GDPRに違反する指紋

私たちが今日住んでいるこの現代では、指紋を識別の手段として使用することがますます一般的になっています。たとえば、指でスキャンしてスマートフォンのロックを解除します。 しかし、意識的な自発主義が存在する私的な問題でプライバシーがもはや機能しない場合、プライバシーはどうでしょうか? セキュリティに関連して、仕事に関連する指の識別を義務化できますか? 組織は、たとえばセキュリティシステムへのアクセスのために、従業員に指紋を提出する義務を課すことができますか? そして、そのような義務はプライバシー規則とどのように関連していますか?

GDPRに違反する指紋

特別な個人データとしての指紋

ここで自問すべきは、一般的なデータ保護規則の意味において、フィンガースキャンが個人データとして適用されるかどうかです。 指紋は、個人の身体的、生理学的、または行動特性の特定の技術的処理の結果であるバイオメトリック個人データです。【1] 生体認証データは、本来、特定の個人に関する情報を提供するデータであるため、自然人に関する情報と見なすことができます。 指紋などの生体認証データによって、その人は識別可能であり、他の人と区別することができます。 GDPR第4条では、これも定義規定によって明示的に確認されています。【2]

指紋認証はプライバシーの侵害ですか?

アムステルダム地方裁判所は最近、安全規制レベルに基づく識別システムとしての指のスキャンの許容性について判決を下しました。

靴屋チェーンのマンフィールドは、従業員がレジにアクセスできるようにする指スキャン認証システムを使用していました。

マンフィールドによれば、指の識別の使用は、レジシステムにアクセスする唯一の方法でした。 とりわけ、従業員の財務情報と個人データを保護することが必要でした。 他の方法はもはや適格ではなく、詐欺の影響を受けやすかった。 組織の従業員の9人が彼女の指紋の使用に反対しました。 彼女は、GDPRの第XNUMX条を参照して、この認証方法をプライバシーの侵害として採用しました。 この記事によると、個人の一意の識別を目的とした生体認証データの処理は禁止されています。

必要

この禁止事項は、認証またはセキュリティの目的で処理が必要な場合には適用されません。 マンフィールドのビジネス上の関心は、不正な職員による収入の損失を防ぐことでした。 準州裁判所は雇用主の控訴を却下した。 GDPR実施法の第29条に規定されているように、マンフィールドの事業上の利害関係により、システムは「認証またはセキュリティの目的に必要」ではありませんでした。 もちろん、マンフィールドは不正行為に対して自由に行動できますが、これはGDPRの規定に違反して行われることはありません。 さらに、雇用主は会社に他の形のセキュリティを提供していませんでした。 代替の認可方法について不十分な研究が行われていた。 両方の組み合わせの有無にかかわらず、アクセスパスまたは数値コードの使用を考えてください。 雇用主は、さまざまな種類のセキュリティシステムの長所と短所を注意深く測定していなかったため、特定の指スキャンシステムを選択した理由を十分に動機付けることができませんでした。 主にこの理由により、雇用主は、GDPR実施法に基づいて彼のスタッフに指紋スキャン認証システムの使用を要求する法的権利を持っていませんでした。

新しいセキュリティシステムの導入に関心がある場合は、そのようなシステムがGDPRおよび実装法で許可されているかどうかを評価する必要があります。 質問がある場合は、弁護士に連絡してください Law & More。 私たちはあなたの質問に答え、あなたに法的援助と情報を提供します.

【1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

【2] ECLI:NL:RBAMS:2019:6005

シェアする