Dấu vân tay vi phạm GDPR

Trong thời đại hiện đại mà chúng ta đang sống ngày nay, việc sử dụng dấu vân tay làm phương tiện nhận dạng ngày càng phổ biến, ví dụ: mở khóa điện thoại thông minh bằng quét ngón tay. Nhưng còn sự riêng tư khi nó không còn diễn ra trong một vấn đề riêng tư nơi có sự tự nguyện có ý thức thì sao? Nhận dạng ngón tay liên quan đến công việc có thể được thực hiện bắt buộc trong bối cảnh an ninh? Một tổ chức có thể áp đặt một nghĩa vụ đối với nhân viên của mình để lấy dấu vân tay của họ, ví dụ như để truy cập vào một hệ thống bảo mật? Và làm thế nào để nghĩa vụ như vậy liên quan đến các quy tắc riêng tư?

Dấu vân tay vi phạm GDPR

Dấu vân tay là dữ liệu cá nhân đặc biệt

Câu hỏi chúng ta nên tự hỏi mình ở đây, là liệu quét ngón tay có áp dụng như dữ liệu cá nhân theo nghĩa của Quy định bảo vệ dữ liệu chung hay không. Dấu vân tay là dữ liệu cá nhân sinh trắc học, là kết quả của quá trình xử lý kỹ thuật cụ thể về các đặc điểm thể chất, sinh lý hoặc hành vi của một người.[1] Dữ liệu sinh trắc học có thể được coi là thông tin liên quan đến một thể nhân, vì chúng là dữ liệu, theo bản chất của chúng, cung cấp thông tin về một người cụ thể. Bằng các dữ liệu sinh trắc học như dấu vân tay, người này có thể nhận dạng được và có thể được phân biệt với người khác. Trong Điều 4 GDPR, điều này cũng được xác nhận rõ ràng bởi các quy định định nghĩa.[2]

Nhận dạng vân tay là vi phạm quyền riêng tư?

Tòa án Subdistrict Amsterdam gần đây đã đưa ra phán quyết về sự chấp nhận của việc quét ngón tay như một hệ thống nhận dạng dựa trên mức độ quy định an toàn.

Chuỗi cửa hàng giày Manfield đã sử dụng hệ thống ủy quyền quét ngón tay, cho phép nhân viên truy cập vào máy tính tiền.

Theo Manfield, việc sử dụng nhận dạng ngón tay là cách duy nhất để có quyền truy cập vào hệ thống máy tính tiền. Trong số những điều khác, cần thiết để bảo vệ thông tin tài chính và dữ liệu cá nhân của nhân viên. Các phương pháp khác không còn đủ điều kiện và dễ bị lừa đảo. Một trong những nhân viên của tổ chức đã phản đối việc sử dụng dấu vân tay của cô. Cô lấy phương thức ủy quyền này là vi phạm quyền riêng tư của mình, đề cập đến điều 9 của GDPR. Theo bài viết này, việc xử lý dữ liệu sinh trắc học cho mục đích nhận dạng duy nhất của một người bị cấm.

Sự cần thiết

Lệnh cấm này không áp dụng khi việc xử lý là cần thiết cho mục đích xác thực hoặc bảo mật. Lợi ích kinh doanh của Manfield là ngăn chặn việc mất doanh thu do nhân viên gian lận. Tòa án cấp dưới bác bỏ kháng cáo của chủ nhân. Lợi ích kinh doanh của Manfield không khiến hệ thống 'cần thiết cho mục đích xác thực hoặc bảo mật', như được quy định trong Mục 29 của Đạo luật thực hiện GDPR. Tất nhiên, Manfield có thể tự do chống lại gian lận, nhưng điều này có thể không được thực hiện khi vi phạm các quy định của GDPR. Hơn nữa, chủ nhân đã không cung cấp cho công ty của mình bất kỳ hình thức bảo mật nào khác. Nghiên cứu không đầy đủ đã được thực hiện trong các phương pháp ủy quyền thay thế; nghĩ về việc sử dụng một lượt truy cập hoặc mã số, cho dù có hay không sự kết hợp của cả hai. Chủ nhân đã không cẩn thận đo lường các ưu điểm và nhược điểm của các loại hệ thống bảo mật khác nhau và không thể thúc đẩy đủ lý do tại sao anh ta thích một hệ thống quét ngón tay cụ thể. Chủ yếu là vì lý do này, người sử dụng lao động không có quyền hợp pháp để yêu cầu sử dụng hệ thống ủy quyền quét dấu vân tay trên nhân viên của mình trên cơ sở Đạo luật thực hiện GDPR.

Nếu bạn quan tâm đến việc giới thiệu một hệ thống bảo mật mới, nó sẽ phải được đánh giá xem các hệ thống đó có được phép theo GDPR và Đạo luật triển khai hay không. Mọi thắc mắc xin vui lòng liên hệ với các luật sư tại Law & More. Chúng tôi sẽ trả lời các câu hỏi của bạn và cung cấp cho bạn thông tin và hỗ trợ pháp lý.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAM: 2019: 6005

Chia sẻ