Fingrafar í bága við GDPR

Í þessari nútíma sem við búum við í dag er það æ algengara að nota fingraför sem auðkenningu, til dæmis: að opna snjallsíma með fingraskönnun. En hvað um friðhelgi einkalífsins þegar það fer ekki fram lengur í einkamálum þar sem er meðvitað sjálfboðavinna? Er hægt að gera vinnutengd fingurauðkenni skylt í öryggismálum? Getur stofnun lagt skyldu á starfsmenn sína til að afhenda fingraför sín, til dæmis vegna aðgangs að öryggiskerfi? Og hvernig tengist slík skylda persónuverndarreglunum?

Fingrafar í bága við GDPR

Fingrafar sem sérstök persónuleg gögn

Spurningin sem við ættum að spyrja okkur hér er hvort fingurgróf eigi við sem persónuleg gögn í skilningi almennrar persónuverndarreglugerðar. Fingrafar eru líffræðileg tölfræðilegar upplýsingar sem eru afleiðing af sérstakri tæknilegri vinnslu á líkamlegum, lífeðlisfræðilegum eða atferlislegum einkennum.[1] Líffræðileg tölfræði má líta á sem upplýsingar sem varða einstakling einstakling, þar sem þau eru gögn sem í eðli sínu veita upplýsingar um tiltekinn einstakling. Með líffræðileg tölfræðilegum gögnum eins og fingrafi er viðkomandi auðkennanlegur og hægt að greina frá öðrum. Í 4. gr. GDPR er þetta einnig staðfest sérstaklega með skilgreiningarákvæðunum.[2]

Auðkenni fingrafar er brot á friðhelgi einkalífsins?

Dómstóllinn í Amsterdam úrskurðaði nýlega um töku fingraða sem auðkenningarkerfi sem byggist á öryggisstigastigi.

Skóbúðakeðjan Manfield notaði heimildarkerfi fingra skanna sem gaf starfsmönnum aðgang að sjóðsskrá.

Samkvæmt Manfield var notkun fingraauðkennis eina leiðin til að fá aðgang að sjóðsskráningarkerfinu. Nauðsynlegt var meðal annars að vernda fjárhagsupplýsingar starfsmanna og persónuupplýsingar. Aðrar aðferðir voru ekki lengur hæfar og næmar fyrir svikum. Einn starfsmanna samtakanna mótmælti notkun fingrafarsins hennar. Hún tók þessa heimildaraðferð sem brot á friðhelgi einkalífs síns og vísaði til 9. greinar GDPR. Samkvæmt þessari grein er vinnsla líffræðilegra gagna í þeim tilgangi að einstök auðkenni einstaklings er óheimil.

Nauðsyn

Þetta bann á ekki við þar sem vinnslan er nauðsynleg í auðkenningar- eða öryggisskyni. Viðskiptahagsmunir Manfield voru að koma í veg fyrir tekjutap vegna sviksamlegs starfsfólks. Héraðsdómur hafnaði áfrýjun vinnuveitandans. Viðskiptahagsmunir Manfield gerðu kerfið ekki „nauðsynlegt í auðkenningar- eða öryggisskyni“, eins og kveðið er á um í 29. kafla framkvæmdalaga GDPR. Auðvitað er Manfield frjálst að bregðast við svikum en það er ekki víst að það sé gert í bága við ákvæði GDPR. Ennfremur hafði vinnuveitandinn ekki veitt fyrirtæki sínu neina aðra tryggingu. Ófullnægjandi rannsóknir höfðu verið gerðar á öðrum leyfisaðferðum; hugsaðu um notkun aðgangskorts eða tölukóða, hvort sem það er sambland af hvoru tveggja eða ekki. Vinnuveitandinn hafði ekki mælt vandlega kosti og galla mismunandi gerða öryggiskerfa og gat ekki nægilega hvatt til þess hvers vegna hann kaus sértækt fingraskannakerfi. Aðallega af þessum sökum hafði atvinnurekandinn ekki lagalegan rétt til að krefjast þess að nota leyfi fyrir fingrafaraskönnun á starfsfólki sínu á grundvelli framkvæmdalaga GDPR.

Ef þú hefur áhuga á að taka upp nýtt öryggiskerfi verður að meta hvort slík kerfi séu leyfð samkvæmt GDPR og framkvæmdarlögunum. Ef einhverjar spurningar eru vinsamlegast hafið samband við lögfræðingana á Law & More. Við munum svara spurningum þínum og veita þér lögfræðilega aðstoð og upplýsingar.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Deila