Quyền như một ngoại lệ để xử lý dữ liệu sinh trắc học

Gần đây, Cơ quan bảo vệ dữ liệu Hà Lan (AP) đã phạt một khoản tiền phạt lớn, cụ thể là 725,000 euro, đối với một công ty quét dấu vân tay của nhân viên để tham dự và đăng ký thời gian. Dữ liệu sinh trắc học, chẳng hạn như dấu vân tay, là dữ liệu cá nhân đặc biệt theo nghĩa của Điều 9 GDPR. Đây là những đặc điểm độc đáo có thể bắt nguồn từ một người cụ thể. Tuy nhiên, dữ liệu này thường chứa nhiều thông tin hơn mức cần thiết, ví dụ, nhận dạng. Do đó, việc xử lý của họ gây ra rủi ro lớn trong lĩnh vực quyền và tự do cơ bản của người dân. Nếu những dữ liệu này rơi vào tay kẻ xấu, điều này có khả năng dẫn đến thiệt hại không thể khắc phục. Do đó, dữ liệu sinh trắc học được bảo vệ tốt và việc xử lý dữ liệu bị cấm theo Điều 9 GDPR, trừ khi có ngoại lệ pháp lý cho việc này. Trong trường hợp này, AP kết luận rằng công ty đang nghi vấn không được quyền ngoại lệ để xử lý dữ liệu cá nhân đặc biệt.

Về dấu vân tay trong bối cảnh GDPR và một trong những trường hợp ngoại lệ, cụ thể là sự cần thiết, we previously wrote in one of our blogs: ‘Fingerprint in violation of GDPR’. This blog focuses on the other alternative ground for exception: cho phép. Khi một chủ nhân sử dụng dữ liệu sinh trắc học như dấu vân tay trong công ty của mình, anh ta có thể, liên quan đến quyền riêng tư, có đủ sự cho phép của nhân viên của mình không?

Quyền như một ngoại lệ để xử lý dữ liệu sinh trắc học

Theo sự cho phép có nghĩa là một cụ thể, thông tin và rõ ràng bày tỏ ý chí theo đó ai đó chấp nhận xử lý dữ liệu cá nhân của mình bằng tuyên bố hoặc hành động tích cực rõ ràng, theo Điều 4, mục 11, GDPR. Do đó, trong bối cảnh của ngoại lệ này, người sử dụng lao động không chỉ phải chứng minh rằng nhân viên của mình đã được cấp phép, mà còn điều này rõ ràng, cụ thể và được thông báo. Việc ký hợp đồng lao động hoặc nhận sổ tay nhân sự trong đó chủ lao động chỉ ghi lại ý định đồng hồ hoàn toàn bằng dấu vân tay, là không đủ trong bối cảnh này, AP kết luận. Để làm bằng chứng, người sử dụng lao động phải, ví dụ, gửi chính sách, thủ tục hoặc tài liệu khác, cho thấy nhân viên của anh ta được thông báo đầy đủ về việc xử lý dữ liệu sinh trắc học và họ cũng đã cho phép (rõ ràng) cho việc xử lý.

Nếu sự cho phép được cấp bởi nhân viên, nó không chỉ phải là 'rõ ràng' nhưng cũng 'tự do đưa ra’, according to the AP. ‘Explicit’ is, for example, written permission, signature, sending an email to give permission, or permission with two-step verification. ‘Freely given’ means that there must be no coercion behind it (as was the case in the case in question: when refusing to have the fingerprint scanned, a conversation with the director/board followed) or that permission may be a condition for something different. The condition ‘freely given’ is in any case not met by the employer when employees are obliged or, as in the case in question, experience it as an obligation to have their fingerprint recorded. Generally, under this requirement, the AP considered that given the dependency resulting from the relationship between the employer and employee, it is unlikely that the employee can freely grant his or her consent. The opposite will have to be proven by the employer.

Nhân viên có yêu cầu nhân viên cho phép xử lý dấu vân tay của họ không? Sau đó, AP học được trong bối cảnh của trường hợp này rằng về nguyên tắc điều này không được phép. Xét cho cùng, nhân viên phụ thuộc vào người sử dụng lao động của họ và do đó thường không có tư cách để từ chối. Điều này không có nghĩa là người sử dụng lao động không bao giờ có thể thành công dựa trên cơ sở cho phép. Tuy nhiên, người sử dụng lao động phải có đủ bằng chứng để kháng nghị trên cơ sở đồng ý thành công, để xử lý dữ liệu sinh trắc học của nhân viên, chẳng hạn như dấu vân tay. Bạn có ý định sử dụng dữ liệu sinh trắc học trong công ty của mình hay chủ nhân của bạn có yêu cầu bạn cho phép sử dụng dấu vân tay của bạn không? Trong trường hợp đó, điều quan trọng là không phải hành động ngay lập tức và cấp phép, mà trước tiên phải được thông báo đúng cách. Law & More luật sư là chuyên gia trong lĩnh vực bảo mật và có thể cung cấp thông tin cho bạn. Bạn có câu hỏi nào khác về blog này không? Vui lòng liên hệ Law & More.

Chia sẻ