生体認証データの処理の説明
最近、オランダのデータ保護当局 (AP) は、出勤と勤務時間の記録のために従業員の指紋をスキャンした企業に 725,000 ユーロという巨額の罰金を課しました。指紋などの生体認証データは、GDPR 第 9 条の意味における特別な個人データです。これらは、特定の個人にまでさかのぼることができる固有の特徴です。ただし、このデータには、たとえば識別に必要な情報以上の情報が含まれていることがよくあります。
したがって、その処理は人々の基本的権利と自由の領域で大きなリスクをもたらします。これらのデータが悪意のある人の手に渡った場合、取り返しのつかない損害につながる可能性があります。したがって、生体認証データは十分に保護されており、法的例外がない限り、その処理はGDPR第9条で禁止されています。このケースでは、APは問題の会社には補償を受ける権利がないと結論付けました。 例外 特別な個人データを処理するため。
指紋
GDPRのコンテキストでのフィンガープリントについて、および例外のXNUMXつ、つまり 必要、以前にブログのXNUMXつに次のように書いています:「GDPRに違反する指紋」。 このブログは、例外の別の理由に焦点を当てています。 許可。 雇用主が自分の会社で指紋などの生体認証データを使用する場合、プライバシーに関して、従業員の許可を得れば十分でしょうか?
許可とは 特定の、情報に基づいた、明確な 意志の表現 GDPR 第 4 条第 11 項に従い、誰かが声明または明確な積極的な行動によって個人データの処理を承諾することを意味します。したがって、この例外の文脈では、雇用主は従業員が許可を与えたことを証明する必要があるだけでなく、それが明確で、具体的で、十分な情報に基づいたものであることも証明する必要があります。
AP は、雇用契約書に署名したり、雇用者が指紋で出勤記録を完全に記録する意図のみを記録した人事マニュアルを受け取ったりするだけでは、この文脈では不十分であると結論付けました。証拠として、雇用者は、従業員が生体認証データの処理について十分に知らされており、その処理に (明示的に) 許可を与えていることを示すポリシー、手順、またはその他の文書を提出する必要があります。
許可が従業員によって付与された場合、それはさらに '明白な' だけでなく '自由に与えられたAP通信によると、この許可は「自由意志による」ものである。「明示的」とは、例えば書面による許可、署名、許可を与えるための電子メールの送信、または2段階認証による許可などである。「自由に与えられた」とは、その背後に強制があってはならない(問題のケースではそうであった。指紋のスキャンを拒否した際、取締役/取締役会との話し合いが続いた)、または許可が何か別のことに対する条件である可能性があることを意味する。
従業員が指紋を記録する義務を負っている場合、または問題のケースのように指紋を記録することを義務として感じている場合、雇用主は「自由に与えられた」という条件をいずれにしても満たしていません。一般的に、この要件の下では、雇用主と従業員の関係から生じる依存関係を考慮すると、従業員が自由に同意を与える可能性は低いと AP は考えました。反対のことは雇用主が証明する必要があります。
従業員は、従業員に指紋を処理する許可を求めますか? この場合、AP はこのケースの文脈で、原則としてこれは許可されないことを学びます。結局のところ、従業員は雇用主に依存しているため、拒否する立場にないことがよくあります。これは、雇用主が許可の根拠に決して頼ることができないということではありません。
しかし、従業員の指紋などの生体認証データを処理するためには、雇用主は同意に基づく異議申し立てが成功するのに十分な証拠を持っている必要があります。社内で生体認証データを使用するつもりですか、それとも雇用主が指紋などを使用する許可を求めていますか? その場合、すぐに行動して許可を与えるのではなく、まず適切に通知することが重要です。 法律 &Moreの弁護士はプライバシーの分野の専門家であり、情報を提供することができます。このブログについて他にご質問がありますか?お問い合わせください。 Law & More.