Az ujjlenyomat-leolvasás megsérti a GDPR-szabályokat?

Ebben a modern korban, amelyben ma élünk, egyre gyakoribb az ujjlenyomatok használata az azonosítás eszközeként, például: okostelefon feloldása ujjlenyomat segítségével. Mi a helyzet a magánélettel, ha már nem zajlik magánügyben, ahol tudatos önkéntesség mutatkozik? A munkával összefüggő ujj-azonosítás kötelezővé tehető a biztonság szempontjából? Lehet-e egy szervezet kötelezni az alkalmazottait az ujjlenyomatok átadására, például egy biztonsági rendszerhez való hozzáférés érdekében? És hogyan kapcsolódik ez a kötelezettség az adatvédelmi szabályokhoz?

Ujjlenyomatok mint különleges személyes adatok

Arra a kérdésre kell feltennünk magunkat, hogy az ujjlenyomat-e személyes adatnak tekinthető-e az általános adatvédelmi rendelet értelmében. Az ujjlenyomat egy biometrikus személyes adat, amely egy személy fizikai, élettani vagy magatartási jellemzőinek speciális technikai feldolgozásának eredménye. [1] A biometrikus adatok természetes személyre vonatkozó információknak tekinthetők, mivel azok olyan adatok, amelyek természetüknél fogva információt szolgáltatnak egy adott személyről. Biometrikus adatok, például ujjlenyomat segítségével a személy azonosítható, és megkülönböztethető más személytől. A GDPR 4. cikkében ezt a meghatározási rendelkezések is kifejezetten megerősítik [2].

Az ujjlenyomat-azonosítás a magánélet megsértése?

A kerületi bíróság Amsterdam a közelmúltban hozott határozatot az ujjleolvasás mint biztonsági szabályozási szint alapján történő azonosítási rendszer megengedhetőségéről.

A Manfield cipőüzletlánc ujjlenyomat-ellenőrzési engedélyezési rendszert használt, amely hozzáférést biztosított az alkalmazottak számára a pénztárgéphez.

Manfield szerint az ujj-azonosítás volt az egyetlen módja annak, hogy hozzáférjenek a pénztárgép-rendszerhez. Szükség volt többek között a munkavállalók pénzügyi és személyes adatainak védelmére. Más módszerek már nem voltak alkalmasak és csalásra hajlamosak. A szervezet egyik alkalmazottja kifogásolta az ujjlenyomatának használatát. Ezt az engedélyezési módszert magánéletének megsértéseként vélte, hivatkozva a GDPR 9. cikkére. E cikk értelmében tilos a biometrikus adatok feldolgozása személy egyedi azonosítása céljából.

Szükségesség

Ez a tilalom nem vonatkozik arra az esetre, ha a feldolgozás hitelesítési vagy biztonsági okokból szükséges. A Manfield üzleti érdeke az volt, hogy megakadályozza a csalárd alkalmazottak miatti bevételkiesést. A járásbíróság elutasította a munkáltató fellebbezését. A Manfield üzleti érdekei nem tették „szükségessé hitelesítési vagy biztonsági okokból” a rendszert, ahogyan azt a GDPR végrehajtási törvény 29. szakasza is előírja.

Természetesen a Manfield szabadon felléphet a csalás ellen, de ez nem történhet a GDPR rendelkezéseinek megsértésével. Ezenkívül a munkáltató semmilyen másfajta biztosítékot nem nyújtott társaságának. Nem végeztek elegendő kutatást az alternatív engedélyezési módszerekről; gondoljunk a hozzáférési engedély vagy a numerikus kód használatára, akár a kettő kombinációja, akár nem.

A munkáltató nem mérte fel alaposan a különböző típusú biztonsági rendszerek előnyeit és hátrányait, és nem tudta kellőképpen megindokolni, hogy miért preferált egy adott ujjleolvasó rendszert. Főleg emiatt a munkáltatónak nem volt törvényes joga a GDPR végrehajtási törvény alapján az ujjlenyomat-leolvasó engedélyezési rendszer használatát előírni munkatársainál.

Ha érdekli egy új biztonsági rendszer bevezetése, meg kell vizsgálni, hogy megengedett-e az ilyen rendszerek a GDPR és a végrehajtási törvény alapján. Ha kérdése van, vegye fel a kapcsolatot az ügyvédekkel a következő címen: Törvény & Egyebek. Megválaszoljuk kérdéseit és ellátjuk jogi segítséget és tájékoztatást.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005