Саусақ ізін сканерлеу GDPR ережелерін бұза ма?
Қазіргі біз өмір сүріп жатқан қазіргі заманда сәйкестендіру құралы ретінде саусақ іздерін қолдану жиі кездеседі, мысалы: саусақ ізімен смартфонның құлпын ашу. Жеке өмірде саналы ерікті болу орын алмаған жағдайда, жеке өмір туралы не айтуға болады? Қауіпсіздік тұрғысынан саусақты сәйкестендіру міндетті түрде жасалуы мүмкін бе? Ұйым, мысалы, қауіпсіздік жүйесіне қол жеткізу үшін өз қызметкерлеріне саусақ іздерін беру міндеттемесін жүктей ала ма? Мұндай міндеттеме құпиялылық ережелерімен қандай байланысы бар?
Саусақ іздері арнайы жеке деректер ретінде
Бұл жерде біз өзімізге сұрақ қоюымыз керек, саусақпен сканерлеу деректерді қорғаудың жалпы ережелеріне сәйкес жеке деректер ретінде қолданыла ма? Саусақ ізі - бұл адамның физикалық, физиологиялық немесе мінез-құлық ерекшеліктерін нақты техникалық өңдеу нәтижесі болып табылатын биометриялық дербес деректер. [1] Биометриялық мәліметтерді жеке адамға қатысты ақпарат деп санауға болады, өйткені олар өзінің табиғаты бойынша белгілі бір адам туралы ақпарат беретін мәліметтер болып табылады. Саусақ ізі сияқты биометриялық мәліметтер арқылы адам анықталады және оны басқа адамнан ажыратуға болады. 4-бапта GDPR бұл анықтаманың ережелерімен айқын расталған. [2]
Саусақ ізін анықтау құпиялылықты бұзу ма?
Аудандық сот Amsterdam жақында қауіпсіздікті реттеу деңгейіне негізделген сәйкестендіру жүйесі ретінде саусақпен сканерлеудің рұқсат етілгендігі туралы шешім қабылдады.
Манфилд аяқ-киім дүкендерінде қызметкерлерге кассалық кассадан қол жеткізуге мүмкіндік беретін саусақтарды сканерлеу авторизациясы қолданылды.
Манфилдтің айтуынша, саусақпен сәйкестендіруді қолдану кассалық жүйеге қол жеткізудің жалғыз әдісі болған. Бұл, басқалармен қатар, қызметкерлердің қаржылық ақпаратын және жеке деректерін қорғау үшін қажет болды. Басқа әдістер бұдан былай біліктілікке ие болмады және алаяқтыққа бейім болмады. Ұйым қызметкерлерінің бірі оның саусақ ізін қолдануға қарсы болды. Ол GDPR-нің 9-бабына сілтеме жасай отырып, осы авторизациялау әдісін оның жеке өмірін бұзу ретінде қабылдады. Осы бапқа сәйкес тұлғаны бірегей сәйкестендіру мақсатында биометриялық мәліметтерді өңдеуге тыйым салынады.
Қажеттілігі
Бұл тыйым аутентификация немесе қауіпсіздік мақсатында өңдеу қажет болған жағдайда қолданылмайды. Манфилдтің іскерлік мүддесі алаяқ қызметкерлердің кесірінен табыстың жоғалуын болдырмау болды. Аудандық сот жұмыс берушінің шағымын қанағаттандырмады. Манфилдтің іскерлік мүдделері GDPR енгізу туралы заңның 29-бөлімінде қарастырылғандай, жүйені «аутентификация немесе қауіпсіздік мақсаттары үшін қажет» етпеді.
Әрине, Мэнфилд алаяқтыққа қарсы әрекет ете алады, бірақ бұл GDPR ережелерін бұза отырып жасалмауы мүмкін. Сонымен қатар, жұмыс беруші өз компаниясына қауіпсіздіктің басқа түрін бермеген. Авторизацияның балама әдістеріне жеткіліксіз зерттеулер жүргізілді; Екеуінің тіркесімі болсын немесе жоқ болсын, кіру рұқсатын немесе сандық кодты пайдалану туралы ойланыңыз.
Жұмыс беруші қауіпсіздік жүйелерінің әртүрлі түрлерінің артықшылықтары мен кемшіліктерін мұқият өлшемеген және саусақпен сканерлеудің нақты жүйесін таңдағанын жеткілікті түрде дәлелдей алмады. Негізінен осы себепті жұмыс берушінің GDPR енгізу туралы заң негізінде өз қызметкерлерінен саусақ ізін сканерлеуді рұқсат ету жүйесін пайдалануды талап етуге заңды құқығы болмады.
Егер сіз жаңа қауіпсіздік жүйесін енгізуге қызығушылық танытсаңыз, онда GDPR және Іске асыру туралы заңға сәйкес мұндай жүйелердің рұқсат етілгендігін бағалау қажет. Барлық сұрақтар бойынша адвокаттармен байланысыңыз заң & Басқалар. Біз сіздің сұрақтарыңызға жауап береміз және сізге қамтамасыз етеміз заңды көмек және ақпарат.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005