最近、オランダのデータ保護局(AP)は、出席と時間登録のために従業員の指紋をスキャンした会社に、725,000ユーロという大きな罰金を科しました。 指紋などの生体認証データは、GDPR第9条の意味における特別な個人データです。 これらは、特定の9人にまでさかのぼることができる固有の特性です。 ただし、このデータには、識別などに必要な情報よりも多くの情報が含まれていることがよくあります。 したがって、それらの処理は、基本的な権利と人々の自由の分野で大きなリスクをもたらします。 これらのデータが悪意のあるユーザーに渡されると、回復不能な損傷につながる可能性があります。 したがって、生体認証データは十分に保護されており、法的例外がない限り、GDPR第XNUMX条に基づいてその処理は禁止されています。 この場合、APは問題の会社が 例外 特別な個人データを処理するため。
指紋
GDPRのコンテキストでのフィンガープリントについて、および例外のXNUMXつ、つまり 必要、以前にブログのXNUMXつに次のように書いています:「GDPRに違反する指紋」。 このブログは、例外の別の理由に焦点を当てています。 許可。 雇用主が自分の会社で指紋などの生体認証データを使用する場合、プライバシーに関して、従業員の許可を得れば十分でしょうか?
許可とは 特定の、情報に基づいた、明確な 意志の表現 GDPRの第4条第11項に従って、誰かが声明または明確なアクティブアクションを使用して個人データの処理を受け入れる場合。 したがって、この例外の文脈では、雇用主は従業員が許可を与えたことだけでなく、これが明確で、具体的かつ情報に基づいたものであることを証明する必要があります。 APは、雇用契約に署名すること、または雇用主が指紋で完全に計時する意図のみを記録した人事マニュアルを受け取ることは、この文脈では不十分であると結論付けました。 証拠として、雇用主は、たとえば、ポリシー、手順、またはその他の文書を提出する必要があります。これは、従業員が生体認証データの処理について十分に知らされており、その処理に対する(明示的な)許可も与えていることを示しています。
許可が従業員によって付与された場合、それはさらに '明白な' だけでなく '自由に与えられた'、APによると。 「明示的」とは、たとえば、書面による許可、署名、許可を与えるための電子メールの送信、またはXNUMX段階認証による許可です。 「自由に与えられる」とは、その背後に強制がないことを意味します(問題の場合のように:指紋のスキャンを拒否する場合は、取締役/取締役会との会話が続きます)、または許可が何かの条件である可能性があります違います。 「自由に与えられる」という条件は、従業員が義務付けられている場合、または問題の場合のように、指紋を記録する義務としてそれを経験している場合、雇用主はいかなる場合でも満たされません。 一般に、この要件の下で、APは、雇用主と従業員の関係に起因する依存関係を考えると、従業員が自由に同意を与えることができる可能性は低いと考えました。 反対は雇用主によって証明されなければなりません。
従業員は自分の指紋を処理するために従業員に許可を要求しますか? 次に、APはこのケースのコンテキストで、原則としてこれが許可されないことを学習します。 結局のところ、従業員は雇用主に依存しているため、多くの場合、拒否する立場にはありません。 これは、雇用主が許可の根拠に頼ることができないということではありません。 ただし、雇用主は、指紋などの従業員の生体認証データを処理するために、同意に基づいて上訴できる十分な証拠を持っている必要があります。 たとえば、社内でバイオメトリックデータを使用する予定ですか、または雇用主から指紋の使用許可を求められますか? その場合、すぐに行動して許可を与えるのではなく、まず適切な情報を提供することが重要です。 Law & More 弁護士はプライバシーの分野の専門家であり、あなたに情報を提供することができます。 このブログについて他に質問がありますか? お問い合わせください Law & More.