Sõrmejälg, mis rikub GDPR-i

Tänapäeval, kus me elame, on üha tavalisem kasutada näiteks sõrmejälgi tuvastamise vahendina: nutitelefoni lukust vabastamine sõrmejälje abil. Mis saab aga privaatsusest, kui see ei toimu enam eraasjas, kus valitseb teadlik vabatahtlikkus? Kas tööga seotud sõrme tuvastamist saab turvalisuse kontekstis muuta kohustuslikuks? Kas organisatsioon saab kehtestada töötajatele kohustuse sõrmejäljed sisse anda, näiteks turvasüsteemile juurdepääsu saamiseks? Ja kuidas on selline kohustus seotud privaatsuseeskirjadega?

Sõrmejälg, mis rikub GDPR-i

Sõrmejäljed kui erilised isikuandmed

Siinkohal peaksime endalt küsima, kas sõrme skaneerimine kehtib isikuandmetena andmekaitse üldmääruse tähenduses. Sõrmejälg on biomeetrilised isikuandmed, mis on saadud inimese füüsiliste, füsioloogiliste või käitumuslike omaduste spetsiaalse tehnilise töötlemise tulemusel.[1] Biomeetrilisi andmeid võib käsitleda füüsilise isikuga seotud teabena, kuna need on andmed, mis oma olemuse tõttu pakuvad teavet konkreetse isiku kohta. Biomeetriliste andmete, näiteks sõrmejälje abil on isik tuvastatav ja teda saab teisest isikust eristada. GDPR-i artiklis 4 kinnitavad seda sõnaselgelt ka määratlussätted.[2]

Sõrmejälgede tuvastamine on privaatsuse rikkumine?

Amsterdami linnaosakohus otsustas hiljuti sõrme skaneerimise lubatavuse ohutuseeskirjade tasemel põhineva tuvastussüsteemina.

Kingakaupluste kett Manfield kasutas sõrme skaneerimise autoriseerimissüsteemi, mis andis töötajatele juurdepääsu kassaaparaadile.

Manfieldi sõnul oli sõrmetuvastuse kasutamine ainus viis kassaaparatuuri juurde pääsemiseks. Muu hulgas oli vaja kaitsta töötajate finantsteavet ja isikuandmeid. Muud meetodid ei olnud enam kvalifitseeritud ja pettustele vastuvõtlikud. Üks organisatsiooni töötaja oli tema sõrmejälje kasutamise vastu. Ta pidas seda autoriseerimismeetodit oma eraelu puutumatuse rikkumiseks, viidates GDPR-i artiklile 9. Selle artikli kohaselt on biomeetriliste andmete töötlemine isiku kordumatu tuvastamise eesmärgil keelatud.

Vajalikkus

Seda keeldu ei kohaldata, kui töötlemine on vajalik autentimiseks või turvalisuse tagamiseks. Manfieldi ärihuvideks oli pettuse tõttu tulude kaotuse ärahoidmine. Piirkonnakohus lükkas tööandja apellatsiooni tagasi. Manfieldi ärihuvid ei teinud süsteemi "autentimiseks ega turvalisuse tagamiseks vajalikuks", nagu on sätestatud GDPR-i rakendamise seaduse paragrahvis 29. Muidugi on Manfieldil õigus pettuste vastu tegutseda, kuid seda ei tohi teha, rikkudes GDPR-i sätteid. Lisaks ei olnud tööandja andnud oma ettevõttele muid tagatisi. Alternatiivsete autoriseerimismeetodite kohta ei ole piisavalt uuritud; mõelge pääsukoodi või numbrilise koodi kasutamisele, olenemata sellest, kas need on kombinatsioonid või mitte. Tööandja ei olnud erinevat tüüpi turvasüsteemide eeliseid ja puudusi hoolikalt mõõtnud ega suutnud piisavalt motiveerida, miks ta eelistas konkreetset sõrmejäljesüsteemi. Peamiselt selle põhjuse tõttu ei olnud tööandjal GDPR-i rakendamise seaduse alusel seaduslikku õigust nõuda oma töötajatelt sõrmejälgede skaneerimise autoriseerimissüsteemi kasutamist.

Kui olete huvitatud uue turvasüsteemi juurutamisest, tuleb hinnata, kas sellised süsteemid on GDPR-i ja rakendusseadusega lubatud. Küsimuste korral pöörduge juristide poole Law & More. Vastame teie küsimustele ja pakume teile õigusabi ja teavet.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Jaga