Fingeravtrykk i strid med GDPR

I denne moderne tidsalder som vi lever i i dag, er det stadig mer vanlig å bruke fingeravtrykk som identifiseringsmiddel, for eksempel: å låse opp en smarttelefon med en fingerskanning. Men hva med personvern når det ikke lenger foregår i en privat sak der det er bevisst frivillighet? Kan arbeidsrelatert fingeridentifikasjon gjøres obligatorisk i sammenheng med sikkerhet? Kan en organisasjon pålegge sine ansatte en plikt til å levere inn fingeravtrykk, for eksempel for tilgang til et sikkerhetssystem? Og hvordan forholder en slik forpliktelse seg til personvernreglene?

Fingeravtrykk i strid med GDPR

Fingeravtrykk som spesielle personopplysninger

Spørsmålet vi bør stille oss her, er om en fingerskanning gjelder som personopplysninger i betydningen den generelle databeskyttelsesforordningen. Et fingeravtrykk er en biometrisk personopplysning som er et resultat av spesifikk teknisk behandling av en persons fysiske, fysiologiske eller atferdsmessige egenskaper.[1] Biometriske data kan betraktes som informasjon knyttet til en fysisk person, ettersom de er data som etter sin art gir informasjon om en bestemt person. Ved hjelp av biometriske data som et fingeravtrykk, er personen identifiserbar og kan skilles fra en annen person. I artikkel 4 GDPR blir dette også eksplisitt bekreftet av definisjonsbestemmelsene.[2]

Fingeravtrykkidentifikasjon er et brudd på personvernet?

Underdistriktsdomstolen Amsterdam avgjorde nylig antageligheten for en fingerskanning som et identifikasjonssystem basert på sikkerhetsreguleringsnivå.

Skobutikkjeden Manfield benyttet autorisasjonssystem for fingerskanning som ga ansatte tilgang til et kassaapparat.

I følge Manfield var bruk av fingeridentifikasjon den eneste måten å få tilgang til kassasystemet. Det var blant annet nødvendig å beskytte de ansattes økonomiske informasjon og personopplysninger. Andre metoder var ikke lenger kvalifiserte og utsatt for svindel. En av de ansatte i organisasjonen protesterte mot bruken av fingeravtrykket hennes. Hun tok denne autorisasjonsmetoden som et brudd på personvernet sitt, og henviste til artikkel 9 i GDPR. I følge denne artikkelen er det forbudt å behandle biometriske data med det formål å unike identifisere en person.

Nødvendighet

Dette forbudet gjelder ikke der behandlingen er nødvendig for godkjenning eller sikkerhetsformål. Manfields forretningsinteresse var å forhindre tap av inntekter på grunn av uredelig personell. Underrettsdomstolen avviste arbeidsgivers anke. Manfields forretningsinteresser gjorde ikke systemet 'nødvendig for godkjenning eller sikkerhetsformål', som fastsatt i § 29 i GDPR-implementeringsloven. Manfield står selvfølgelig fritt til å handle mot svindel, men dette kan ikke gjøres i strid med bestemmelsene i GDPR. Videre hadde arbeidsgiveren ikke gitt selskapet sitt noen annen form for sikkerhet. Det var ikke utført tilstrekkelig forskning på alternative autorisasjonsmetoder; tenk på bruken av et adgangskort eller en numerisk kode, enten en kombinasjon av begge deler eller ikke. Arbeidsgiveren hadde ikke målt fordelene og ulempene ved forskjellige typer sikkerhetssystemer nøye og kunne ikke motivere tilstrekkelig hvorfor han foretrakk et spesifikt fingerskanningssystem. Hovedsakelig på grunn av denne grunn hadde ikke arbeidsgiveren lovlig rett til å kreve bruk av autorisasjonssystemet for fingeravtrykkskanning på sine ansatte på grunnlag av implementeringsloven av GDPR.

Hvis du er interessert i å innføre et nytt sikkerhetssystem, må det vurderes om slike systemer er tillatt etter GDPR og implementeringsloven. Hvis det er spørsmål, kan du kontakte advokatene på Law & More. Vi vil svare på spørsmålene dine og gi deg juridisk hjelp og informasjon.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Dele