許可作為處理生物特徵數據的例外

最近,荷蘭數據保護局(AP)對一家掃描員工指紋以進行出勤和時間登記的公司處以725,000萬歐元的巨額罰款。 生物統計數據(例如指紋)是GDPR第9條所指的特殊個人數據。 這些獨特的特徵可以追溯到一個特定的人。 但是,此數據通常包含比例如標識所需的更多信息。 因此,它們的處理在基本權利和人民自由方面構成巨大風險。 如果這些數據落入不正確的人手中,則可能導致不可挽回的損失。 因此,生物識別數據受到良好保護,GDPR第9條禁止對其進行處理,除非有法律上的例外。 在這種情況下,美聯社認為有關公司無權獲得 例外 用於處理特殊的個人數據。

關於GDPR和其中一種例外情況下的指紋,即 必要性,我們之前在其中一個博客中寫道:“違反GDPR的指紋”。 該博客著重於異常的其他替代原因: 允許。 當雇主在其公司中使用生物特徵數據(例如指紋)時,在隱私方面,是否可以得到其僱員的許可?

許可作為處理生物特徵數據的例外

許可是指 具體,知情和明確 意志表達 根據GDPR第4條第11節,通過這種方式,某人接受通過陳述或明確的積極行動來處理其個人數據。 因此,在這種例外情況下,雇主不僅必須證明其僱員已授予許可,而且還必須明確,明確和知情。 移民局得出結論,在這種情況下,簽署僱傭合同或僅收到用人方只記錄了用指紋完全記入時鐘的意圖的人事手冊是不夠的。 作為證據,雇主必須例如提交政策,程序或其他文件,以表明其僱員已充分了解生物特徵數據的處理,並且他們也已(明確地)允許對其進行處理。

如果該許可是由員工授予的,則不僅必須是“明確的' 但是也 '自由給予根據美聯社。 例如,“顯式”是書面許可,簽名,發送電子郵件以提供許可或具有兩步驗證的許可。 “自由給予”意味著其背後不得存在任何脅迫(如所討論的情況一樣:拒絕掃描指紋時,應遵循與董事/董事會的對話)或許可可能是某些事情的條件不同。 在任何情況下,雇主有義務或有義務(如在上述情況下)將“免費提供”的條件作為記錄指紋的義務時,雇主都無法滿足。 通常,在此要求下,AP認為,鑑於雇主和僱員之間的關係所導致的依賴性,僱員不太可能自由地同意。 相反的情況必須由雇主證明。

員工是否要求員工許可以處理指紋? 然後,AP在這種情況下了解到,原則上不允許這樣做。 畢竟,員工依靠雇主,因此常常無法拒絕。 這並不是說雇主永遠不能成功地依靠許可理由。 但是,雇主必須有足夠的證據才能在同意成功的基礎上提出上訴,以便處理其僱員的生物特徵數據,例如指紋。 例如,您打算在公司內部使用生物識別數據還是您的雇主是否要求您允許使用指紋? 在這種情況下,重要的是不要立即採取行動並授予許可,而要首先獲得適當的通知。 Law & More 律師是隱私領域的專家,可以為您提供信息。 您對此博客還有其他疑問嗎? 請聯繫 Law & More.

分享到