Саусақ ізі GDPR бұзылған

Қазіргі біз өмір сүріп жатқан қазіргі заманда сәйкестендіру құралы ретінде саусақ іздерін қолдану жиі кездеседі, мысалы: саусақ ізімен смартфонның құлпын ашу. Жеке өмірде саналы ерікті болу орын алмаған жағдайда, жеке өмір туралы не айтуға болады? Қауіпсіздік тұрғысынан саусақты сәйкестендіру міндетті түрде жасалуы мүмкін бе? Ұйым, мысалы, қауіпсіздік жүйесіне қол жеткізу үшін өз қызметкерлеріне саусақ іздерін беру міндеттемесін жүктей ала ма? Мұндай міндеттеме құпиялылық ережелерімен қандай байланысы бар?

Саусақ ізі GDPR бұзылған

Саусақ іздері арнайы жеке деректер ретінде

Бұл жерде біз өзімізге сұрақ қоюымыз керек, саусақпен сканерлеу деректерді қорғаудың жалпы ережелеріне сәйкес жеке деректер ретінде қолданыла ма? Саусақ ізі - бұл адамның физикалық, физиологиялық немесе мінез-құлық ерекшеліктерін нақты техникалық өңдеу нәтижесі болып табылатын биометриялық дербес деректер.[1] Биометриялық мәліметтерді жеке тұлғаға қатысты ақпарат ретінде қарастыруға болады, өйткені олар белгілі бір тұлға туралы ақпарат беретін мәліметтер болып табылады. Саусақ ізі сияқты биометрикалық мәліметтер арқылы адамды сәйкестендіруге болады және оны басқа адамнан ажыратуға болады. GDPR 4-бабында бұл анықтама ережелерімен нақты расталған.[2]

Саусақ ізін анықтау құпиялылықты бұзу ма?

Жақында Амстердам қалалық соты қауіпсіздікті реттеу деңгейіне негізделген сәйкестендіру жүйесі ретінде саусақ ізін қолдануға рұқсат беру туралы шешім қабылдады.

Манфилд аяқ-киім дүкендерінде қызметкерлерге кассалық кассадан қол жеткізуге мүмкіндік беретін саусақтарды сканерлеу авторизациясы қолданылды.

Манфилдтің айтуынша, саусақпен сәйкестендіруді қолдану кассалық жүйеге қол жеткізудің жалғыз әдісі болған. Бұл, басқалармен қатар, қызметкерлердің қаржылық ақпаратын және жеке деректерін қорғау үшін қажет болды. Басқа әдістер бұдан былай біліктілікке ие болмады және алаяқтыққа бейім болмады. Ұйым қызметкерлерінің бірі оның саусақ ізін қолдануға қарсы болды. Ол GDPR-нің 9-бабына сілтеме жасай отырып, осы авторизациялау әдісін оның жеке өмірін бұзу ретінде қабылдады. Осы бапқа сәйкес тұлғаны бірегей сәйкестендіру мақсатында биометриялық мәліметтерді өңдеуге тыйым салынады.

Қажеттілігі

Бұл тыйым аутентификация немесе қауіпсіздік мақсатында өңдеу қажет болған жерде қолданылмайды. Манфилдтің іскерлік қызығушылығы жалған қызметкерлердің кесірінен табыстың жоғалуына жол бермеу болды. Аудандық сот жұмыс берушінің шағымын қанағаттандырмады. Манфилдтің іскери мүдделері GDPR енгізу туралы заңның 29-бөлімінде көрсетілгендей жүйені «аутентификация немесе қауіпсіздік мақсатында қажет етпеді». Әрине, Манфилд алаяқтыққа қарсы еркін әрекет етеді, бірақ бұл GDPR ережелерін бұза отырып жасалмауы мүмкін. Сонымен қатар, жұмыс беруші өз компаниясына басқа қауіпсіздікті қамтамасыз етпеген. Авторизацияның баламалы әдістері бойынша жеткіліксіз зерттеулер жүргізілді; екеуінің де тіркесімі бола ма, жоқ па, рұқсатты немесе сандық кодты қолдануды ойлаңыз. Жұмыс беруші қауіпсіздік жүйесінің әр түрлі типтерінің артықшылықтары мен кемшіліктерін мұқият өлшеп көрмеген және саусақты сканерлеудің белгілі бір жүйесін неге қалағанын жеткілікті түрде дәлелдей алмады. Негізінен осы себепті жұмыс берушінің GDPR енгізу туралы заңы негізінде қызметкерлеріне саусақ іздерін сканерлеуге рұқсат беру жүйесін қолдануды талап етуге заңды құқығы болмады.

Егер сіз жаңа қауіпсіздік жүйесін енгізуге қызығушылық танытсаңыз, онда GDPR және Іске асыру туралы заңға сәйкес мұндай жүйелердің рұқсат етілгендігін бағалау қажет. Барлық сұрақтар бойынша адвокаттармен байланысыңыз Law & More. Біз сіздің сұрақтарыңызға жауап береміз және сізге заңгерлік көмек пен ақпарат береміз.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

үлес