Fingeraftryk i strid med GDPR

I denne moderne tidsalder, hvor vi lever i dag, er det stadig mere almindeligt at bruge fingeraftryk som et middel til identifikation, for eksempel: at låse en smartphone op med en fingerskanning. Men hvad med privatlivets fred, når det ikke længere finder sted i en privat sag, hvor der er bevidst frivillighed? Kan arbejdsrelateret fingeridentifikation gøres obligatorisk i forbindelse med sikkerhed? Kan en organisation pålægge sine medarbejdere en forpligtelse til at aflevere deres fingeraftryk, for eksempel for adgang til et sikkerhedssystem? Og hvordan forholder en sådan forpligtelse sig til reglerne om privatlivets fred?

Fingeraftryk i strid med GDPR

Fingeraftryk som særlige personlige data

Spørgsmålet, som vi bør stille os selv her, er, om en fingerskanning anvendes som personoplysninger i henhold til den generelle databeskyttelsesforordning. Et fingeraftryk er en biometrisk personlige data, der er resultatet af specifik teknisk behandling af en persons fysiske, fysiologiske eller adfærdsmæssige egenskaber.[1] Biometriske data kan betragtes som oplysninger, der vedrører en fysisk person, da de er data, der efter deres art leverer oplysninger om en bestemt person. Ved hjælp af biometriske data, såsom et fingeraftryk, er personen identificerbar og kan skelnes fra en anden person. I artikel 4 GDPR bekræftes dette også eksplicit af definitionbestemmelserne.[2]

Fingeraftryksidentifikation er en krænkelse af privatlivets fred?

Underretten i Amsterdam afgav for nylig om antageligheden af ​​en fingerskanning som et identifikationssystem baseret på sikkerhedsreguleringsniveau.

Skoforretningskæden Manfield brugte autorisationssystem til fingerscanning, der gav ansatte adgang til et kasseapparat.

Ifølge Manfield var brugen af ​​fingeridentifikation den eneste måde at få adgang til kassasystemet. Det var blandt andet nødvendigt at beskytte medarbejdernes økonomiske oplysninger og personlige data. Andre metoder var ikke længere kvalificerede og modtagelige for svig. En af medarbejderne i organisationen modsatte sig brugen af ​​hendes fingeraftryk. Hun tog denne autorisationsmetode som en krænkelse af hendes privatliv, henvist til artikel 9 i GDPR. I henhold til denne artikel er behandling af biometriske data med det formål at identificere en person unik.

Nødvendighed

Dette forbud gælder ikke, når behandlingen er nødvendig til godkendelse eller sikkerhedsmæssige formål. Manfields forretningsinteresse var at forhindre tab af indtægter på grund af falske medarbejdere. Underretten afviste arbejdsgivers appel. Manfields forretningsinteresser gjorde ikke systemet 'nødvendigt til godkendelse eller sikkerhedsmæssige formål', som beskrevet i § 29 i GDPR-implementeringsloven. Manfield er selvfølgelig fri til at handle mod svig, men dette kan muligvis ikke ske i strid med bestemmelserne i GDPR. Desuden havde arbejdsgiveren ikke stillet sin virksomhed nogen anden form for sikkerhed. Der var ikke foretaget utilstrækkelig undersøgelse af alternative godkendelsesmetoder; tænk på brugen af ​​et adgangskort eller en numerisk kode, uanset om en kombination af begge er eller ej. Arbejdsgiveren havde ikke omhyggeligt målt fordele og ulemper ved forskellige typer sikkerhedssystemer og kunne ikke tilstrækkeligt motivere, hvorfor han foretrak et specifikt finger scanningssystem. Hovedsageligt på grund af denne grund havde arbejdsgiveren ikke den lovlige ret til at kræve brug af godkendelsessystemet til fingeraftryksscanning på sit personale på grundlag af GDPR-implementeringsloven.

Hvis du er interesseret i at indføre et nyt sikkerhedssystem, skal det vurderes, om sådanne systemer er tilladt i henhold til GDPR og gennemførelsesloven. Hvis der er spørgsmål, bedes du kontakte advokaterne på Law & More. Vi besvarer dine spørgsmål og giver dig juridisk assistance og information.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Del