违反GDPR的指纹

在我们今天生活的这个现代时代,使用指纹作为识别手段变得越来越普遍,例如:通过手指扫描解锁智能手机。 但是,如果隐私不再存在于有意识的自愿主义的私人事务中,那该怎么办呢? 在安全的情况下,可以强制与工作相关的手指识别吗? 组织是否可以强制员工上交指纹,例如访问安全系统? 此类义务与隐私规则有何关系?

违反GDPR的指纹

指纹作为特殊个人数据

我们在这里应该问自己的问题是,手指扫描是否适用于《通用数据保护条例》所指的个人数据。 指纹是生物特征个人数据,它是对人的身体,生理或行为特征进行特定技术处理的结果。[1] 生物特征数据可以被视为与自然人有关的信息,因为它们是根据其性质提供有关特定人的信息的数据。 借助于诸如指纹的生物特征数据,该人是可识别的并且可以与另一个人区分开。 在GDPR第4条中,定义条款也明确确认了这一点。[2]

指纹识别是否侵犯隐私?

阿姆斯特丹地方法院最近根据安全法规等级,将手指扫描作为识别系统的可受理性作出裁决。

鞋店连锁店Manfield使用了指纹扫描授权系统,该系统使员工可以使用收银机。

曼菲尔德认为,使用手指识别是进入收银机系统的唯一途径。 除其他外,有必要保护员工的财务信息和个人数据。 其他方法已不再具有资格,并且容易受到欺诈。 该组织的一名员工反对使用她的指纹。 她采用这种授权方法侵犯了她的隐私,并参考了GDPR第9条。 根据本文,禁止为个人身份识别而处理生物特征数据。

必要性

在出于身份验证或安全性目的而必须进行处理的情况下,此禁止不适用。 Manfield的商业利益是防止由于欺诈人员而造成的收入损失。 街道法院驳回了雇主的上诉。 曼菲尔德的商业利益并未使该系统成为“ GDPR实施法案”第29条所规定的“出于认证或安全目的所必需的”系统。 当然,曼菲尔德(Manfield)可以自由地采取欺诈行动,但这可能不会违反GDPR的规定。 此外,雇主没有向公司提供任何其他形式的担保。 对替代授权方法的研究不足; 考虑使用通行证或数字代码,无论是否两者结合。 雇主没有仔细衡量不同类型的安全系统的优缺点,也无法充分激发他偏爱特定手指扫描系统的原因。 主要是因为这个原因,雇主没有合法权利要求根据GDPR实施法对其员工使用指纹扫描授权系统。

如果您有兴趣引入新的安全系统,则必须评估GDPR和《实施法案》是否允许使用这种系统。 如有任何疑问,请联系律师 Law & More。 我们将回答您的问题,并为您提供法律援助和信息.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI:NL:RBAMS:2019:6005

分享