การอนุญาตเป็นข้อยกเว้นสำหรับการประมวลผลข้อมูลไบโอเมตริกซ์

เมื่อเร็ว ๆ นี้หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (AP) ได้กำหนดโทษปรับจำนวนมากคือ 725,000 ยูโรสำหรับ บริษัท ที่สแกนลายนิ้วมือของพนักงานสำหรับการเข้างานและลงทะเบียนเวลา ข้อมูลไบโอเมตริกซ์เช่นลายนิ้วมือเป็นข้อมูลส่วนบุคคลพิเศษตามความหมายของมาตรา 9 GDPR สิ่งเหล่านี้เป็นลักษณะเฉพาะที่สามารถตรวจสอบย้อนกลับไปยังบุคคลใดบุคคลหนึ่งได้ อย่างไรก็ตามข้อมูลนี้มักมีข้อมูลมากเกินความจำเป็นตัวอย่างเช่นการระบุตัวตน การประมวลผลของพวกเขาจึงมีความเสี่ยงอย่างมากในด้านสิทธิและเสรีภาพขั้นพื้นฐานของประชาชน หากข้อมูลเหล่านี้ไปอยู่ในมือคนผิดสิ่งนี้อาจนำไปสู่ความเสียหายที่ไม่สามารถแก้ไขได้ ดังนั้นข้อมูลไบโอเมตริกซ์จึงได้รับการปกป้องอย่างดีและห้ามประมวลผลข้อมูลดังกล่าวภายใต้มาตรา 9 GDPR เว้นแต่จะมีข้อยกเว้นทางกฎหมายสำหรับสิ่งนี้ ในกรณีนี้ AP สรุปว่า บริษัท ที่มีปัญหาไม่มีสิทธิได้รับ ข้อยกเว้น สำหรับการประมวลผลข้อมูลส่วนบุคคลพิเศษ

เกี่ยวกับลายนิ้วมือในบริบทของ GDPR และหนึ่งในข้อยกเว้น ได้แก่ ความจำเป็น, we previously wrote in one of our blogs: ‘Fingerprint in violation of GDPR’. This blog focuses on the other alternative ground for exception: การอนุญาต. เมื่อนายจ้างใช้ข้อมูลไบโอเมตริกซ์เช่นลายนิ้วมือใน บริษัท ของเขาในเรื่องความเป็นส่วนตัวเขาจะพอเพียงได้รับอนุญาตจากพนักงานของเขาหรือไม่

การอนุญาตเป็นข้อยกเว้นสำหรับการประมวลผลข้อมูลไบโอเมตริกซ์

โดยการอนุญาตหมายถึงก เฉพาะเจาะจงข้อมูลและไม่คลุมเครือ การแสดงออกของเจตจำนง ซึ่งมีคนยอมรับการประมวลผลข้อมูลส่วนบุคคลของเขาด้วยคำสั่งหรือการดำเนินการที่ไม่ชัดเจนตามมาตรา 4 มาตรา 11 GDPR ในบริบทของข้อยกเว้นนี้นายจ้างต้องไม่เพียง แต่แสดงให้เห็นว่าพนักงานของเขาได้รับอนุญาตเท่านั้น แต่ยังไม่คลุมเครือระบุและแจ้งให้ทราบด้วย การลงนามในสัญญาจ้างงานหรือรับคู่มือบุคลากรที่นายจ้างได้บันทึกไว้เพียงความตั้งใจที่จะตอกบัตรด้วยลายนิ้วมืออย่างสมบูรณ์นั้นไม่เพียงพอในบริบทนี้ AP สรุป ตามหลักฐานตัวอย่างเช่นนายจ้างต้องส่งนโยบายขั้นตอนหรือเอกสารอื่น ๆ ซึ่งแสดงให้เห็นว่าพนักงานของเขาได้รับข้อมูลเพียงพอเกี่ยวกับการประมวลผลข้อมูลไบโอเมตริกซ์และพวกเขายังได้รับอนุญาต (อย่างชัดเจน) สำหรับการดำเนินการดังกล่าว

หากได้รับอนุญาตจากพนักงานจะต้องไม่เพียง แต่ชัดเจน'แต่ยัง'ให้อย่างอิสระ’, according to the AP. ‘Explicit’ is, for example, written permission, signature, sending an email to give permission, or permission with two-step verification. ‘Freely given’ means that there must be no coercion behind it (as was the case in the case in question: when refusing to have the fingerprint scanned, a conversation with the director/board followed) or that permission may be a condition for something different. The condition ‘freely given’ is in any case not met by the employer when employees are obliged or, as in the case in question, experience it as an obligation to have their fingerprint recorded. Generally, under this requirement, the AP considered that given the dependency resulting from the relationship between the employer and employee, it is unlikely that the employee can freely grant his or her consent. The opposite will have to be proven by the employer.

พนักงานขออนุญาตจากพนักงานเพื่อประมวลผลลายนิ้วมือหรือไม่? จากนั้น AP จะเรียนรู้ในบริบทของกรณีนี้ว่าโดยหลักการแล้วไม่ได้รับอนุญาต ท้ายที่สุดแล้วพนักงานต้องพึ่งพานายจ้างดังนั้นจึงมักไม่อยู่ในสถานะที่จะปฏิเสธ นี่ไม่ได้หมายความว่านายจ้างไม่สามารถพึ่งพาพื้นที่อนุญาตได้สำเร็จ อย่างไรก็ตามนายจ้างต้องมีหลักฐานเพียงพอที่จะทำให้การอุทธรณ์ของเขาบนพื้นฐานของความยินยอมประสบความสำเร็จเพื่อประมวลผลข้อมูลไบโอเมตริกซ์ของพนักงานของเขาเช่นลายนิ้วมือ คุณตั้งใจจะใช้ข้อมูลไบโอเมตริกซ์ภายใน บริษัท ของคุณหรือนายจ้างของคุณขออนุญาตใช้ลายนิ้วมือของคุณหรือไม่? ในกรณีนี้สิ่งสำคัญคือไม่ต้องดำเนินการทันทีและให้อนุญาต แต่ต้องแจ้งให้ถูกต้องก่อน Law & More ทนายความเป็นผู้เชี่ยวชาญในด้านความเป็นส่วนตัวและสามารถให้ข้อมูลแก่คุณได้ คุณมีคำถามอื่น ๆ เกี่ยวกับบล็อกนี้หรือไม่? โปรดติดต่อ Law & More.

เเชร์