Ujjlenyomat, sértve a GDPR-t

Ebben a modern korban, amelyben ma élünk, egyre gyakoribb az ujjlenyomatok használata az azonosítás eszközeként, például: okostelefon feloldása ujjlenyomat segítségével. Mi a helyzet a magánélettel, ha már nem zajlik magánügyben, ahol tudatos önkéntesség mutatkozik? A munkával összefüggő ujj-azonosítás kötelezővé tehető a biztonság szempontjából? Lehet-e egy szervezet kötelezni az alkalmazottait az ujjlenyomatok átadására, például egy biztonsági rendszerhez való hozzáférés érdekében? És hogyan kapcsolódik ez a kötelezettség az adatvédelmi szabályokhoz?

Ujjlenyomat, sértve a GDPR-t

Ujjlenyomatok mint különleges személyes adatok

Itt azt a kérdést kell feltennünk magunknak, hogy az ujjlenyomat-vizsgálat személyes adatoknak minősül-e az Általános Adatvédelmi Rendelet értelmében. Az ujjlenyomat olyan biometrikus személyes adat, amely egy személy fizikai, fiziológiai vagy viselkedési jellemzőinek speciális technikai feldolgozásának eredménye.[1] A biometrikus adatok természetes személyre vonatkozó információknak tekinthetők, mivel azok olyan adatok, amelyek természetüknél fogva információt szolgáltatnak egy adott személyről. Biometrikus adatok, például ujjlenyomat segítségével a személy azonosítható, és megkülönböztethető más személytől. A GDPR 4. cikkében ezt a meghatározási rendelkezések is kifejezetten megerősítik.[2]

Az ujjlenyomat-azonosítás a magánélet megsértése?

Az amszterdami kerületi bíróság nemrégiben határozott arról, hogy az ujjlenyomat elfogadható-ea biztonsági előírások szintjén alapuló azonosító rendszerként.

A Manfield cipőüzletlánc ujjlenyomat-ellenőrzési engedélyezési rendszert használt, amely hozzáférést biztosított az alkalmazottak számára a pénztárgéphez.

Manfield szerint az ujj-azonosítás volt az egyetlen módja annak, hogy hozzáférjenek a pénztárgép-rendszerhez. Szükség volt többek között a munkavállalók pénzügyi és személyes adatainak védelmére. Más módszerek már nem voltak alkalmasak és csalásra hajlamosak. A szervezet egyik alkalmazottja kifogásolta az ujjlenyomatának használatát. Ezt az engedélyezési módszert magánéletének megsértéseként vélte, hivatkozva a GDPR 9. cikkére. E cikk értelmében tilos a biometrikus adatok feldolgozása személy egyedi azonosítása céljából.

Szükségesség

Ez a tilalom nem vonatkozik arra az esetre, ha a feldolgozás hitelesítés vagy biztonsági célból szükséges. A Manfield üzleti érdeke az volt, hogy megakadályozza a csaló személyzet által okozott bevételkiesést. A kerületi bíróság elutasította a munkáltató fellebbezését. A Manfield üzleti érdekei nem tették a rendszert „szükségessé hitelesítés vagy biztonsági célok érdekében”, amint azt a GDPR végrehajtási törvény 29. szakasza előírja. Természetesen Manfield szabadon felléphet a csalások ellen, de ez nem feltétlenül a GDPR rendelkezéseinek megsértésével történhet. Ezenkívül a munkáltató semmilyen más biztosítékot nem nyújtott a vállalatának. Az alternatív engedélyezési módszerekkel kapcsolatban nem végeztek elegendő kutatást; gondoljon a hozzáférési engedély vagy a numerikus kód használatára, függetlenül attól, hogy mindkettő kombinációja-e. A munkáltató nem mérte fel alaposan a különféle típusú biztonsági rendszerek előnyeit és hátrányait, és nem tudta kellően motiválni, miért választott egy adott ujjlenyomat-rendszert. Főként emiatt a munkáltatónak nem volt törvényes joga a GDPR végrehajtási törvény alapján az ujjlenyomat-beolvasási engedélyezési rendszer alkalmazását megkövetelni munkatársaitól.

Ha érdekli egy új biztonsági rendszer bevezetése, meg kell vizsgálni, hogy megengedett-e az ilyen rendszerek a GDPR és a végrehajtási törvény alapján. Ha kérdése van, vegye fel a kapcsolatot az ügyvédekkel a következő címen: Law & More. Megválaszoljuk kérdéseit, és jogi segítséget és információkat nyújtunk Önnek.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Megosztás