Sõrmejälg, mis rikub GDPR-i

Tänapäeval, kus me elame, on üha tavalisem kasutada näiteks sõrmejälgi tuvastamise vahendina: nutitelefoni lukust vabastamine sõrmejälje abil. Mis saab aga privaatsusest, kui see ei toimu enam eraasjas, kus valitseb teadlik vabatahtlikkus? Kas tööga seotud sõrme tuvastamist saab turvalisuse kontekstis muuta kohustuslikuks? Kas organisatsioon saab kehtestada töötajatele kohustuse sõrmejäljed sisse anda, näiteks turvasüsteemile juurdepääsu saamiseks? Ja kuidas on selline kohustus seotud privaatsuseeskirjadega?

Sõrmejälg, mis rikub GDPR-i

Sõrmejäljed kui erilised isikuandmed

Küsimus, mille peaksime siin endale esitama, on see, kas sõrmeotsing kehtib isikuandmetena isikuandmete kaitse üldmääruse tähenduses. Sõrmejälg on biomeetrilised isikuandmed, mis on saadud inimese füüsiliste, füsioloogiliste või käitumuslike omaduste spetsiifilise tehnilise töötlemise tulemusena.[1] Biomeetrilisi andmeid võib käsitleda füüsilise isikuga seotud teabena, kuna need on andmed, mis oma olemuse tõttu pakuvad teavet konkreetse isiku kohta. Biomeetriliste andmete, näiteks sõrmejälje abil on isik tuvastatav ja teda saab teisest isikust eristada. GDPR-i artiklis 4 kinnitavad seda sõnaselgelt ka määratlussätted.[2]

Sõrmejälgede tuvastamine on privaatsuse rikkumine?

Amsterdami linnaosakohus otsustas hiljuti sõrme skaneerimise lubatavuse ohutuseeskirjade tasemel põhineva tuvastussüsteemina.

Kingakaupluste kett Manfield kasutas sõrme skaneerimise autoriseerimissüsteemi, mis andis töötajatele juurdepääsu kassaaparaadile.

Manfieldi sõnul oli sõrmede tuvastamise kasutamine ainus viis kassasüsteemile juurdepääsu saamiseks. See oli vajalik muu hulgas töötajate finantsteabe ja isikuandmete kaitsmiseks. Muud meetodid ei olnud enam kvalifitseeritud ja pettustele vastuvõtlikud. Üks organisatsiooni töötajatest oli oma sõrmejälje kasutamise vastu. Ta pidas seda autoriseerimismeetodit eraelu puutumatuse rikkumiseks, viidates GDPR-i artiklile 9. Selle artikli kohaselt on biomeetriliste andmete töötlemine isiku kordumatu tuvastamise eesmärgil keelatud.

Vajalikkus

See keeld ei kehti, kui töötlemine on vajalik autentimise või turvalisuse huvides. Manfieldi ärihuvi oli vältida petukollektiivist tulenevat tulude kaotust. Osakonna kohus jättis tööandja kaebuse rahuldamata. Manfieldi ärihuvid ei muutnud süsteemi „vajalikuks autentimiseks või turvalisuse tagamiseks“, nagu on sätestatud GDPR-i rakendusseaduse paragrahvis 29. Muidugi on Manfieldil õigus pettuste vastu vabalt tegutseda, kuid seda ei pruugi teha GDPR-i sätteid rikkudes. Lisaks ei olnud tööandja oma ettevõttele mingit muud tagatist andnud. Alternatiivsete autoriseerimismeetodite kohta ei ole piisavalt uuritud; mõelge juurdepääsuloa või numbrilise koodi kasutamisele, olenemata sellest, kas need mõlemad on kombineeritud või mitte. Tööandja ei olnud hoolikalt mõõtnud erinevat tüüpi turvasüsteemide eeliseid ja puudusi ega suutnud piisavalt motiveerida, miks ta eelistas konkreetset sõrmede skaneerimissüsteemi. Peamiselt seetõttu ei olnud tööandjal seaduslikku õigust nõuda oma töötajatelt GDPR-i rakendamise seaduse alusel sõrmejälgede skaneerimise autoriseerimissüsteemi kasutamist.

Kui olete huvitatud uue turvasüsteemi juurutamisest, tuleb hinnata, kas sellised süsteemid on GDPR-i ja rakendusseadusega lubatud. Küsimuste korral pöörduge juristide poole Law & More. Vastame teie küsimustele ja pakume teile õigusabi ja teavet.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Jaga