за чевли Манфилд користел систем за овластување за скенирање на прсти, што им овозможило на вработените пристап до каса.
Според Манфилд, употребата на идентификација на прстите е единствениот начин да се добие пристап до системот на каса. Беше неопходно, меѓу другото, да се заштитат финансиските информации на вработените и личните податоци. Другите методи веќе не беа квалификувани и подложни на измама. Една од вработените во организацијата се спротивстави на употребата на нејзиниот отпечаток. Таа го користеше овој метод на овластување како повреда на нејзината приватност, осврнувајќи се на член 9 од БДПР. Според овој напис, забрането е обработка на биометриски податоци со цел уникатно идентификување на некое лице.
Потреба
Оваа забрана не се применува кога обработката е неопходна за автентикација или безбедносни цели. Деловниот интерес на Манфилд беше да се спречи загубата на приходите поради измамнички персонал. Суддистриктниот суд ја одбил жалбата на работодавачот. Деловните интереси на Манфилд не го направија системот „неопходен за автентикација или безбедносни цели“, како што е утврдено во Дел 29 од Законот за имплементација на GDPR. Се разбира, Манфилд е слободен да дејствува против измама, но тоа може да не се направи со кршење на одредбите на GDPR. Понатаму, работодавачот не и обезбедил на компанијата друга форма на обезбедување. Не е извршено недоволно истражување за алтернативни методи за овластување; помислете на употребата на пристапна дозвола или нумерички код, без разлика дали е комбинација од двете. Работодавачот не ги мерел внимателно предностите и недостатоците на различните видови безбедносни системи и не можел доволно да мотивира зошто претпочита специфичен систем за скенирање на прсти. Главно поради оваа причина, работодавачот немаше законско право да бара употреба на системот за овластување за скенирање отпечатоци од прсти на неговиот персонал врз основа на Законот за имплементација на GDPR.
Доколку сте заинтересирани за воведување на нов безбедносен систем, ќе треба да се процени дали ваквите системи се дозволени според БДПР и Законот за имплементација. Ако имате какви било прашања, ве молиме контактирајте со адвокатите на Law & More. Ние ќе одговориме на вашите прашања и ќе ви обезбедиме правна помош и информации.
[1] https://autesiteitpersoonsgegevens.nl/nl/onderwerpen/Indificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005