GDPRに違反する指紋

私たちが今日住んでいるこの現代では、指紋を識別の手段として使用することがますます一般的になっています。たとえば、指でスキャンしてスマートフォンのロックを解除します。 しかし、意識的な自発主義が存在する私的な問題でプライバシーがもはや機能しない場合、プライバシーはどうでしょうか? セキュリティに関連して、仕事に関連する指の識別を義務化できますか? 組織は、たとえばセキュリティシステムへのアクセスのために、従業員に指紋を提出する義務を課すことができますか? そして、そのような義務はプライバシー規則とどのように関連していますか?

GDPRに違反する指紋

特別な個人データとしての指紋

ここで私たちが自問すべき問題は、一般データ保護規則の意味の範囲内で、フィンガースキャンが個人データとして適用されるかどうかです。 指紋は、人の身体的、生理学的、または行動的特徴の特定の技術的処理の結果である生体認証の個人データです。【1] 生体認証データは、本来、特定の個人に関する情報を提供するデータであるため、自然人に関する情報と見なすことができます。 指紋などの生体認証データによって、その人は識別可能であり、他の人と区別することができます。 GDPR第4条では、これも定義規定によって明示的に確認されています。【2]

指紋認証はプライバシーの侵害ですか?

アムステルダム地方裁判所は最近、安全規制レベルに基づく識別システムとしての指のスキャンの許容性について判決を下しました。

靴屋チェーンのマンフィールドは、従業員がレジにアクセスできるようにする指スキャン認証システムを使用していました。

マンフィールドによれば、指の識別の使用は、レジシステムにアクセスする唯一の方法でした。 とりわけ、従業員の財務情報と個人データを保護することが必要でした。 他の方法はもはや適格ではなく、詐欺の影響を受けやすかった。 組織の従業員の9人が彼女の指紋の使用に反対しました。 彼女はGDPRの第XNUMX条を参照して、彼女のプライバシーの侵害としてこの認証方法を採用しました。 この記事によると、個人の一意の識別を目的とした生体データの処理は禁止されています。

必要

この禁止事項は、認証またはセキュリティの目的で処理が必要な場合には適用されません。 マンフィールドのビジネス上の利益は、不正な人員による収益の損失を防ぐことでした。 地方裁判所は雇用主の控訴を棄却した。 GDPR実施法のセクション29に規定されているように、マンフィールドのビジネス上の利益により、システムは「認証またはセキュリティの目的で必要」にはなりませんでした。 もちろん、マンフィールドは詐欺に対して自由に行動できますが、これはGDPRの規定に違反して行われることはありません。 さらに、雇用主は会社に他の形態のセキュリティを提供していませんでした。 代替の認可方法については不十分な研究が行われていました。 両方の組み合わせであるかどうかにかかわらず、アクセスパスまたは数値コードの使用を検討してください。 雇用主は、さまざまなタイプのセキュリティシステムの長所と短所を注意深く測定しておらず、特定のフィンガースキャンシステムを好む理由を十分に動機付けることができませんでした。 主にこの理由により、雇用主はGDPR実施法に基づいてスタッフに指紋スキャン認証システムの使用を要求する法的権利を持っていませんでした。

新しいセキュリティシステムの導入に関心がある場合は、そのようなシステムがGDPRおよび実装法で許可されているかどうかを評価する必要があります。 質問がある場合は、弁護士に連絡してください Law & More。 私たちはあなたの質問に答え、あなたに法的援助と情報を提供します.

【1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

【2] ECLI:NL:RBAMS:2019:6005

シェアする