Bryter fingeravtrykkskanning GDPR-reglene?

I denne moderne tidsalder som vi lever i i dag, er det stadig mer vanlig å bruke fingeravtrykk som identifiseringsmiddel, for eksempel: å låse opp en smarttelefon med en fingerskanning. Men hva med personvern når det ikke lenger foregår i en privat sak der det er bevisst frivillighet? Kan arbeidsrelatert fingeridentifikasjon gjøres obligatorisk i sammenheng med sikkerhet? Kan en organisasjon pålegge sine ansatte en plikt til å levere inn fingeravtrykk, for eksempel for tilgang til et sikkerhetssystem? Og hvordan forholder en slik forpliktelse seg til personvernreglene?

Fingeravtrykk som spesielle personopplysninger

Spørsmålet vi bør stille oss her, er om en fingerskanning gjelder som personopplysninger i henhold til den generelle databeskyttelsesforordningen. Et fingeravtrykk er biometriske personopplysninger som er et resultat av spesifikk teknisk behandling av en persons fysiske, fysiologiske eller atferdsmessige egenskaper. [1] Biometriske data kan betraktes som informasjon om en fysisk person, ettersom det er data som etter sin art gir informasjon om en bestemt person. Ved hjelp av biometriske data som et fingeravtrykk er personen identifiserbar og kan skilles fra en annen person. I artikkel 4 GDPR bekreftes dette også eksplisitt av definisjonsbestemmelsene. [2]

Fingeravtrykkidentifikasjon er et brudd på personvernet?

Tingretten Amsterdam nylig avsagt en avgjørelse om tillatte fingerskanninger som et identifikasjonssystem basert på sikkerhetsforskriftsnivå.

Skobutikkjeden Manfield benyttet autorisasjonssystem for fingerskanning som ga ansatte tilgang til et kassaapparat.

Ifølge Manfield var bruk av fingeridentifikasjon den eneste måten å få tilgang til kassasystemet. Det var blant annet nødvendig å beskytte ansattes økonomiske informasjon og personlige data. Andre metoder var ikke lenger kvalifiserte og utsatt for svindel. En av de ansatte i organisasjonen motsatte seg bruk av fingeravtrykket hennes. Hun tok denne autorisasjonsmetoden som et brudd på personvernet sitt, med henvisning til artikkel 9 i GDPR. I henhold til denne artikkelen er behandling av biometriske data for den unike identifikasjonen av en person forbudt.

Nødvendighet

Dette forbudet gjelder ikke der behandlingen er nødvendig for autentisering eller sikkerhetsformål. Manfields forretningsinteresse var å forhindre tap av inntekter på grunn av uredelig personell. Tingretten avviste arbeidsgivers anke. Manfields forretningsinteresser gjorde ikke systemet "nødvendig for autentiserings- eller sikkerhetsformål", som fastsatt i paragraf 29 i GDPR-implementeringsloven.

Selvfølgelig står Manfield fritt til å handle mot svindel, men dette kan ikke gjøres i strid med bestemmelsene i GDPR. Videre hadde ikke arbeidsgiver stilt sin virksomhet annen form for sikkerhet. Det var ikke utført tilstrekkelig forskning på alternative autorisasjonsmetoder; tenk på bruken av et tilgangspass eller numerisk kode, enten en kombinasjon av begge eller ikke.

Arbeidsgiveren hadde ikke nøye målt fordeler og ulemper ved ulike typer sikkerhetssystemer og kunne ikke i tilstrekkelig grad motivere hvorfor han foretrakk et spesifikt fingerskanningssystem. Hovedsakelig på grunn av denne grunn hadde ikke arbeidsgiveren juridisk rett til å kreve bruk av autorisasjonssystemet for fingeravtrykkskanning på sine ansatte på grunnlag av GDPR-implementeringsloven.

Hvis du er interessert i å innføre et nytt sikkerhetssystem, må det vurderes om slike systemer er tillatt etter GDPR og implementeringsloven. Hvis det er spørsmål, kan du kontakte advokatene på Law & Mer. Vi vil svare på dine spørsmål og gi deg lovlig hjelp og informasjon.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005