Czy skanowanie odcisków palców narusza przepisy RODO?
W dzisiejszej epoce, w której obecnie żyjemy, coraz częściej stosuje się odciski palców jako środek identyfikacji, na przykład: odblokowanie smartfona za pomocą skanowania palcem. Ale co z prywatnością, kiedy nie ma ona już miejsca w prywatnej sprawie, w której istnieje świadomy wolontariat? Czy identyfikacja palców związana z pracą może być obowiązkowa w kontekście bezpieczeństwa? Czy organizacja może nałożyć na swoich pracowników obowiązek pobierania odcisków palców, na przykład w celu uzyskania dostępu do systemu bezpieczeństwa? W jaki sposób taki obowiązek odnosi się do zasad ochrony prywatności?
Odciski palców jako specjalne dane osobowe
Pytanie, które powinniśmy sobie tutaj zadać, brzmi, czy skan palca ma zastosowanie jako dane osobowe w rozumieniu ogólnego rozporządzenia o ochronie danych. Odcisk palca to biometryczne dane osobowe, które są wynikiem specjalnego technicznego przetwarzania cech fizycznych, fizjologicznych lub behawioralnych danej osoby. [1] Dane biometryczne można uznać za informacje dotyczące osoby fizycznej, ponieważ są to dane, które ze swojej natury dostarczają informacji o konkretnej osobie. Za pomocą danych biometrycznych, takich jak odcisk palca, można zidentyfikować osobę i odróżnić ją od innej osoby. W art. 4 RODO jest to również wyraźnie potwierdzone w przepisach definicji. [2]
Identyfikacja odcisków palców stanowi naruszenie prywatności?
Sąd Okręgowy Amsterdam niedawno orzekł o dopuszczalności skanowania linii papilarnych jako systemu identyfikacji opartego na poziomie przepisów bezpieczeństwa.
Sieć sklepów obuwniczych Manfield zastosowała system autoryzacji skanowania odcisków palców, który dał pracownikom dostęp do kasy fiskalnej.
Zdaniem Manfielda wykorzystanie identyfikacji palcem było jedynym sposobem uzyskania dostępu do systemu kasowego. Konieczne było między innymi zabezpieczenie informacji finansowych i danych osobowych pracowników. Inne metody nie były już kwalifikowane i podatne na oszustwa. Jedna z pracowników organizacji sprzeciwiła się wykorzystaniu jej odcisku palca. Uznała tę metodę autoryzacji za naruszenie jej prywatności, powołując się na artykuł 9 RODO. Zgodnie z tym artykułem przetwarzanie danych biometrycznych w celu jednoznacznej identyfikacji osoby jest zabronione.
Konieczność
Zakaz ten nie ma zastosowania, gdy przetwarzanie jest konieczne do celów uwierzytelniania lub bezpieczeństwa. Interes biznesowy Manfield polegał na zapobieganiu utracie dochodów z powodu oszukańczego personelu. Sąd Rejonowy odrzucił apelację pracodawcy. Interes biznesowy Manfield nie sprawiał, że system był „konieczny do celów uwierzytelniania lub bezpieczeństwa”, zgodnie z postanowieniami sekcji 29 ustawy o wdrażaniu GDPR.
Oczywiście, Manfield ma prawo działać przeciwko oszustwom, ale nie może to być zrobione z naruszeniem przepisów RODO. Ponadto pracodawca nie zapewnił swojej firmie żadnej innej formy bezpieczeństwa. Przeprowadzono niewystarczające badania alternatywnych metod autoryzacji; pomyśl o użyciu przepustki dostępu lub kodu numerycznego, niezależnie od tego, czy jest to kombinacja obu.
Pracodawca nie dokonał dokładnej oceny zalet i wad różnych typów systemów bezpieczeństwa i nie potrafił wystarczająco uzasadnić, dlaczego preferuje konkretny system skanowania odcisków palców. Głównie z tego powodu pracodawca nie miał prawnego prawa wymagać od swoich pracowników korzystania z systemu autoryzacji skanowania odcisków palców na podstawie ustawy wdrażającej GDPR.
Jeśli jesteś zainteresowany wprowadzeniem nowego systemu zabezpieczeń, trzeba będzie ocenić, czy takie systemy są dozwolone na podstawie RODO i ustawy wdrożeniowej. W przypadku pytań prosimy o kontakt z prawnikami pod adresem Prawo & Więcej. Odpowiemy na Twoje pytania i zapewnimy Ci prawny pomoc i informacja.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005