Ebben a modern korban, amelyben ma élünk, egyre gyakoribb az ujjlenyomatok használata az azonosítás eszközeként, például: okostelefon feloldása ujjlenyomat segítségével. Mi a helyzet a magánélettel, ha már nem zajlik magánügyben, ahol tudatos önkéntesség mutatkozik? A munkával összefüggő ujj-azonosítás kötelezővé tehető a biztonság szempontjából? Lehet-e egy szervezet kötelezni az alkalmazottait az ujjlenyomatok átadására, például egy biztonsági rendszerhez való hozzáférés érdekében? És hogyan kapcsolódik ez a kötelezettség az adatvédelmi szabályokhoz?
Ujjlenyomatok mint különleges személyes adatok
Arra a kérdésre kell feltennünk magunkat, hogy az ujjlenyomat-e személyes adatnak tekinthető-e az általános adatvédelmi rendelet értelmében. Az ujjlenyomat egy biometrikus személyes adat, amely egy személy fizikai, élettani vagy magatartási jellemzőinek speciális technikai feldolgozásának eredménye. [1] A biometrikus adatok természetes személyre vonatkozó információknak tekinthetők, mivel azok olyan adatok, amelyek természetüknél fogva információt szolgáltatnak egy adott személyről. Biometrikus adatok, például ujjlenyomat segítségével a személy azonosítható, és megkülönböztethető más személytől. A GDPR 4. cikkében ezt a meghatározási rendelkezések is kifejezetten megerősítik [2].
Az ujjlenyomat-azonosítás a magánélet megsértése?
A kerületi bíróság Amsterdam a közelmúltban hozott határozatot az ujjleolvasás mint biztonsági szabályozási szint alapján történő azonosítási rendszer megengedhetőségéről.
A Manfield cipőüzletlánc ujjlenyomat-ellenőrzési engedélyezési rendszert használt, amely hozzáférést biztosított az alkalmazottak számára a pénztárgéphez.
Manfield szerint az ujj-azonosítás volt az egyetlen módja annak, hogy hozzáférjenek a pénztárgép-rendszerhez. Szükség volt többek között a munkavállalók pénzügyi és személyes adatainak védelmére. Más módszerek már nem voltak alkalmasak és csalásra hajlamosak. A szervezet egyik alkalmazottja kifogásolta az ujjlenyomatának használatát. Ezt az engedélyezési módszert magánéletének megsértéseként vélte, hivatkozva a GDPR 9. cikkére. E cikk értelmében tilos a biometrikus adatok feldolgozása személy egyedi azonosítása céljából.
Szükségesség
Ez a tilalom nem vonatkozik arra az esetre, ha a feldolgozás hitelesítés vagy biztonsági célból szükséges. A Manfield üzleti érdeke az volt, hogy megakadályozza a csaló személyzet által okozott bevételkiesést. A kerületi bíróság elutasította a munkáltató fellebbezését. A Manfield üzleti érdekei nem tették a rendszert „szükségessé hitelesítés vagy biztonsági célok érdekében”, amint azt a GDPR végrehajtási törvény 29. szakasza előírja. Természetesen Manfield szabadon felléphet a csalások ellen, de ez nem feltétlenül a GDPR rendelkezéseinek megsértésével történhet. Ezenkívül a munkáltató semmilyen más biztosítékot nem nyújtott a vállalatának. Az alternatív engedélyezési módszerekkel kapcsolatban nem végeztek elegendő kutatást; gondoljon a hozzáférési engedély vagy a numerikus kód használatára, függetlenül attól, hogy mindkettő kombinációja-e. A munkáltató nem mérte fel alaposan a különféle típusú biztonsági rendszerek előnyeit és hátrányait, és nem tudta kellően motiválni, miért választott egy adott ujjlenyomat-rendszert. Főként emiatt a munkáltatónak nem volt törvényes joga a GDPR végrehajtási törvény alapján az ujjlenyomat-beolvasási engedélyezési rendszer alkalmazását megkövetelni munkatársaitól.
Ha érdekli egy új biztonsági rendszer bevezetése, meg kell vizsgálni, hogy megengedett-e az ilyen rendszerek a GDPR és a végrehajtási törvény alapján. Ha kérdése van, vegye fel a kapcsolatot az ügyvédekkel a következő címen: Law & More. Megválaszoljuk kérdéseit, és jogi segítséget és információkat nyújtunk Önnek.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005