違反GDPR的指紋

在我們今天生活的這個現代時代,使用指紋作為識別手段變得越來越普遍,例如:通過手指掃描解鎖智能手機。 但是,如果隱私不再存在於有意識的自願主義的私人事務中,那該怎麼辦呢? 在安全的情況下,可以強制與工作相關的手指識別嗎? 組織是否可以強制員工上交指紋,例如訪問安全系統? 此類義務與隱私規則有何關係?

違反GDPR的指紋

指紋作為特殊個人數據

我們在這裡應該問自己的問題是,手指掃描是否適用於《通用數據保護條例》所指的個人數據。 指紋是生物特徵個人數據,是個人身體,生理或行為特徵經過特定技術處理的結果。[1] 生物特徵數據可以被視為與自然人有關的信息,因為它們是根據其性質提供有關特定人的信息的數據。 借助於諸如指紋的生物特徵數據,該人是可識別的並且可以與另一個人區分開。 在GDPR第4條中,定義條款也明確確認了這一點。[2]

指紋識別是否侵犯隱私?

阿姆斯特丹地方法院最近根據安全法規等級,將手指掃描作為識別系統的可受理性作出裁決。

鞋店連鎖店Manfield使用了指紋掃描授權系統,該系統使員工可以使用收銀機。

曼菲爾德認為,使用手指識別是進入收銀機系統的唯一途徑。 除其他外,有必要保護員工的財務信息和個人數據。 其他方法已不再具有資格,並且容易受到欺詐。 該組織的一名員工反對使用她的指紋。 她採用這種授權方法侵犯了她的隱私,並參考了GDPR第9條。 根據這篇文章,禁止以個人身份識別為目的的生物特徵數據處理。

必要性

在出於身份驗證或安全性目的而需要進行處理的情況下,此禁止不適用。 Manfield的商業利益是防止由於欺詐人員而造成的收入損失。 街道法院駁回了雇主的上訴。 根據GDPR實施法案第29條的規定,Manfield的商業利益並未使該系統成為“出於認證或安全目的所必需的”系統。 當然,曼菲爾德(Manfield)可以自由採取行動來打擊欺詐行為,但這可能不會違反GDPR的規定。 此外,雇主沒有為公司提供任何其他形式的擔保。 對替代授權方法的研究不足; 考慮使用通行證或數字代碼,無論是否兩者結合。 雇主沒有仔細衡量不同類型的安全系統的優缺點,也無法充分激發他偏愛特定手指掃描系統的原因。 主要是因為這個原因,雇主沒有合法權利要求根據GDPR實施法對其員工使用指紋掃描授權系統。

如果您有興趣引入新的安全系統,則必須評估GDPR和《實施法案》是否允許使用這種系統。 如有任何疑問,請聯繫律師 Law & More。 我們將回答您的問題,並為您提供法律援助和信息.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI:NL:RBAMS:2019:6005

分享到