ანაბეჭდი GDPR– ის დარღვევით

ამ თანამედროვე საუკუნეში, რომელშიც დღეს ვცხოვრობთ, სულ უფრო ხშირად ხდება თითის ანაბეჭდების გამოყენება როგორც იდენტიფიკაციის საშუალება, მაგალითად: სმარტფონის განბლოკვა თითის სკანირებით. რა შეიძლება ითქვას კონფიდენციალურობაზე, როდესაც ის აღარ ხდება კერძო საკითხში, სადაც არის შეგნებული ნებაყოფლობითობა? შეიძლება თუ არა მუშაობასთან დაკავშირებული თითის იდენტიფიცირება სავალდებულო გახდეს უსაფრთხოების თვალსაზრისით? შეუძლია თუ არა ორგანიზაციას დაავალდებულოს ვალდებულება მის თანამშრომლებზე თითის ანაბეჭდების მიცემაზე, მაგალითად უსაფრთხოების სისტემის შესასვლელად? და როგორ უკავშირდება ასეთი ვალდებულება კონფიდენციალურობის წესებს?

ანაბეჭდი GDPR– ის დარღვევით

ანაბეჭდები, როგორც სპეციალური პირადი მონაცემები

კითხვა, რომელიც აქ საკუთარ თავს უნდა ვუსვათ, არის ის, რომ თითის სკანირება გამოიყენება როგორც პერსონალური მონაცემები, მონაცემთა დაცვის ზოგადი დებულების შესაბამისად. თითის ანაბეჭდი არის ბიომეტრიული პირადი მონაცემები, რომელიც წარმოადგენს ადამიანის ფიზიკური, ფიზიოლოგიური ან ქცევითი მახასიათებლების სპეციფიკური დამუშავების შედეგს.[1] ბიომეტრული მონაცემები შეიძლება ჩაითვალოს ფიზიკურ პირთან დაკავშირებულ ინფორმაციად, რადგან ეს არის მონაცემები, რომლებიც, თავისი ბუნებით, ამა თუ იმ პირის შესახებ ინფორმაციას აწვდიან. თითის ანაბეჭდის ბიომეტრიული მონაცემების საშუალებით ადამიანი იდენტიფიცირდება და შეიძლება განასხვავდეს სხვა ადამიანისგან. GDPR მუხლში ეს აშკარად დადასტურებულია განსაზღვრების დებულებებით.[2]

თითის ანაბეჭდის იდენტიფიცირება არის კონფიდენციალურობის დარღვევა?

ამსტერდამის საქვეუწყებო სასამართლომ ახლახან გამოიტანა გადაწყვეტილება თითის სკანირების, როგორც საიდენტიფიკაციო სისტემის დაშვების შესახებ, უსაფრთხოების რეგულირების დონის საფუძველზე.

ფეხსაცმლის მაღაზიის ქსელმა მანფილდმა გამოიყენა თითის სკანირების ავტორიზაციის სისტემა, რამაც თანამშრომლებს სალარო აპარატზე წვდომა მისცა.

მანფილდის თანახმად, თითის იდენტიფიკაციის გამოყენება ერთადერთი საშუალება იყო სალაროს სისტემაში შესასვლელად. სხვათა შორის, საჭირო იყო თანამშრომლების ფინანსური ინფორმაციისა და პირადი მონაცემების დაცვა. სხვა მეთოდები აღარ იყო კვალიფიციური და მგრძნობიარე იყო თაღლითობებისთვის. ორგანიზაციის ერთ-ერთი თანამშრომელი წინააღმდეგი იყო მისი თითის ანაბეჭდის გამოყენებას. მან ნებართვის ეს მეთოდი გამოიყენა, როგორც მისი პირადი ცხოვრების დარღვევა, GDPR– ის მე –9 მუხლის მითითებით. ამ მუხლის თანახმად, აკრძალულია ბიომეტრიული მონაცემების დამუშავება პირის უნიკალური იდენტიფიკაციის მიზნით.

აუცილებლობა

ეს აკრძალვა არ ვრცელდება, როდესაც დამუშავება აუცილებელია ავტორიზაციის ან უსაფრთხოების მიზნით. მენფილდის ბიზნეს ინტერესი იყო თაღლითური პერსონალის გამო შემოსავლის დაკარგვის თავიდან აცილება. საქვეუწყებო სასამართლომ უარყო დამსაქმებლის საჩივარი. მენფილდის ბიზნეს ინტერესებმა სისტემა არ გახადა „აუცილებელი ავტორიზაციის ან უსაფრთხოების მიზნით“, როგორც ეს განსაზღვრულია GDPR- ის განხორციელების კანონის 29-ე ნაწილში. რა თქმა უნდა, მენფილდი თავისუფლად მოქმედებს თაღლითობის წინააღმდეგ, მაგრამ ეს შეიძლება არ გაკეთდეს GDPR– ის დებულებების დარღვევით. გარდა ამისა, დამქირავებელს არ მიუღია თავისი კომპანია უსაფრთხოების სხვა ფორმით. არასაკმარისი კვლევა ჩატარდა ავტორიზაციის ალტერნატიული მეთოდების შესახებ; იფიქრეთ წვდომის პასის ან ციფრული კოდის გამოყენებაზე, იქნება ეს კომბინაცია თუ არა. დამქირავებელს ყურადღებით არ აქვს გააზრებული სხვადასხვა ტიპის უსაფრთხოების სისტემების უპირატესობები და უარყოფითი მხარეები და ვერ ახდენს საკმარისად მოტივაციას, თუ რატომ ურჩევნია თითების სპეციფიკური სისტემა. ძირითადად ამ მიზეზის გამო, დამქირავებელს არ ჰქონდა იურიდიული უფლება მოითხოვებოდა თითის ანაბეჭდის სკანირების ავტორიზაციის სისტემის გამოყენება GDPR- ის განხორციელების კანონის საფუძველზე.

თუ თქვენ დაინტერესებული ხართ უსაფრთხოების ახალი სისტემის დანერგვით, უნდა შეფასდეს დაშვებულია თუ არა ასეთი სისტემები GDPR და განხორციელების შესახებ კანონის შესაბამისად. თუ თქვენ გაქვთ რაიმე შეკითხვები, გთხოვთ, დაუკავშირდეთ ადვოკატებს Law & More. ჩვენ ვუპასუხებთ თქვენს შეკითხვებს და მოგაწვდით იურიდიულ დახმარებას და ინფორმაციას.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Share