Odcisk palca z naruszeniem RODO

W dzisiejszej epoce, w której obecnie żyjemy, coraz częściej stosuje się odciski palców jako środek identyfikacji, na przykład: odblokowanie smartfona za pomocą skanowania palcem. Ale co z prywatnością, kiedy nie ma ona już miejsca w prywatnej sprawie, w której istnieje świadomy wolontariat? Czy identyfikacja palców związana z pracą może być obowiązkowa w kontekście bezpieczeństwa? Czy organizacja może nałożyć na swoich pracowników obowiązek pobierania odcisków palców, na przykład w celu uzyskania dostępu do systemu bezpieczeństwa? W jaki sposób taki obowiązek odnosi się do zasad ochrony prywatności?

Odcisk palca z naruszeniem RODO

Odciski palców jako specjalne dane osobowe

Pytanie, które powinniśmy sobie w tym miejscu zadać, brzmi, czy skan palca ma zastosowanie jako dane osobowe w rozumieniu ogólnego rozporządzenia o ochronie danych. Odcisk palca to biometryczne dane osobowe, które są wynikiem specjalnego technicznego przetwarzania cech fizycznych, fizjologicznych lub behawioralnych danej osoby.[1] Dane biometryczne można uznać za informacje dotyczące osoby fizycznej, ponieważ są to dane, które ze swej natury dostarczają informacji o konkretnej osobie. Za pomocą danych biometrycznych, takich jak odcisk palca, dana osoba jest możliwa do zidentyfikowania i można ją odróżnić od innej osoby. W art. 4 RODO jest to również wyraźnie potwierdzone przepisami dotyczącymi definicji.[2]

Identyfikacja odcisków palców stanowi naruszenie prywatności?

Sąd rejonowy w Amsterdamie orzekł niedawno o dopuszczalności skanowania odcisków palców jako systemu identyfikacji opartego na poziomie przepisów bezpieczeństwa.

Sieć sklepów obuwniczych Manfield zastosowała system autoryzacji skanowania odcisków palców, który dał pracownikom dostęp do kasy fiskalnej.

Zdaniem Manfielda wykorzystanie identyfikacji palcem było jedynym sposobem uzyskania dostępu do systemu kasowego. Konieczne było między innymi zabezpieczenie informacji finansowych i danych osobowych pracowników. Inne metody nie były już kwalifikowane i podatne na oszustwa. Jedna z pracowników organizacji sprzeciwiła się wykorzystaniu jej odcisku palca. Uznała tę metodę autoryzacji za naruszenie jej prywatności, powołując się na artykuł 9 RODO. Zgodnie z tym artykułem przetwarzanie danych biometrycznych w celu jednoznacznej identyfikacji osoby jest zabronione.

Konieczność

Zakaz ten nie ma zastosowania, gdy przetwarzanie jest niezbędne do celów uwierzytelnienia lub bezpieczeństwa. Interesem biznesowym Manfield było zapobieganie utracie dochodów z powodu oszukańczego personelu. Sąd Rejonowy oddalił apelację pracodawcy. Interesy biznesowe Manfield nie sprawiły, że system był „niezbędny do celów uwierzytelniania lub bezpieczeństwa”, jak określono w sekcji 29 ustawy wdrażającej RODO. Oczywiście Manfield może działać przeciwko oszustwom, ale nie może to robić z naruszeniem przepisów RODO. Ponadto pracodawca nie zapewnił swojej firmie żadnej innej formy zabezpieczenia. Przeprowadzono niewystarczające badania nad alternatywnymi metodami autoryzacji; pomyśl o użyciu przepustki dostępu lub kodu numerycznego, niezależnie od tego, czy są kombinacją obu. Pracodawca nie ocenił dokładnie zalet i wad różnych typów systemów bezpieczeństwa i nie potrafił wystarczająco motywować, dlaczego wolał określony system skanowania odcisków palców. Głównie z tego powodu pracodawca nie miał ustawowego prawa do wymagania stosowania wobec swoich pracowników systemu autoryzacji skanowania linii papilarnych na podstawie ustawy wdrażającej RODO.

Jeśli jesteś zainteresowany wprowadzeniem nowego systemu zabezpieczeń, trzeba będzie ocenić, czy takie systemy są dozwolone na podstawie RODO i ustawy wdrożeniowej. W przypadku pytań prosimy o kontakt z prawnikami pod adresem Law & More. Odpowiemy na Twoje pytania oraz udzielimy pomocy i informacji prawnych.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Udostępnij