Tänapäeval, kus me elame, on üha tavalisem kasutada näiteks sõrmejälgi tuvastamise vahendina: nutitelefoni lukust vabastamine sõrmejälje abil. Mis saab aga privaatsusest, kui see ei toimu enam eraasjas, kus valitseb teadlik vabatahtlikkus? Kas tööga seotud sõrme tuvastamist saab turvalisuse kontekstis muuta kohustuslikuks? Kas organisatsioon saab kehtestada töötajatele kohustuse sõrmejäljed sisse anda, näiteks turvasüsteemile juurdepääsu saamiseks? Ja kuidas on selline kohustus seotud privaatsuseeskirjadega?
Sõrmejäljed kui erilised isikuandmed
Küsimus, mille peaksime siin endale esitama, on see, kas sõrmeotstega skaneerimine kehtib isikuandmetena isikuandmete kaitse üldmääruse tähenduses. Sõrmejälg on biomeetrilised isikuandmed, mis on saadud inimese füüsiliste, füsioloogiliste või käitumuslike omaduste spetsiifilise töötlemise tulemusena. [1] Biomeetrilisi andmeid võib pidada füüsilist isikut puudutavaks teabeks, kuna need on andmed, mis oma olemuselt annavad teavet konkreetse isiku kohta. Biomeetriliste andmete, näiteks sõrmejälje abil on inimene tuvastatav ja teda saab teistest eristada. GDPR-i artiklis 4 kinnitavad seda sõnaselgelt ka määratlussätted. [2]
Sõrmejälgede tuvastamine on privaatsuse rikkumine?
Ringkonnakohus Amsterdam tegi hiljuti otsuse sõrmeskaneerimise lubatavuse kohta ohutuseeskirjade tasemel põhineva identifitseerimissüsteemina.
Kingakaupluste kett Manfield kasutas sõrme skaneerimise autoriseerimissüsteemi, mis andis töötajatele juurdepääsu kassaaparaadile.
Manfieldi sõnul oli sõrmede tuvastamise kasutamine ainus viis kassasüsteemile juurdepääsu saamiseks. See oli vajalik muu hulgas töötajate finantsteabe ja isikuandmete kaitsmiseks. Muud meetodid ei olnud enam kvalifitseeritud ja pettustele vastuvõtlikud. Üks organisatsiooni töötajatest oli oma sõrmejälje kasutamise vastu. Ta pidas seda autoriseerimismeetodit eraelu puutumatuse rikkumiseks, viidates GDPR-i artiklile 9. Selle artikli kohaselt on biomeetriliste andmete töötlemine isiku kordumatu tuvastamise eesmärgil keelatud.
Vajalikkus
See keeld ei kehti, kui töötlemine on vajalik autentimise või turvalisuse huvides. Manfieldi ärihuvi oli vältida petukollektiivist tulenevat tulude kaotust. Osakonna kohus jättis tööandja kaebuse rahuldamata. Manfieldi ärihuvid ei muutnud süsteemi „vajalikuks autentimiseks või turvalisuse tagamiseks“, nagu on sätestatud GDPR-i rakendusseaduse paragrahvis 29. Muidugi on Manfieldil õigus pettuste vastu vabalt tegutseda, kuid seda ei pruugi teha GDPR-i sätteid rikkudes. Lisaks ei olnud tööandja oma ettevõttele mingit muud tagatist andnud. Alternatiivsete autoriseerimismeetodite kohta ei ole piisavalt uuritud; mõelge juurdepääsuloa või numbrilise koodi kasutamisele, olenemata sellest, kas need mõlemad on kombineeritud või mitte. Tööandja ei olnud hoolikalt mõõtnud erinevat tüüpi turvasüsteemide eeliseid ja puudusi ega suutnud piisavalt motiveerida, miks ta eelistas konkreetset sõrmede skaneerimissüsteemi. Peamiselt seetõttu ei olnud tööandjal seaduslikku õigust nõuda oma töötajatelt GDPR-i rakendamise seaduse alusel sõrmejälgede skaneerimise autoriseerimissüsteemi kasutamist.
Kui olete huvitatud uue turvasüsteemi juurutamisest, tuleb hinnata, kas sellised süsteemid on GDPR-i ja rakendusseadusega lubatud. Küsimuste korral pöörduge juristide poole Law & More. Vastame teie küsimustele ja pakume teile õigusabi ja teavet.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005