טביעת אצבע בניגוד ל- GDPR

בעידן מודרני זה בו אנו חיים כיום, נעשה יותר ויותר שימוש בטביעות אצבעות כאמצעי זיהוי, למשל: ביטול נעילת סמארטפון באמצעות סריקת אצבעות. אך מה עם פרטיות כשהיא כבר לא מתרחשת בעניין פרטי שיש בו התנדבות מודעת? האם ניתן לבצע חובה על זיהוי אצבעות הקשורות לעבודה בהקשר של ביטחון? האם ארגון יכול להטיל חובה על עובדיו למסור את טביעות האצבע שלהם, למשל על גישה למערכת אבטחה? וכיצד קשורה חובה כזו לכללי הפרטיות?

טביעת אצבע בניגוד ל- GDPR

טביעות אצבעות כנתונים אישיים מיוחדים

השאלה שעלינו לשאול את עצמנו כאן היא האם סריקת אצבע חלה כמידע אישי כמשמעותה בתקנה הכללית להגנת נתונים. טביעת אצבע היא נתונים אישיים ביומטריים הנובעים מעיבוד טכני ספציפי של המאפיינים הפיזיים, הפיזיולוגיים או ההתנהגותיים של האדם. [1] נתונים ביומטריים יכולים להיחשב כמידע הנוגע לאדם טבעי, שכן הם נתונים שמטבעם מספקים מידע על אדם מסוים. באמצעות נתונים ביומטריים כגון טביעת אצבע, ניתן לזהות את האדם וניתן להבדיל אותו מאדם אחר. בסעיף 4 ל- GDPR זה אושר במפורש גם על ידי הוראות ההגדרה. [2]

זיהוי טביעות אצבע הוא פגיעה בפרטיות?

בית המשפט המחוזי באמסטרדם קבע לאחרונה באפשרות קבילות סריקת אצבעות כמערכת זיהוי המבוססת על רמת ויסות הבטיחות.

רשת חנויות הנעליים מנפילד השתמשה במערכת הרשאת סריקת אצבעות, שהעניקה לעובדים גישה לקופה.

לדברי מנפילד, השימוש בזיהוי אצבעות היה הדרך היחידה לקבל גישה למערכת הקופות. היה צורך, בין היתר, להגן על המידע הכספי של העובדים ועל הנתונים האישיים שלהם. שיטות אחרות כבר לא היו כשירות ורגישות להונאה. אחד מעובדי הארגון התנגד לשימוש בטביעת האצבע שלה. היא לקחה את שיטת ההרשאה הזו כפגיעה בפרטיותה, בהתייחס לסעיף 9 של ה- GDPR. על פי מאמר זה, העיבוד של נתונים ביומטריים לצורך זיהוי אדם ייחודי אסור.

נחיצותו

איסור זה אינו חל כאשר העיבוד נחוץ למטרות אימות או אבטחה. האינטרס העסקי של מנפילד היה למנוע אובדן הכנסות בגלל כוח אדם מרמה. בית המשפט המחוזי דחה את ערעור המעסיק. האינטרסים העסקיים של מנפילד לא הפכו את המערכת לדרושה למטרות אימות או אבטחה, כפי שנקבע בסעיף 29 לחוק יישום ה- GDPR. כמובן שמנפילד חופשי לפעול נגד הונאות, אך ייתכן שלא ניתן לעשות זאת בניגוד להוראות ה- GDPR. יתר על כן, המעסיק לא העמיד לחברה כל צורה אחרת של אבטחה. לא בוצע מחקר מספיק בשיטות אישור חלופיות; חשוב על שימוש במעבר גישה או בקוד מספרי, בין אם זה שילוב של שניהם ובין אם לאו. המעסיק לא מדד בקפידה את היתרונות והחסרונות של מערכות אבטחה מסוגים שונים ולא יכול היה להניע מספיק מדוע הוא מעדיף מערכת לסריקת אצבעות ספציפית. בעיקר מסיבה זו, לא הייתה למעביד הזכות החוקית לדרוש מהצוות שלו להשתמש במערכת ההרשאה לסריקת טביעות אצבע על בסיס חוק יישום ה- GDPR.

אם אתה מעוניין להציג מערכת אבטחה חדשה, יהיה צורך להעריך האם מערכות כאלה מותרות על פי ה- GDPR וחוק היישום. אם יש שאלות, אנא צרו קשר עם עורכי הדין בכתובת Law & More. אנו נענה על שאלותיכם ונספק לכם עזרה ומידע משפטי.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

שתפו אותי