Adakah Pengimbasan Cap Jari Melanggar Peraturan GDPR?
Di zaman moden ini di mana kita hidup sekarang, semakin biasa menggunakan cap jari sebagai alat pengenalan, misalnya: membuka kunci telefon pintar dengan imbasan jari. Tetapi bagaimana dengan privasi apabila ia tidak lagi berlaku dalam masalah peribadi di mana terdapat kesukarelaan secara sedar? Bolehkah pengenalan jari yang berkaitan dengan pekerjaan diwajibkan dalam konteks keselamatan? Bolehkah organisasi mengenakan kewajiban kepada pekerjanya untuk menyerahkan cap jari mereka, misalnya untuk akses ke sistem keselamatan? Dan bagaimana kewajiban tersebut berkaitan dengan peraturan privasi?
Cap jari sebagai data peribadi khas
Pertanyaan yang harus kita tanyakan pada diri kita di sini, adalah apakah imbasan jari berlaku sebagai data peribadi dalam arti Peraturan Perlindungan Data Umum. Cap jari adalah data peribadi biometrik yang merupakan hasil pemprosesan teknikal khusus ciri fizikal, fisiologi atau tingkah laku seseorang. [1] Data biometrik dapat dianggap sebagai maklumat yang berkaitan dengan orang semula jadi, kerana data tersebut, berdasarkan sifatnya, memberikan maklumat mengenai orang tertentu. Dengan menggunakan data biometrik seperti cap jari, orang tersebut dapat dikenali dan dapat dibezakan dengan orang lain. Dalam Artikel 4 GDPR ini juga secara eksplisit ditegaskan oleh ketentuan definisi. [2]
Pengenalan cap jari adalah pelanggaran privasi?
Mahkamah Daerah Kecil Amsterdam baru-baru ini memutuskan kebolehterimaan imbasan jari sebagai sistem pengenalan berdasarkan tahap peraturan keselamatan.
Rantai kedai kasut Manfield menggunakan sistem kebenaran imbasan jari, yang memberi pekerja akses ke daftar tunai.
Menurut Manfield, penggunaan pengenalan jari adalah satu-satunya cara untuk mendapatkan akses ke sistem daftar tunai. Antara lain, perlu untuk melindungi maklumat kewangan dan data peribadi pekerja. Kaedah lain tidak lagi memenuhi syarat dan rentan terhadap penipuan. Salah seorang pekerja organisasi membantah penggunaan cap jarinya. Dia menggunakan metode pengesahan ini sebagai pelanggaran privasi, merujuk pada artikel 9 GDPR. Menurut artikel ini, pemprosesan data biometrik untuk tujuan pengenalan unik seseorang dilarang.
keperluan
Larangan ini tidak terpakai jika pemprosesan diperlukan untuk tujuan pengesahan atau keselamatan. Kepentingan perniagaan Manfield adalah untuk mengelakkan kehilangan hasil akibat kakitangan yang menipu. Mahkamah Daerah menolak rayuan majikan. Kepentingan perniagaan Manfield tidak menjadikan sistem 'diperlukan untuk tujuan pengesahan atau keselamatan', seperti yang ditetapkan dalam Seksyen 29 Akta Pelaksanaan GDPR.
Sudah tentu, Manfield bebas untuk bertindak terhadap penipuan, tetapi ini tidak boleh dilakukan dengan melanggar peruntukan GDPR. Tambahan pula, majikan tidak memberikan syarikatnya sebarang bentuk keselamatan lain. Penyelidikan yang tidak mencukupi telah dijalankan ke dalam kaedah kebenaran alternatif; fikirkan penggunaan pas akses atau kod berangka, sama ada gabungan kedua-duanya atau tidak.
Majikan tidak mengukur dengan teliti kelebihan dan kekurangan pelbagai jenis sistem keselamatan dan tidak dapat memotivasikan dengan secukupnya mengapa dia memilih sistem imbasan jari tertentu. Terutama kerana sebab ini, majikan tidak mempunyai hak undang-undang untuk menghendaki penggunaan sistem kebenaran pengimbasan cap jari pada kakitangannya berdasarkan Akta Pelaksanaan GDPR.
Sekiranya anda berminat untuk memperkenalkan sistem keselamatan baru, sistem ini mesti dinilai sama ada sistem tersebut dibenarkan di bawah GDPR dan Akta Pelaksanaan. Sekiranya ada pertanyaan, sila hubungi peguam di Undang-undang & Lagi. Kami akan menjawab soalan anda dan memberikan anda undang-undang bantuan dan maklumat.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005
