טביעת אצבע בניגוד ל- GDPR

בעידן מודרני זה בו אנו חיים כיום, נעשה יותר ויותר שימוש בטביעות אצבעות כאמצעי זיהוי, למשל: ביטול נעילת סמארטפון באמצעות סריקת אצבעות. אך מה עם פרטיות כשהיא כבר לא מתרחשת בעניין פרטי שיש בו התנדבות מודעת? האם ניתן לבצע חובה על זיהוי אצבעות הקשורות לעבודה בהקשר של ביטחון? האם ארגון יכול להטיל חובה על עובדיו למסור את טביעות האצבע שלהם, למשל על גישה למערכת אבטחה? וכיצד קשורה חובה כזו לכללי הפרטיות?

טביעת אצבע בניגוד ל- GDPR

טביעות אצבעות כנתונים אישיים מיוחדים

The question we should ask ourselves here, is whether a finger scan applies as personal data within the meaning of the General Data Protection Regulation. A fingerprint is a biometric personal data that is the result of specific technical processing of a person’s physical, physiological or behavioral characteristics.[1] ניתן לראות בנתונים ביומטריים כמידע הנוגע לאדם טבעי, מכיוון שהם נתונים אשר מטבעם מספקים מידע על אדם מסוים. באמצעות נתונים ביומטריים כמו טביעת אצבע, האדם ניתן לזיהוי וניתן להבדיל אותו מאדם אחר. בסעיף 4 GDPR זה גם מאושר במפורש על ידי הוראות ההגדרה.[2]

זיהוי טביעות אצבע הוא פגיעה בפרטיות?

בית המשפט המחוזי באמסטרדם קבע לאחרונה באפשרות קבילות סריקת אצבעות כמערכת זיהוי המבוססת על רמת ויסות הבטיחות.

רשת חנויות הנעליים מנפילד השתמשה במערכת הרשאת סריקת אצבעות, שהעניקה לעובדים גישה לקופה.

According to Manfield, the use of finger identification was the only way to gain access to the cash register system. It was necessary, among other things, to protect employees’ financial information and personal data. Other methods were no longer qualified and susceptible to fraud. One of the employees of the organization objected to the use of her fingerprint. She took this authorization method as a violation of her privacy, referring to article 9 of the GDPR. According to this article, the processing of biometric data for the purpose of the unique identification of a person is prohibited.

נחיצותו

This prohibition does not apply where the processing is necessary for authentication or security purposes. Manfield’s business interest was to prevent loss of revenue due to fraudulent personnel. The Subdistrict Court rejected the employer’s appeal. Manfield’s business interests did not make the system ‘necessary for authentication or security purposes’, as stipulated in Section 29 of the GDPR Implementation Act. Of course, Manfield is free to act against fraud, but this may not be done in violation of the provisions of the GDPR. Furthermore, the employer had not provided its company with any other form of security. Insufficient research had been carried out into alternative authorization methods; think of the use of an access pass or numerical code, whether or not a combination of both.  The employer had not carefully measured the advantages and disadvantages of different types of security systems and could not sufficiently motivate why he preferred a specific finger scan system. Mainly because of this reason, the employer did not have the legal right to require the use of the fingerprint scanning authorization system on his staff on the basis of the GDPR Implementation Act.

אם אתה מעוניין להציג מערכת אבטחה חדשה, יהיה צורך להעריך האם מערכות כאלה מותרות על פי ה- GDPR וחוק היישום. אם יש שאלות, אנא צרו קשר עם עורכי הדין בכתובת Law & More. אנו נענה על שאלותיכם ונספק לכם עזרה ומידע משפטי.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

שתפו אותי