اثر انگشت در نقض GDPR

در این عصر مدرن که امروزه در آن زندگی می کنیم ، استفاده از اثر انگشت به عنوان وسیله شناسایی ، به طور فزاینده معمول است: به عنوان مثال: باز کردن قفل تلفن هوشمند با اسکن انگشت. اما در مورد حریم خصوصی وقتی که دیگر در یک موضوع خصوصی جایی رخ نمی دهد که داوطلبانه آگاهانه رخ دهد ، چه می شود؟ آیا می توان شناسایی انگشت مرتبط با کار را در بستر امنیت اجباری کرد؟ آیا یک سازمان می تواند وظیفه خود را به عنوان مثال برای دسترسی به سیستم امنیتی ، اثر انگشت خود را به کارمندان خود تحمیل کند؟ و چگونه چنین تعهدی با قوانین حفظ حریم خصوصی ارتباط دارد؟

اثر انگشت در نقض GDPR

اثر انگشت به عنوان اطلاعات شخصی خاص

سوالی که باید در اینجا از خود بپرسیم این است که آیا اسکن انگشت به عنوان آیین نامه شخصی به معنای آیین نامه حفاظت از داده های عمومی اعمال می شود یا خیر. اثر انگشت یک داده شخصی بیومتریک است که حاصل پردازش فنی خاص خصوصیات جسمی ، فیزیولوژیکی یا رفتاری فرد است.[1] داده های بیومتریک را می توان به عنوان اطلاعات مربوط به شخص حقیقی در نظر گرفت ، زیرا این داده ها هستند که به لحاظ ماهیت ، اطلاعات مربوط به شخص خاصی را ارائه می دهند. با استفاده از داده های بیومتریک مانند اثر انگشت ، فرد قابل شناسایی است و می تواند از شخص دیگری متمایز شود. در ماده 4 GDPR نیز صریحاً توسط مقررات تعریف تأیید شده است.[2]

شناسایی اثر انگشت نقض حریم خصوصی است؟

دادگاه فرعی آمستردام اخیراً در مورد پذیرش اسکن انگشت به عنوان یک سیستم شناسایی بر اساس سطح تنظیم ایمنی حکم صادر کرد.

زنجیره فروشگاه کفش Manfield از سیستم مجوز اسکن انگشت استفاده کرد که به کارمندان امکان دسترسی به صندوق پول را می داد.

به گفته مانفیلد ، استفاده از شناسنامه انگشتی تنها راه دستیابی به سیستم صندوق پول بود. از جمله موارد دیگر ، محافظت از اطلاعات مالی کارکنان و داده های شخصی لازم بود. روشهای دیگر دیگر واجد شرایط تقلب نبودند. یکی از کارمندان این سازمان نسبت به استفاده از اثر انگشت وی اعتراض کرد. وی با استناد به ماده 9 از GDPR ، این روش مجوز را نقض حریم خصوصی خود دانست. براساس این مقاله ، پردازش داده های بیومتریک به منظور شناسایی منحصر به فرد شخص ممنوع است.

ضرورت

این ممنوعیت در مواردی که پردازش برای احراز هویت یا اهداف امنیتی لازم باشد اعمال نمی شود. علاقه تجاری مانفیلد جلوگیری از از دست دادن درآمد به دلیل تقلب پرسنل بود. دادگاه فرعی تقاضای کارفرما را رد کرد. منافع تجاری مانفیلد سیستم را «برای تأیید اعتبار یا اهداف امنیتی» ضروری نکرده است ، همانطور که در بخش 29 قانون اجرای GDPR تصریح شده است. البته مانفیلد آزاد است در برابر تقلب عمل کند ، اما این ممکن است با نقض مفاد GDPR انجام نشود. علاوه بر این ، کارفرما هیچ نوع امنیت دیگری را به شرکت خود ارائه نکرده است. تحقیقات کافی در مورد روش های مجوز جایگزین انجام شده است. به استفاده از گذرگاه دسترسی یا کد عددی فکر کنید ، چه ترکیبی از هردو باشد. کارفرما مزایا و معایب انواع مختلف سیستم های امنیتی را به دقت اندازه گیری نکرده بود و نمی توانست به اندازه کافی انگیزه دهد که چرا او یک سیستم خاص اسکن انگشت را ترجیح می دهد. عمدتا به همین دلیل ، کارفرمای حق قانونی ندارد که براساس قانون اجرای GDPR ، نیاز به استفاده از سیستم مجوز اسکن اثر انگشت بر روی کارمندان خود داشته باشد.

اگر شما علاقه مند به معرفی یک سیستم امنیتی جدید هستید ، باید ارزیابی شود که آیا چنین سیستم هایی طبق قانون GDPR و قانون اجرای قانون مجاز هستند یا خیر. اگر سوالی وجود دارد ، لطفا با وکلا در تماس بگیرید Law & More. ما به سؤالات شما پاسخ خواهیم داد و کمکهای حقوقی و اطلاعاتی را در اختیار شما قرار خواهیم داد.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

اشتراک گذاری