اثر انگشت در نقض GDPR

در این عصر مدرن که امروزه در آن زندگی می کنیم ، استفاده از اثر انگشت به عنوان وسیله شناسایی ، به طور فزاینده معمول است: به عنوان مثال: باز کردن قفل تلفن هوشمند با اسکن انگشت. اما در مورد حریم خصوصی وقتی که دیگر در یک موضوع خصوصی جایی رخ نمی دهد که داوطلبانه آگاهانه رخ دهد ، چه می شود؟ آیا می توان شناسایی انگشت مرتبط با کار را در بستر امنیت اجباری کرد؟ آیا یک سازمان می تواند وظیفه خود را به عنوان مثال برای دسترسی به سیستم امنیتی ، اثر انگشت خود را به کارمندان خود تحمیل کند؟ و چگونه چنین تعهدی با قوانین حفظ حریم خصوصی ارتباط دارد؟

اثر انگشت در نقض GDPR

اثر انگشت به عنوان اطلاعات شخصی خاص

سوالی که ما باید در اینجا از خود بپرسیم این است که آیا اسکن انگشت به عنوان داده های شخصی با توجه به مقررات کلی حفاظت از داده اعمال می شود؟ اثر انگشت یک داده شخصی بیومتریک است که در نتیجه پردازش فنی خاص ویژگی های جسمی ، فیزیولوژیکی یا رفتاری فرد است. [1] داده های بیومتریک را می توان اطلاعات مربوط به یک شخص طبیعی در نظر گرفت ، زیرا داده هایی است که از نظر ماهیت ، اطلاعات مربوط به شخص خاصی را فراهم می کند. با استفاده از داده های بیومتریک مانند اثر انگشت ، فرد قابل شناسایی است و می توان آن را از شخص دیگری تشخیص داد. در ماده 4 GDPR نیز به صراحت توسط مفاد تعریف تأیید شده است. [2]

شناسایی اثر انگشت نقض حریم خصوصی است؟

دادگاه فرعی آمستردام اخیراً در مورد پذیرش اسکن انگشت به عنوان یک سیستم شناسایی بر اساس سطح تنظیم ایمنی حکم صادر کرد.

زنجیره فروشگاه کفش Manfield از سیستم مجوز اسکن انگشت استفاده کرد که به کارمندان امکان دسترسی به صندوق پول را می داد.

به گفته منفیلد ، استفاده از شناسایی انگشت تنها راه دستیابی به سیستم صندوق پول است. لازم بود ، از جمله ، از اطلاعات مالی و اطلاعات شخصی کارمندان محافظت شود. سایر روش ها دیگر واجد شرایط نبوده و مستعد تقلب بودند. یکی از کارمندان سازمان به استفاده از اثر انگشت خود اعتراض کرد. وی با مراجعه به ماده 9 GDPR ، این روش مجوز را نقض حریم خصوصی خود دانست. طبق این مقاله ، پردازش داده های بیومتریک به منظور شناسایی منحصر به فرد یک شخص ممنوع است.

ضرورت

این ممنوعیت در مواردی که پردازش برای احراز هویت یا اهداف امنیتی لازم باشد ، اعمال نمی شود. منافع تجاری منفیلد جلوگیری از از دست دادن درآمد به دلیل پرسنل متقلب بود. دادگاه فرعی فرجام خواهی کارفرما را رد کرد. منافع تجاری منفیلد این سیستم را "برای احراز هویت یا اهداف امنیتی" لازم نمی کند ، همانطور که در بخش 29 قانون اجرای GDPR آمده است. البته ، منفیلد آزاد است در برابر تقلب عمل کند ، اما این کار ممکن است با نقض مقررات GDPR انجام نشود. علاوه بر این ، کارفرما هیچ نوع امنیت دیگری را برای شرکت خود فراهم نکرده است. تحقیقات کافی در مورد روش های مجوز جایگزین انجام نشده است. به استفاده از گذرگاه دسترسی یا کد عددی فکر کنید ، چه ترکیبی از هر دو باشد یا نباشد. کارفرما مزایا و معایب انواع مختلف سیستم های امنیتی را به دقت اندازه گیری نکرده و نمی تواند انگیزه کافی را برای انتخاب سیستم خاص اسکن انگشت ایجاد کند. عمدتا به همین دلیل ، کارفرما حق قانونی نداشت که بر اساس قانون اجرای GDPR ، از سیستم مجوز اسکن اثر انگشت برای کارمندان خود استفاده کند.

اگر شما علاقه مند به معرفی یک سیستم امنیتی جدید هستید ، باید ارزیابی شود که آیا چنین سیستم هایی طبق قانون GDPR و قانون اجرای قانون مجاز هستند یا خیر. اگر سوالی وجود دارد ، لطفا با وکلا در تماس بگیرید Law & More. ما به سؤالات شما پاسخ خواهیم داد و کمکهای حقوقی و اطلاعاتی را در اختیار شما قرار خواهیم داد.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

اشتراک گذاری