ลายนิ้วมือในการละเมิด GDPR

ในยุคปัจจุบันนี้ที่เราอาศัยอยู่ในทุกวันนี้มันเป็นเรื่องธรรมดามากขึ้นที่จะใช้ลายนิ้วมือเพื่อระบุตัวตนตัวอย่างเช่น: ปลดล็อคสมาร์ทโฟนด้วยการสแกนลายนิ้วมือ แต่จะเกี่ยวกับความเป็นส่วนตัวเมื่อไม่เกิดขึ้นในเรื่องส่วนตัวที่มีความสมัครใจ? สามารถระบุตัวบุคคลที่เกี่ยวข้องกับงานได้ในบริบทของความปลอดภัยหรือไม่? องค์กรสามารถกำหนดข้อผูกพันให้พนักงานส่งลายนิ้วมือได้เช่นการเข้าถึงระบบรักษาความปลอดภัยหรือไม่? และภาระผูกพันดังกล่าวเกี่ยวข้องกับกฎความเป็นส่วนตัวอย่างไร

ลายนิ้วมือในการละเมิด GDPR

ลายนิ้วมือเป็นข้อมูลส่วนบุคคลพิเศษ

คำถามที่เราควรถามตัวเองที่นี่คือการสแกนนิ้วใช้เป็นข้อมูลส่วนบุคคลตามความหมายของข้อบังคับการคุ้มครองข้อมูลทั่วไปหรือไม่ ลายนิ้วมือเป็นข้อมูลส่วนบุคคลแบบไบโอเมตริกซ์ซึ่งเป็นผลมาจากการประมวลผลทางเทคนิคเฉพาะของลักษณะทางกายภาพสรีรวิทยาหรือพฤติกรรมของบุคคล [1] ข้อมูลไบโอเมตริกซ์ถือได้ว่าเป็นข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาเนื่องจากเป็นข้อมูลที่ให้ข้อมูลเกี่ยวกับบุคคลใดบุคคลหนึ่งโดยธรรมชาติ โดยใช้ข้อมูลไบโอเมตริกซ์เช่นลายนิ้วมือบุคคลนั้นสามารถระบุตัวตนได้และสามารถแยกแยะออกจากบุคคลอื่นได้ ในมาตรา 4 GDPR นี้ยังได้รับการยืนยันอย่างชัดเจนโดยบทบัญญัติคำนิยาม [2]

ระบุลายนิ้วมือเป็นการละเมิดความเป็นส่วนตัว?

เมื่อเร็ว ๆ นี้ศาลแขวงอัมสเตอร์ดัมได้ตัดสินให้ระบบสแกนลายนิ้วมือเป็นระบบระบุตัวตนตามระดับความปลอดภัย

โซ่ร้านขายรองเท้า Manfield ใช้ระบบตรวจสอบลายนิ้วมือซึ่งทำให้พนักงานสามารถเข้าถึงเครื่องบันทึกเงินสด

จากข้อมูลของ Manfield การใช้การระบุลายนิ้วมือเป็นวิธีเดียวในการเข้าถึงระบบเครื่องบันทึกเงินสด การปกป้องข้อมูลทางการเงินและข้อมูลส่วนบุคคลของพนักงานเป็นสิ่งจำเป็น วิธีการอื่น ๆ ไม่ผ่านการรับรองและเสี่ยงต่อการฉ้อโกงอีกต่อไป พนักงานคนหนึ่งขององค์กรคัดค้านการใช้ลายนิ้วมือของเธอ เธอใช้วิธีการอนุญาตนี้เป็นการละเมิดความเป็นส่วนตัวโดยอ้างถึงมาตรา 9 ของ GDPR ตามบทความนี้ห้ามมิให้ประมวลผลข้อมูลไบโอเมตริกซ์เพื่อจุดประสงค์ในการระบุตัวตนของบุคคล

ความจำเป็น

ข้อห้ามนี้ใช้ไม่ได้ในกรณีที่การประมวลผลเป็นสิ่งที่จำเป็นสำหรับวัตถุประสงค์ในการตรวจสอบสิทธิ์หรือความปลอดภัย ผลประโยชน์ทางธุรกิจของ Manfield คือการป้องกันการสูญเสียรายได้เนื่องจากบุคลากรที่ฉ้อโกง ตร. ปฏิเสธคำอุทธรณ์ของนายจ้าง ผลประโยชน์ทางธุรกิจของ Manfield ไม่ได้ทำให้ระบบ 'จำเป็นสำหรับการรับรองความถูกต้องหรือวัตถุประสงค์ด้านความปลอดภัย' ตามที่ระบุไว้ในมาตรา 29 ของพระราชบัญญัติการนำ GDPR แน่นอนว่า Manfield มีอิสระที่จะต่อต้านการฉ้อโกง แต่อาจไม่สามารถกระทำได้โดยละเมิดบทบัญญัติของ GDPR นอกจากนี้นายจ้างยังไม่ได้จัดหาความปลอดภัยในรูปแบบอื่นให้กับ บริษัท มีการวิจัยไม่เพียงพอในวิธีการอนุญาตแบบอื่น ลองนึกถึงการใช้รหัสผ่านหรือรหัสตัวเลขไม่ว่าจะใช้ทั้งสองอย่างร่วมกันหรือไม่ นายจ้างไม่ได้วัดข้อดีและข้อเสียของระบบรักษาความปลอดภัยประเภทต่างๆอย่างรอบคอบและไม่สามารถจูงใจได้เพียงพอว่าเหตุใดเขาจึงเลือกใช้ระบบสแกนลายนิ้วมือโดยเฉพาะ สาเหตุหลักมาจากเหตุนี้นายจ้างจึงไม่มีสิทธิ์ตามกฎหมายที่จะกำหนดให้ใช้ระบบการอนุญาตการสแกนลายนิ้วมือกับพนักงานของเขาตามพระราชบัญญัติการปฏิบัติตาม GDPR

หากคุณสนใจที่จะแนะนำระบบรักษาความปลอดภัยแบบใหม่นั้นจะต้องมีการประเมินว่าระบบดังกล่าวได้รับอนุญาตภายใต้ GDPR และพระราชบัญญัติการดำเนินการหรือไม่ หากมีคำถามใด ๆ โปรดติดต่อทนายความที่ Law & More. เราจะตอบคำถามของคุณและให้ความช่วยเหลือทางกฎหมายและข้อมูลแก่คุณ.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

เเชร์