最近,荷兰数据保护局(AP)对一家扫描员工指纹以进行出勤和时间登记的公司处以725,000万欧元的巨额罚款。 生物统计数据(例如指纹)是GDPR第9条所指的特殊个人数据。 这些独特的特征可以追溯到一个特定的人。 但是,此数据通常包含比例如标识所需要的更多的信息。 因此,它们的处理在基本权利和人民自由方面构成巨大风险。 如果这些数据落入不正确的人手中,则可能导致不可挽回的损失。 因此,生物识别数据受到良好保护,GDPR第9条禁止对其进行处理,除非有法律例外。 在这种情况下,美联社得出结论,有关公司无权获得 例外 用于处理特殊的个人数据。
指纹
关于GDPR和其中一种例外情况下的指纹,即 必要性,我们之前在其中一个博客中写道:“违反GDPR的指纹”。 此博客着重于异常的其他替代原因: 允许。 当雇主在其公司中使用生物特征识别数据(例如指纹)时,是否可以在雇员的许可下满足隐私要求?
许可是指 具体,知情和明确 意志表达 根据GDPR第4条第11节,通过这种方式,某人接受陈述或明确的积极行动来处理其个人数据。 因此,在这种例外情况下,用人单位不仅必须证明其雇员已授予许可,而且还必须明确,明确和知情。 移民局得出结论,在这种情况下,签定雇佣合同或只收到用人单位只记录了用指纹完全记入时钟的意图的人事手册是不够的。 作为证据,雇主必须例如提交政策,程序或其他文件,以表明其雇员已充分了解生物特征数据的处理,并且他们也已(明确地)允许对其进行处理。
如果该许可是由员工授予的,则不仅必须是“明确的' 但是也 '自由给予根据美联社。 “显式”是例如书面许可,签名,发送电子邮件以提供许可或具有两步验证的许可。 “自由给予”意味着其背后不得存在任何强制性(就像在这种情况下那样:当拒绝扫描指纹时,要跟董事/董事会进行对话),或者许可可能是某些事情的条件。不同。 在任何情况下,雇主有义务或有义务(如在上述情况下)将“免费提供”的条件作为记录指纹的义务时,雇主都无法满足。 通常,在此要求下,AP认为,鉴于雇主与雇员之间的关系所导致的依赖性,雇员不太可能自由地给予他或她的同意。 相反的情况必须由雇主证明。
员工是否要求员工许可以处理指纹? 然后,AP在这种情况下了解到,原则上不允许这样做。 毕竟,员工依靠雇主,因此常常无法拒绝。 这并不是说雇主永远不能成功地依靠许可理由。 但是,雇主必须有足够的证据根据同意成功进行上诉,以便处理其雇员的生物特征数据,例如指纹。 例如,您打算使用公司内部的生物识别数据还是您的雇主是否要求您允许使用指纹? 在这种情况下,重要的是不要立即采取行动并授予许可,而要首先获得适当的通知。 Law & More 律师是隐私领域的专家,可以为您提供信息。 您对此博客还有其他疑问吗? 请联系 Law & More.