อธิบายการประมวลผลข้อมูลไบโอเมตริกซ์
เมื่อไม่นานนี้ สำนักงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (AP) ได้ปรับบริษัทแห่งหนึ่งเป็นเงินสูงถึง 725,000 ยูโร เนื่องจากบริษัทดังกล่าวสแกนลายนิ้วมือของพนักงานเพื่อลงเวลาเข้า-ออกงาน ข้อมูลไบโอเมตริกซ์ เช่น ลายนิ้วมือ เป็นข้อมูลส่วนบุคคลพิเศษตามความหมายของ GDPR มาตรา 9 ซึ่งเป็นลักษณะเฉพาะที่สามารถสืบย้อนไปยังบุคคลใดบุคคลหนึ่งได้ อย่างไรก็ตาม ข้อมูลดังกล่าวมักจะมีข้อมูลมากกว่าที่จำเป็นสำหรับการระบุตัวตน เช่น
การประมวลผลจึงมีความเสี่ยงอย่างมากในด้านสิทธิและเสรีภาพขั้นพื้นฐานของประชาชน หากข้อมูลเหล่านี้ตกไปอยู่ในมือของผู้ที่ผิด อาจส่งผลให้เกิดความเสียหายที่ไม่สามารถแก้ไขได้ ดังนั้น ข้อมูลไบโอเมตริกซ์จึงได้รับการปกป้องอย่างดี และการประมวลผลข้อมูลดังกล่าวเป็นสิ่งต้องห้ามตามมาตรา 9 ของ GDPR เว้นแต่จะมีข้อยกเว้นทางกฎหมายสำหรับเรื่องนี้ ในกรณีนี้ AP สรุปว่าบริษัทที่เกี่ยวข้องไม่มีสิทธิ์ได้รับ ข้อยกเว้น สำหรับการประมวลผลข้อมูลส่วนบุคคลพิเศษ
ลายนิ้วมือ
เกี่ยวกับลายนิ้วมือในบริบทของ GDPR และหนึ่งในข้อยกเว้น ได้แก่ ความจำเป็นก่อนหน้านี้เราได้เขียนไว้ในบล็อกหนึ่งของเรา: 'ลายนิ้วมือที่ละเมิด GDPR' บล็อกนี้มุ่งเน้นไปที่พื้นที่ทางเลือกอื่นสำหรับข้อยกเว้น: การอนุญาต. เมื่อนายจ้างใช้ข้อมูลไบโอเมตริกซ์เช่นลายนิ้วมือใน บริษัท ของเขาในเรื่องความเป็นส่วนตัวเขาจะพอเพียงได้รับอนุญาตจากพนักงานของเขาหรือไม่
โดยการอนุญาตหมายถึงก เฉพาะเจาะจงข้อมูลและไม่คลุมเครือ การแสดงออกของเจตจำนง ซึ่งบุคคลใดบุคคลหนึ่งยอมรับการประมวลผลข้อมูลส่วนบุคคลของตนด้วยคำชี้แจงหรือการดำเนินการที่ชัดเจน ตามมาตรา 4 ส่วนที่ 11 ของ GDPR ในบริบทของข้อยกเว้นนี้ นายจ้างจึงต้องไม่เพียงแต่แสดงให้เห็นว่าพนักงานของตนได้ให้การอนุญาตเท่านั้น แต่ยังต้องแสดงให้เห็นด้วยว่าการอนุญาตนั้นชัดเจน เฉพาะเจาะจง และได้รับการแจ้งให้ทราบ
AP สรุปว่าการลงนามในสัญญาจ้างงานหรือรับคู่มือบุคลากรที่นายจ้างบันทึกความตั้งใจที่จะลงเวลาทำงานโดยใช้ลายนิ้วมือเพียงอย่างเดียวนั้นไม่เพียงพอในบริบทนี้ เพื่อเป็นหลักฐาน นายจ้างต้องส่งนโยบาย ขั้นตอน หรือเอกสารอื่นๆ ที่แสดงให้เห็นว่าพนักงานของตนได้รับข้อมูลเพียงพอเกี่ยวกับการประมวลผลข้อมูลไบโอเมตริกซ์ และได้ให้การอนุญาต (อย่างชัดเจน) สำหรับการประมวลผลข้อมูลดังกล่าวด้วย
หากได้รับอนุญาตจากพนักงานจะต้องไม่เพียง แต่ชัดเจน'แต่ยัง'ให้อย่างอิสระ' ตามรายงานของ AP 'ชัดเจน' หมายความถึงการอนุญาตเป็นลายลักษณ์อักษร ลายเซ็น การส่งอีเมลเพื่ออนุญาต หรือการอนุญาตพร้อมการยืนยันสองขั้นตอน 'ให้โดยเสรี' หมายความว่าต้องไม่มีการบังคับใดๆ อยู่เบื้องหลัง (ดังเช่นในกรณีที่เกี่ยวข้อง เมื่อปฏิเสธที่จะให้สแกนลายนิ้วมือ จะต้องสนทนากับผู้อำนวยการ/คณะกรรมการ) หรือการอนุญาตดังกล่าวอาจเป็นเงื่อนไขสำหรับสิ่งอื่น
เงื่อนไข "ให้โดยสมัครใจ" นายจ้างจะไม่ปฏิบัติตามในกรณีที่ลูกจ้างมีภาระผูกพัน หรือในกรณีที่เป็นกรณีดังกล่าว นายจ้างถือว่ามีภาระผูกพันที่จะต้องบันทึกลายนิ้วมือ โดยทั่วไป ตามข้อกำหนดนี้ AP พิจารณาว่าเมื่อพิจารณาถึงความสัมพันธ์ที่พึ่งพากันระหว่างนายจ้างและลูกจ้างแล้ว ไม่น่าเป็นไปได้ที่ลูกจ้างจะสามารถให้ความยินยอมได้โดยสมัครใจ นายจ้างจะต้องพิสูจน์ในสิ่งตรงกันข้าม
พนักงานขออนุญาตจากพนักงานในการประมวลผลลายนิ้วมือหรือไม่ จากนั้น AP จะเรียนรู้ในบริบทของกรณีนี้ว่าโดยหลักการแล้วสิ่งนี้ไม่ได้รับอนุญาต ท้ายที่สุดแล้ว พนักงานต้องพึ่งพาผู้ว่าจ้างและมักจะไม่สามารถปฏิเสธได้ นี่ไม่ได้หมายความว่าผู้ว่าจ้างจะไม่สามารถอาศัยเหตุผลในการขออนุญาตได้สำเร็จ
อย่างไรก็ตาม นายจ้างจะต้องมีหลักฐานเพียงพอที่จะทำให้การอุทธรณ์ตามความยินยอมของเขาประสบความสำเร็จ เพื่อที่จะประมวลผลข้อมูลไบโอเมตริกซ์ของพนักงานของเขา เช่น ลายนิ้วมือ คุณตั้งใจที่จะใช้ข้อมูลไบโอเมตริกซ์ภายในบริษัทของคุณหรือไม่ หรือว่านายจ้างของคุณขออนุญาตจากคุณเพื่อใช้ลายนิ้วมือของคุณ ในกรณีนั้น สิ่งสำคัญคือต้องไม่ดำเนินการทันทีและให้การอนุญาต แต่จะต้องได้รับข้อมูลที่ถูกต้องเสียก่อน กฏหมาย & More lawyers เป็นผู้เชี่ยวชาญด้านความเป็นส่วนตัวและสามารถให้ข้อมูลแก่คุณได้ คุณมีคำถามอื่นๆ เกี่ยวกับบล็อกนี้หรือไม่ โปรดติดต่อ Law & More.
