Dấu vân tay vi phạm GDPR

Trong thời đại hiện đại mà chúng ta đang sống ngày nay, việc sử dụng dấu vân tay làm phương tiện nhận dạng ngày càng phổ biến, ví dụ: mở khóa điện thoại thông minh bằng quét ngón tay. Nhưng còn sự riêng tư khi nó không còn diễn ra trong một vấn đề riêng tư nơi có sự tự nguyện có ý thức thì sao? Nhận dạng ngón tay liên quan đến công việc có thể được thực hiện bắt buộc trong bối cảnh an ninh? Một tổ chức có thể áp đặt một nghĩa vụ đối với nhân viên của mình để lấy dấu vân tay của họ, ví dụ như để truy cập vào một hệ thống bảo mật? Và làm thế nào để nghĩa vụ như vậy liên quan đến các quy tắc riêng tư?

Dấu vân tay vi phạm GDPR

Dấu vân tay là dữ liệu cá nhân đặc biệt

Câu hỏi chúng ta nên tự hỏi ở đây là liệu quét ngón tay có áp dụng làm dữ liệu cá nhân theo nghĩa của Quy định chung về bảo vệ dữ liệu hay không. Dấu vân tay là một dữ liệu cá nhân sinh trắc học là kết quả của quá trình xử lý kỹ thuật cụ thể về các đặc điểm thể chất, sinh lý hoặc hành vi của một người.[1] Dữ liệu sinh trắc học có thể được coi là thông tin liên quan đến một thể nhân, vì chúng là dữ liệu, theo bản chất của chúng, cung cấp thông tin về một người cụ thể. Bằng các dữ liệu sinh trắc học như dấu vân tay, người này có thể nhận dạng được và có thể được phân biệt với người khác. Trong Điều 4 GDPR, điều này cũng được xác nhận rõ ràng bởi các quy định định nghĩa.[2]

Nhận dạng vân tay là vi phạm quyền riêng tư?

Tòa án Subdistrict Amsterdam gần đây đã đưa ra phán quyết về sự chấp nhận của việc quét ngón tay như một hệ thống nhận dạng dựa trên mức độ quy định an toàn.

Chuỗi cửa hàng giày Manfield đã sử dụng hệ thống ủy quyền quét ngón tay, cho phép nhân viên truy cập vào máy tính tiền.

Theo Manfield, việc sử dụng nhận dạng ngón tay là cách duy nhất để truy cập vào hệ thống máy tính tiền. Bên cạnh đó, cần phải bảo vệ thông tin tài chính và dữ liệu cá nhân của nhân viên. Các phương pháp khác không còn đủ tiêu chuẩn và dễ bị lừa đảo. Một trong những nhân viên của tổ chức đã phản đối việc sử dụng dấu vân tay của cô. Cô ấy coi phương thức ủy quyền này là vi phạm quyền riêng tư của mình, tham khảo điều 9 của GDPR. Theo bài báo này, việc xử lý dữ liệu sinh trắc học nhằm mục đích nhận dạng duy nhất của một người bị cấm.

Sự cần thiết

Việc cấm này không áp dụng khi cần xử lý cho các mục đích xác thực hoặc bảo mật. Lợi ích kinh doanh của Manfield là ngăn chặn thất thu do gian lận nhân sự. Tòa án Subdistrict đã bác đơn kháng cáo của chủ nhân. Lợi ích kinh doanh của Manfield đã không làm cho hệ thống trở nên "cần thiết cho mục đích xác thực hoặc bảo mật", như được quy định trong Mục 29 của Đạo luật thực thi GDPR. Tất nhiên, Manfield được tự do hành động chống lại gian lận, nhưng điều này có thể không được thực hiện nếu vi phạm các quy định của GDPR. Hơn nữa, người sử dụng lao động đã không cung cấp cho công ty của họ bất kỳ hình thức bảo mật nào khác. Nghiên cứu không đầy đủ đã được thực hiện về các phương pháp ủy quyền thay thế; nghĩ về việc sử dụng một thẻ truy cập hoặc mã số, có kết hợp cả hai hay không. Nhà tuyển dụng đã không đo lường cẩn thận những lợi thế và bất lợi của các loại hệ thống bảo mật khác nhau và không thể đủ động lực tại sao anh ta lại thích một hệ thống quét ngón tay cụ thể. Chính vì lý do này, người sử dụng lao động không có quyền hợp pháp để yêu cầu sử dụng hệ thống ủy quyền quét dấu vân tay đối với nhân viên của mình trên cơ sở Đạo luật thực thi GDPR.

Nếu bạn quan tâm đến việc giới thiệu một hệ thống bảo mật mới, nó sẽ phải được đánh giá xem các hệ thống đó có được phép theo GDPR và Đạo luật triển khai hay không. Mọi thắc mắc xin vui lòng liên hệ với các luật sư tại Law & More. Chúng tôi sẽ trả lời các câu hỏi của bạn và cung cấp cho bạn thông tin và hỗ trợ pháp lý.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAM: 2019: 6005

Chia sẻ