ลายนิ้วมือในการละเมิด GDPR

ในยุคปัจจุบันนี้ที่เราอาศัยอยู่ในทุกวันนี้มันเป็นเรื่องธรรมดามากขึ้นที่จะใช้ลายนิ้วมือเพื่อระบุตัวตนตัวอย่างเช่น: ปลดล็อคสมาร์ทโฟนด้วยการสแกนลายนิ้วมือ แต่จะเกี่ยวกับความเป็นส่วนตัวเมื่อไม่เกิดขึ้นในเรื่องส่วนตัวที่มีความสมัครใจ? สามารถระบุตัวบุคคลที่เกี่ยวข้องกับงานได้ในบริบทของความปลอดภัยหรือไม่? องค์กรสามารถกำหนดข้อผูกพันให้พนักงานส่งลายนิ้วมือได้เช่นการเข้าถึงระบบรักษาความปลอดภัยหรือไม่? และภาระผูกพันดังกล่าวเกี่ยวข้องกับกฎความเป็นส่วนตัวอย่างไร

ลายนิ้วมือในการละเมิด GDPR

ลายนิ้วมือเป็นข้อมูลส่วนบุคคลพิเศษ

The question we should ask ourselves here, is whether a finger scan applies as personal data within the meaning of the General Data Protection Regulation. A fingerprint is a biometric personal data that is the result of specific technical processing of a person’s physical, physiological or behavioral characteristics.[1] ข้อมูลไบโอเมตริกซ์ถือได้ว่าเป็นข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาเนื่องจากเป็นข้อมูลที่บุคคลเหล่านั้นให้ข้อมูล โดยใช้ข้อมูลไบโอเมตริกซ์เช่นลายนิ้วมือบุคคลนั้นสามารถระบุตัวตนและสามารถแยกแยะได้จากบุคคลอื่น ในบทความ 4 GDPR สิ่งนี้ได้รับการยืนยันอย่างชัดเจนโดยข้อกำหนดของข้อกำหนด[2]

ระบุลายนิ้วมือเป็นการละเมิดความเป็นส่วนตัว?

เมื่อเร็ว ๆ นี้ศาลแขวงอัมสเตอร์ดัมได้ตัดสินให้ระบบสแกนลายนิ้วมือเป็นระบบระบุตัวตนตามระดับความปลอดภัย

โซ่ร้านขายรองเท้า Manfield ใช้ระบบตรวจสอบลายนิ้วมือซึ่งทำให้พนักงานสามารถเข้าถึงเครื่องบันทึกเงินสด

According to Manfield, the use of finger identification was the only way to gain access to the cash register system. It was necessary, among other things, to protect employees’ financial information and personal data. Other methods were no longer qualified and susceptible to fraud. One of the employees of the organization objected to the use of her fingerprint. She took this authorization method as a violation of her privacy, referring to article 9 of the GDPR. According to this article, the processing of biometric data for the purpose of the unique identification of a person is prohibited.

ความจำเป็น

This prohibition does not apply where the processing is necessary for authentication or security purposes. Manfield’s business interest was to prevent loss of revenue due to fraudulent personnel. The Subdistrict Court rejected the employer’s appeal. Manfield’s business interests did not make the system ‘necessary for authentication or security purposes’, as stipulated in Section 29 of the GDPR Implementation Act. Of course, Manfield is free to act against fraud, but this may not be done in violation of the provisions of the GDPR. Furthermore, the employer had not provided its company with any other form of security. Insufficient research had been carried out into alternative authorization methods; think of the use of an access pass or numerical code, whether or not a combination of both.  The employer had not carefully measured the advantages and disadvantages of different types of security systems and could not sufficiently motivate why he preferred a specific finger scan system. Mainly because of this reason, the employer did not have the legal right to require the use of the fingerprint scanning authorization system on his staff on the basis of the GDPR Implementation Act.

หากคุณสนใจที่จะแนะนำระบบรักษาความปลอดภัยแบบใหม่นั้นจะต้องมีการประเมินว่าระบบดังกล่าวได้รับอนุญาตภายใต้ GDPR และพระราชบัญญัติการดำเนินการหรือไม่ หากมีคำถามใด ๆ โปรดติดต่อทนายความที่ Law & More. เราจะตอบคำถามของคุณและให้ความช่วยเหลือทางกฎหมายและข้อมูลแก่คุณ.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

เเชร์