Fingeravtrykk i strid med GDPR

I denne moderne tidsalder som vi lever i i dag, er det stadig mer vanlig å bruke fingeravtrykk som identifiseringsmiddel, for eksempel: å låse opp en smarttelefon med en fingerskanning. Men hva med personvern når det ikke lenger foregår i en privat sak der det er bevisst frivillighet? Kan arbeidsrelatert fingeridentifikasjon gjøres obligatorisk i sammenheng med sikkerhet? Kan en organisasjon pålegge sine ansatte en plikt til å levere inn fingeravtrykk, for eksempel for tilgang til et sikkerhetssystem? Og hvordan forholder en slik forpliktelse seg til personvernreglene?

Fingeravtrykk i strid med GDPR

Fingeravtrykk som spesielle personopplysninger

Spørsmålet vi bør stille oss her, er om en fingerskanning gjelder som personopplysninger i henhold til den generelle databeskyttelsesforordningen. Et fingeravtrykk er biometriske personopplysninger som er et resultat av spesifikk teknisk behandling av en persons fysiske, fysiologiske eller atferdsmessige egenskaper.[1] Biometriske data kan betraktes som informasjon knyttet til en fysisk person, ettersom de er data som etter sin art gir informasjon om en bestemt person. Ved hjelp av biometriske data som et fingeravtrykk, er personen identifiserbar og kan skilles fra en annen person. I artikkel 4 GDPR blir dette også eksplisitt bekreftet av definisjonsbestemmelsene.[2]

Fingeravtrykkidentifikasjon er et brudd på personvernet?

Underdistriktsdomstolen Amsterdam avgjorde nylig antageligheten for en fingerskanning som et identifikasjonssystem basert på sikkerhetsreguleringsnivå.

Skobutikkjeden Manfield benyttet autorisasjonssystem for fingerskanning som ga ansatte tilgang til et kassaapparat.

Ifølge Manfield var bruk av fingeridentifikasjon den eneste måten å få tilgang til kassasystemet. Det var blant annet nødvendig å beskytte ansattes økonomiske informasjon og personlige data. Andre metoder var ikke lenger kvalifiserte og utsatt for svindel. En av de ansatte i organisasjonen motsatte seg bruk av fingeravtrykket hennes. Hun tok denne autorisasjonsmetoden som et brudd på personvernet sitt, med henvisning til artikkel 9 i GDPR. I henhold til denne artikkelen er behandling av biometriske data for den unike identifikasjonen av en person forbudt.

Nødvendighet

Dette forbudet gjelder ikke der behandlingen er nødvendig for autentisering eller sikkerhetsformål. Manfields forretningsinteresse var å forhindre tap av inntekter på grunn av uredelig personell. Tingretten avviste arbeidsgivers anke. Manfields forretningsinteresser gjorde ikke systemet 'nødvendig for autentisering eller sikkerhetsformål', som angitt i § 29 i GDPR Implementation Act. Manfield står selvfølgelig fritt til å handle mot svindel, men dette kan ikke gjøres i strid med bestemmelsene i GDPR. Videre hadde arbeidsgiveren ikke gitt selskapet noen annen form for sikkerhet. Det var utført utilstrekkelig forskning i alternative godkjenningsmetoder; tenk på bruken av et adgangskort eller en numerisk kode, uansett om det er en kombinasjon av begge. Arbeidsgiveren hadde ikke målt fordelene og ulempene med forskjellige typer sikkerhetssystemer nøye, og kunne ikke tilstrekkelig motivere hvorfor han foretrakk et spesifikt fingerscanningssystem. Hovedsakelig av denne grunn hadde ikke arbeidsgiveren den juridiske retten til å kreve bruk av autorisasjonssystemet for fingeravtrykk på personalet sitt på grunnlag av GDPR Implementation Act.

Hvis du er interessert i å innføre et nytt sikkerhetssystem, må det vurderes om slike systemer er tillatt etter GDPR og implementeringsloven. Hvis det er spørsmål, kan du kontakte advokatene på Law & More. Vi vil svare på spørsmålene dine og gi deg juridisk hjelp og informasjon.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Dele