I denna moderna tid som vi lever i idag är det allt vanligare att använda fingeravtryck som ett identifieringsmedel, till exempel: låsa upp en smartphone med en fingeravläsning. Men hur är det med sekretess när det inte längre äger rum i en privat fråga där det finns medveten frivillighet? Kan arbetsrelaterad fingeridentifiering göras obligatorisk i samband med säkerhet? Kan en organisation ålägga sina anställda skyldighet att lämna in sina fingeravtryck, till exempel för tillgång till ett säkerhetssystem? Och hur förhåller sig en sådan skyldighet till sekretessreglerna?
Fingeravtryck som speciella personuppgifter
Frågan vi bör ställa oss här är om en fingeravsökning gäller som personuppgifter i den mening som avses i den allmänna dataskyddsförordningen. Ett fingeravtryck är biometriska personuppgifter som är resultatet av specifik teknisk behandling av en persons fysiska, fysiologiska eller beteendemässiga egenskaper. [1] Biometriska data kan betraktas som information som rör en fysisk person, eftersom det är data som enligt sin natur ger information om en viss person. Med hjälp av biometriska data som ett fingeravtryck är personen identifierbar och kan särskiljas från en annan person. I artikel 4 i GDPR bekräftas detta också uttryckligen av definitionsbestämmelserna. [2]
Identifiering av fingeravtryck är en kränkning av integriteten?
Tingsrätten Amsterdam nyligen beslutat om tillåtligheten av en fingerskanning som ett identifieringssystem baserat på säkerhetsregleringsnivå.
Skobutikskedjan Manfield använde godkännandesystem för fingeravläsning, vilket gav anställda tillgång till ett kassaapparat.
Enligt Manfield var användningen av fingeridentifiering det enda sättet att få tillgång till kassasystemet. Det var bland annat nödvändigt att skydda anställdas ekonomiska information och personuppgifter. Andra metoder var inte längre kvalificerade och mottagliga för bedrägerier. En av organisationens anställda motsatte sig användningen av hennes fingeravtryck. Hon tog denna auktoriseringsmetod som ett brott mot hennes integritet, med hänvisning till artikel 9 i GDPR. Enligt denna artikel är bearbetning av biometriska uppgifter för syftet med en unik identifiering av en person förbjuden.
Nödvändighet
Detta förbud gäller inte där behandlingen är nödvändig för autentisering eller säkerhetsändamål. Manfields affärsintresse var att förhindra intäktsförlust på grund av bedräglig personal. Tingsrätten avvisade arbetsgivarens överklagande. Manfields affärsintressen gjorde inte systemet "nödvändigt för autentisering eller säkerhetsändamål", enligt vad som anges i avsnitt 29 i GDPR Implementation Act. Naturligtvis är Manfield fritt att agera mot bedrägerier, men detta kan inte ske i strid med bestämmelserna i GDPR. Dessutom hade arbetsgivaren inte gett sitt företag någon annan form av säkerhet. Otillräcklig forskning hade genomförts om alternativa godkännandemetoder; tänk på användningen av ett åtkomstpass eller numerisk kod, oavsett om en kombination av båda är eller inte. Arbetsgivaren hade inte noggrant mätt fördelarna och nackdelarna med olika typer av säkerhetssystem och kunde inte tillräckligt motivera varför han föredrog ett specifikt fingeravläsningssystem. Huvudsakligen på grund av denna anledning hade arbetsgivaren inte den lagliga rätten att kräva användning av fingeravtrycksscanningsbehörighetssystemet för sin personal på grundval av GDPR Implementation Act.
Om du är intresserad av att införa ett nytt säkerhetssystem måste det bedömas om sådana system är tillåtna enligt GDPR och genomförandelagen. Om det finns några frågor, kontakta advokaterna på Law & More. Vi svarar på dina frågor och ger dig juridisk hjälp och information.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005