Fingeraftryk i strid med GDPR

I denne moderne tidsalder, hvor vi lever i dag, er det stadig mere almindeligt at bruge fingeraftryk som et middel til identifikation, for eksempel: at låse en smartphone op med en fingerskanning. Men hvad med privatlivets fred, når det ikke længere finder sted i en privat sag, hvor der er bevidst frivillighed? Kan arbejdsrelateret fingeridentifikation gøres obligatorisk i forbindelse med sikkerhed? Kan en organisation pålægge sine medarbejdere en forpligtelse til at aflevere deres fingeraftryk, for eksempel for adgang til et sikkerhedssystem? Og hvordan forholder en sådan forpligtelse sig til reglerne om privatlivets fred?

Fingeraftryk i strid med GDPR

Fingeraftryk som særlige personlige data

Det spørgsmål, vi bør stille os her, er, om en fingerscanning gælder som personoplysninger i henhold til den generelle databeskyttelsesforordning. Et fingeraftryk er biometriske personoplysninger, der er resultatet af specifik teknisk behandling af en persons fysiske, fysiologiske eller adfærdsmæssige egenskaber.[1] Biometriske data kan betragtes som oplysninger, der vedrører en fysisk person, da de er data, der efter deres art leverer oplysninger om en bestemt person. Ved hjælp af biometriske data, såsom et fingeraftryk, er personen identificerbar og kan skelnes fra en anden person. I artikel 4 GDPR bekræftes dette også eksplicit af definitionbestemmelserne.[2]

Fingeraftryksidentifikation er en krænkelse af privatlivets fred?

Underretten i Amsterdam afgav for nylig om antageligheden af ​​en fingerskanning som et identifikationssystem baseret på sikkerhedsreguleringsniveau.

Skoforretningskæden Manfield brugte autorisationssystem til fingerscanning, der gav ansatte adgang til et kasseapparat.

Ifølge Manfield var brugen af ​​fingeridentifikation den eneste måde at få adgang til kassasystemet. Det var blandt andet nødvendigt at beskytte medarbejdernes økonomiske oplysninger og personlige data. Andre metoder var ikke længere kvalificerede og modtagelige for svig. En af medarbejderne i organisationen modsatte sig brugen af ​​hendes fingeraftryk. Hun tog denne autorisationsmetode som en krænkelse af sit privatliv, og henviser til artikel 9 i GDPR. I henhold til denne artikel er behandling af biometriske data med det formål at unikke identifikation af en person forbudt.

Nødvendighed

Dette forbud gælder ikke, hvor behandlingen er nødvendig for godkendelse eller sikkerhedsmæssige formål. Manfields forretningsinteresse var at forhindre tab af indtægter på grund af svigagtigt personale. Underretningsretten afviste arbejdsgiverens appel. Manfields forretningsinteresser gjorde ikke systemet 'nødvendigt til autentificering eller sikkerhedsformål' som beskrevet i afsnit 29 i GDPR Implementation Act. Naturligvis er Manfield fri til at handle mod svig, men dette kan ikke ske i strid med bestemmelserne i GDPR. Desuden havde arbejdsgiveren ikke stillet nogen anden form for sikkerhed til rådighed for sit firma. Der var udført utilstrækkelig forskning i alternative godkendelsesmetoder; tænk på brugen af ​​et adgangskort eller en numerisk kode, uanset om det er en kombination af begge. Arbejdsgiveren havde ikke nøje målt fordele og ulemper ved forskellige typer sikkerhedssystemer og kunne ikke i tilstrækkelig grad motivere, hvorfor han foretrak et specifikt fingerscanningssystem. Hovedsageligt på grund af denne grund havde arbejdsgiveren ikke den lovlige ret til at kræve brug af fingeraftryksscanningsgodkendelsessystemet på sit personale på grundlag af GDPR Implementation Act.

Hvis du er interesseret i at indføre et nyt sikkerhedssystem, skal det vurderes, om sådanne systemer er tilladt i henhold til GDPR og gennemførelsesloven. Hvis der er spørgsmål, bedes du kontakte advokaterne på Law & More. Vi besvarer dine spørgsmål og giver dig juridisk assistance og information.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Del