การสแกนลายนิ้วมือละเมิดกฎ GDPR หรือไม่?
ในยุคปัจจุบันนี้ที่เราอาศัยอยู่ในทุกวันนี้มันเป็นเรื่องธรรมดามากขึ้นที่จะใช้ลายนิ้วมือเพื่อระบุตัวตนตัวอย่างเช่น: ปลดล็อคสมาร์ทโฟนด้วยการสแกนลายนิ้วมือ แต่จะเกี่ยวกับความเป็นส่วนตัวเมื่อไม่เกิดขึ้นในเรื่องส่วนตัวที่มีความสมัครใจ? สามารถระบุตัวบุคคลที่เกี่ยวข้องกับงานได้ในบริบทของความปลอดภัยหรือไม่? องค์กรสามารถกำหนดข้อผูกพันให้พนักงานส่งลายนิ้วมือได้เช่นการเข้าถึงระบบรักษาความปลอดภัยหรือไม่? และภาระผูกพันดังกล่าวเกี่ยวข้องกับกฎความเป็นส่วนตัวอย่างไร
ลายนิ้วมือเป็นข้อมูลส่วนบุคคลพิเศษ
คำถามที่เราควรถามตัวเองที่นี่คือการสแกนนิ้วใช้เป็นข้อมูลส่วนบุคคลตามความหมายของข้อบังคับการคุ้มครองข้อมูลทั่วไปหรือไม่ ลายนิ้วมือเป็นข้อมูลส่วนบุคคลแบบไบโอเมตริกซ์ซึ่งเป็นผลมาจากการประมวลผลทางเทคนิคเฉพาะของลักษณะทางกายภาพสรีรวิทยาหรือพฤติกรรมของบุคคล [1] ข้อมูลไบโอเมตริกซ์ถือได้ว่าเป็นข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาเนื่องจากเป็นข้อมูลที่ให้ข้อมูลเกี่ยวกับบุคคลใดบุคคลหนึ่งโดยธรรมชาติ โดยใช้ข้อมูลไบโอเมตริกซ์เช่นลายนิ้วมือบุคคลนั้นสามารถระบุตัวตนได้และสามารถแยกแยะออกจากบุคคลอื่นได้ ในมาตรา 4 GDPR นี้ยังได้รับการยืนยันอย่างชัดเจนโดยบทบัญญัติคำนิยาม [2]
ระบุลายนิ้วมือเป็นการละเมิดความเป็นส่วนตัว?
ศาลแขวง Amsterdam เมื่อเร็ว ๆ นี้ตัดสินว่าอนุญาตให้ใช้การสแกนลายนิ้วมือเป็นระบบการระบุตัวตนตามระดับกฎระเบียบด้านความปลอดภัย
โซ่ร้านขายรองเท้า Manfield ใช้ระบบตรวจสอบลายนิ้วมือซึ่งทำให้พนักงานสามารถเข้าถึงเครื่องบันทึกเงินสด
จากข้อมูลของ Manfield การใช้การระบุลายนิ้วมือเป็นวิธีเดียวในการเข้าถึงระบบเครื่องบันทึกเงินสด การปกป้องข้อมูลทางการเงินและข้อมูลส่วนบุคคลของพนักงานเป็นสิ่งจำเป็น วิธีการอื่น ๆ ไม่ผ่านการรับรองและเสี่ยงต่อการฉ้อโกงอีกต่อไป พนักงานคนหนึ่งขององค์กรคัดค้านการใช้ลายนิ้วมือของเธอ เธอใช้วิธีการอนุญาตนี้เป็นการละเมิดความเป็นส่วนตัวโดยอ้างถึงมาตรา 9 ของ GDPR ตามบทความนี้ห้ามมิให้ประมวลผลข้อมูลไบโอเมตริกซ์เพื่อจุดประสงค์ในการระบุตัวตนของบุคคล
ความจำเป็น
ข้อห้ามนี้ไม่มีผลบังคับใช้ในกรณีที่การประมวลผลมีความจำเป็นเพื่อวัตถุประสงค์ด้านการรับรองความถูกต้องหรือความปลอดภัย ผลประโยชน์ทางธุรกิจของ Manfield คือการป้องกันการสูญเสียรายได้อันเนื่องมาจากบุคลากรที่ฉ้อโกง ศาลแขวงปฏิเสธคำอุทธรณ์ของนายจ้าง ผลประโยชน์ทางธุรกิจของ Manfield ไม่ได้ทำให้ระบบ "จำเป็นสำหรับวัตถุประสงค์ด้านการรับรองความถูกต้องหรือความปลอดภัย" ตามที่กำหนดไว้ในมาตรา 29 ของพระราชบัญญัติการนำ GDPR ไปปฏิบัติ
แน่นอนว่า Manfield มีอิสระในการดำเนินการต่อต้านการฉ้อโกง แต่การกระทำดังกล่าวจะต้องไม่ละเมิดข้อกำหนดของ GDPR นอกจากนี้ นายจ้างไม่ได้จัดเตรียมระบบรักษาความปลอดภัยรูปแบบอื่นใดให้กับบริษัท ยังไม่มีการวิจัยเกี่ยวกับวิธีการอนุญาตทางเลือกอย่างเพียงพอ ลองนึกถึงการใช้รหัสผ่านเข้าใช้งานหรือรหัสตัวเลข ไม่ว่าจะใช้ทั้งสองอย่างรวมกันหรือไม่ก็ตาม
นายจ้างไม่ได้วัดข้อดีและข้อเสียของระบบรักษาความปลอดภัยประเภทต่างๆ อย่างรอบคอบ และไม่สามารถอธิบายได้อย่างเพียงพอว่าเหตุใดจึงเลือกใช้ระบบสแกนลายนิ้วมือแบบใดแบบหนึ่ง เหตุผลหลักคือ นายจ้างจึงไม่มีสิทธิตามกฎหมายที่จะกำหนดให้พนักงานของตนใช้ระบบอนุญาตสแกนลายนิ้วมือตามกฎหมาย GDPR
หากคุณสนใจที่จะแนะนำระบบรักษาความปลอดภัยแบบใหม่นั้นจะต้องมีการประเมินว่าระบบดังกล่าวได้รับอนุญาตภายใต้ GDPR และพระราชบัญญัติการดำเนินการหรือไม่ หากมีคำถามใด ๆ โปรดติดต่อทนายความที่ กฏหมาย และอื่นๆ เราจะตอบคำถามของคุณและจัดเตรียมข้อมูลให้คุณ ถูกกฎหมาย ความช่วยเหลือและข้อมูล.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005
