Fingeravtryck i strid med GDPR

I denna moderna tid som vi lever i idag är det allt vanligare att använda fingeravtryck som ett identifieringsmedel, till exempel: låsa upp en smartphone med en fingeravläsning. Men hur är det med sekretess när det inte längre äger rum i en privat fråga där det finns medveten frivillighet? Kan arbetsrelaterad fingeridentifiering göras obligatorisk i samband med säkerhet? Kan en organisation ålägga sina anställda skyldighet att lämna in sina fingeravtryck, till exempel för tillgång till ett säkerhetssystem? Och hur förhåller sig en sådan skyldighet till sekretessreglerna?

Fingeravtryck i strid med GDPR

Fingeravtryck som speciella personuppgifter

Frågan vi bör ställa oss här är om en fingeravsökning gäller som personuppgifter i den mening som avses i den allmänna dataskyddsförordningen. Ett fingeravtryck är en biometrisk personuppgift som är resultatet av specifik teknisk behandling av en persons fysiska, fysiologiska eller beteendemässiga egenskaper.[1] Biometriska uppgifter kan betraktas som information som rör en fysisk person, eftersom de är data som till sin natur ger information om en viss person. Med hjälp av biometriska data som ett fingeravtryck, är personen identifierbar och kan skiljas från en annan person. I artikel 4 GDPR bekräftas detta också uttryckligen av definitionbestämmelserna.[2]

Identifiering av fingeravtryck är en kränkning av integriteten?

Underdomstolens domstol Amsterdam avgav nyligen tillåtelsen av en fingeravläsning som ett identifieringssystem baserat på säkerhetsregleringsnivå.

Skobutikskedjan Manfield använde godkännandesystem för fingeravläsning, vilket gav anställda tillgång till ett kassaapparat.

Enligt Manfield var användningen av fingeridentifiering det enda sättet att få tillgång till kassasystemet. Det var bland annat nödvändigt att skydda anställdas ekonomiska information och personuppgifter. Andra metoder var inte längre kvalificerade och mottagliga för bedrägerier. En av organisationens anställda motsatte sig användningen av hennes fingeravtryck. Hon tog denna auktoriseringsmetod som ett brott mot hennes integritet, med hänvisning till artikel 9 i GDPR. Enligt denna artikel är bearbetning av biometriska uppgifter för syftet med en unik identifiering av en person förbjuden.

Nödvändighet

Detta förbud gäller inte där behandlingen är nödvändig för autentisering eller säkerhetsändamål. Manfields affärsintresse var att förhindra intäktsförlust på grund av bedräglig personal. Tingsrätten avvisade arbetsgivarens överklagande. Manfields affärsintressen gjorde inte systemet "nödvändigt för autentisering eller säkerhetsändamål", enligt vad som anges i avsnitt 29 i GDPR Implementation Act. Naturligtvis är Manfield fritt att agera mot bedrägerier, men detta kan inte ske i strid med bestämmelserna i GDPR. Dessutom hade arbetsgivaren inte gett sitt företag någon annan form av säkerhet. Otillräcklig forskning hade genomförts om alternativa godkännandemetoder; tänk på användningen av ett åtkomstpass eller numerisk kod, oavsett om en kombination av båda är eller inte. Arbetsgivaren hade inte noggrant mätt fördelarna och nackdelarna med olika typer av säkerhetssystem och kunde inte tillräckligt motivera varför han föredrog ett specifikt fingeravläsningssystem. Huvudsakligen på grund av denna anledning hade arbetsgivaren inte den lagliga rätten att kräva användning av fingeravtrycksscanningsbehörighetssystemet för sin personal på grundval av GDPR Implementation Act.

Om du är intresserad av att införa ett nytt säkerhetssystem måste det bedömas om sådana system är tillåtna enligt GDPR och genomförandelagen. Om det finns några frågor, kontakta advokaterna på Law & More. Vi svarar på dina frågor och ger dig juridisk hjälp och information.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Dela