Kas sõrmejälgede skannimine rikub GDPR-i reegleid?
Tänapäeval, kus me elame, on üha tavalisem kasutada näiteks sõrmejälgi tuvastamise vahendina: nutitelefoni lukust vabastamine sõrmejälje abil. Mis saab aga privaatsusest, kui see ei toimu enam eraasjas, kus valitseb teadlik vabatahtlikkus? Kas tööga seotud sõrme tuvastamist saab turvalisuse kontekstis muuta kohustuslikuks? Kas organisatsioon saab kehtestada töötajatele kohustuse sõrmejäljed sisse anda, näiteks turvasüsteemile juurdepääsu saamiseks? Ja kuidas on selline kohustus seotud privaatsuseeskirjadega?
Sõrmejäljed kui erilised isikuandmed
Küsimus, mille peaksime siin endale esitama, on see, kas sõrmeotstega skaneerimine kehtib isikuandmetena isikuandmete kaitse üldmääruse tähenduses. Sõrmejälg on biomeetrilised isikuandmed, mis on saadud inimese füüsiliste, füsioloogiliste või käitumuslike omaduste spetsiifilise töötlemise tulemusena. [1] Biomeetrilisi andmeid võib pidada füüsilist isikut puudutavaks teabeks, kuna need on andmed, mis oma olemuselt annavad teavet konkreetse isiku kohta. Biomeetriliste andmete, näiteks sõrmejälje abil on inimene tuvastatav ja teda saab teistest eristada. GDPR-i artiklis 4 kinnitavad seda sõnaselgelt ka määratlussätted. [2]
Sõrmejälgede tuvastamine on privaatsuse rikkumine?
Ringkonnakohus Amsterdam tegi hiljuti otsuse sõrmeskaneerimise lubatavuse kohta ohutuseeskirjade tasemel põhineva identifitseerimissüsteemina.
Kingakaupluste kett Manfield kasutas sõrme skaneerimise autoriseerimissüsteemi, mis andis töötajatele juurdepääsu kassaaparaadile.
Manfieldi sõnul oli sõrmede tuvastamise kasutamine ainus viis kassasüsteemile juurdepääsu saamiseks. See oli vajalik muu hulgas töötajate finantsteabe ja isikuandmete kaitsmiseks. Muud meetodid ei olnud enam kvalifitseeritud ja pettustele vastuvõtlikud. Üks organisatsiooni töötajatest oli oma sõrmejälje kasutamise vastu. Ta pidas seda autoriseerimismeetodit eraelu puutumatuse rikkumiseks, viidates GDPR-i artiklile 9. Selle artikli kohaselt on biomeetriliste andmete töötlemine isiku kordumatu tuvastamise eesmärgil keelatud.
Vajalikkus
See keeld ei kehti, kui töötlemine on vajalik autentimise või turvalisuse tagamiseks. Manfieldi ärihuvi oli vältida petturliku personali tõttu saamata jäänud tulu. Ringkonnakohus jättis tööandja kaebuse rahuldamata. Manfieldi ärihuvid ei muutnud süsteemi autentimise või turvalisuse tagamiseks vajalikuks, nagu on sätestatud GDPR-i rakendamise seaduse jaotises 29.
Loomulikult on Manfieldil vabadus pettuste vastu tegutseda, kuid seda ei tohi teha GDPR-i sätteid rikkudes. Lisaks ei olnud tööandja andnud oma ettevõttele muud tagatist. Alternatiivsete autoriseerimismeetodite kohta ei olnud piisavalt uuritud; mõelge juurdepääsupääsu või numbrikoodi kasutamisele, olenemata sellest, kas mõlema kombinatsioon on või mitte.
Tööandja ei olnud hoolikalt mõõtnud eri tüüpi turvasüsteemide eeliseid ja puudusi ega osanud piisavalt motiveerida, miks ta eelistas konkreetset sõrmeskaneerimissüsteemi. Peamiselt sel põhjusel ei olnud tööandjal GDPR-i rakendamise seaduse alusel seaduslikku õigust nõuda oma töötajatelt sõrmejälgede skaneerimise autoriseerimissüsteemi kasutamist.
Kui olete huvitatud uue turvasüsteemi juurutamisest, tuleb hinnata, kas sellised süsteemid on GDPR-i ja rakendusseadusega lubatud. Küsimuste korral pöörduge juristide poole Seadus & Rohkem. Vastame teie küsimustele ja pakume teile juriidiline abi ja teave.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005