Cap jari yang melanggar GDPR

Di zaman moden ini di mana kita hidup sekarang, semakin biasa menggunakan cap jari sebagai alat pengenalan, misalnya: membuka kunci telefon pintar dengan imbasan jari. Tetapi bagaimana dengan privasi apabila ia tidak lagi berlaku dalam masalah peribadi di mana terdapat kesukarelaan secara sedar? Bolehkah pengenalan jari yang berkaitan dengan pekerjaan diwajibkan dalam konteks keselamatan? Bolehkah organisasi mengenakan kewajiban kepada pekerjanya untuk menyerahkan cap jari mereka, misalnya untuk akses ke sistem keselamatan? Dan bagaimana kewajiban tersebut berkaitan dengan peraturan privasi?

Cap jari yang melanggar GDPR

Cap jari sebagai data peribadi khas

Pertanyaan yang harus kita tanyakan kepada diri kita sendiri di sini, adalah apakah imbasan jari berlaku sebagai data peribadi dalam arti Peraturan Perlindungan Data Umum. Cap jari adalah data peribadi biometrik yang merupakan hasil pemprosesan teknikal khusus ciri fizikal, fisiologi atau tingkah laku seseorang.[1] Data biometrik dapat dianggap sebagai maklumat yang berkaitan dengan orang semula jadi, kerana data tersebut, berdasarkan sifatnya, memberikan maklumat mengenai orang tertentu. Dengan menggunakan data biometrik seperti cap jari, orang tersebut dapat dikenali dan dapat dibezakan dengan orang lain. Dalam Artikel 4 GDPR ini juga secara eksplisit ditegaskan oleh ketentuan definisi.[2]

Pengenalan cap jari adalah pelanggaran privasi?

Pengadilan Negeri Amsterdam baru-baru ini memutuskan tentang penerimaan imbasan jari sebagai sistem pengenalan berdasarkan tingkat peraturan keselamatan.

Rantai kedai kasut Manfield menggunakan sistem kebenaran imbasan jari, yang memberi pekerja akses ke daftar tunai.

Menurut Manfield, penggunaan pengenalan jari adalah satu-satunya cara untuk mendapatkan akses ke sistem daftar tunai. Antara lain, perlu untuk melindungi maklumat kewangan dan data peribadi pekerja. Kaedah lain tidak lagi memenuhi syarat dan rentan terhadap penipuan. Salah seorang pekerja organisasi membantah penggunaan cap jarinya. Dia menggunakan metode pengesahan ini sebagai pelanggaran privasi, merujuk pada artikel 9 GDPR. Menurut artikel ini, pemprosesan data biometrik untuk tujuan pengenalan unik seseorang dilarang.

keperluan

Larangan ini tidak berlaku jika pemprosesan diperlukan untuk tujuan pengesahan atau keselamatan. Kepentingan perniagaan Manfield adalah untuk mencegah kehilangan pendapatan akibat penipuan kakitangan. Pengadilan Negeri menolak permohonan majikan. Kepentingan perniagaan Manfield tidak menjadikan sistem 'diperlukan untuk tujuan pengesahan atau keselamatan', seperti yang ditetapkan dalam Seksyen 29, Akta Pelaksanaan GDPR. Sudah tentu, Manfield bebas bertindak terhadap penipuan, tetapi ini mungkin tidak dilakukan dengan melanggar ketentuan GDPR. Tambahan pula, pihak majikan tidak memberikan jaminan lain kepada syarikatnya. Penyelidikan yang tidak mencukupi telah dilakukan untuk kaedah kebenaran alternatif; fikirkan penggunaan kad akses atau kod berangka, sama ada gabungan kedua-duanya atau tidak. Majikan tidak mengukur kelebihan dan kekurangan dari pelbagai jenis sistem keselamatan dengan berhati-hati dan tidak dapat memotivasi mengapa dia lebih suka sistem imbasan jari tertentu. Terutama kerana alasan ini, majikan tidak mempunyai hak hukum untuk mewajibkan penggunaan sistem kebenaran pengimbasan cap jari pada pekerjanya berdasarkan Undang-Undang Pelaksanaan GDPR.

Sekiranya anda berminat untuk memperkenalkan sistem keselamatan baru, sistem ini mesti dinilai sama ada sistem tersebut dibenarkan di bawah GDPR dan Akta Pelaksanaan. Sekiranya ada pertanyaan, sila hubungi peguam di Law & More. Kami akan menjawab soalan anda dan memberi anda bantuan dan maklumat undang-undang.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Kongsi