არღვევს თუ არა თითის ანაბეჭდის სკანირება GDPR წესებს?
ამ თანამედროვე საუკუნეში, რომელშიც დღეს ვცხოვრობთ, სულ უფრო ხშირად ხდება თითის ანაბეჭდების გამოყენება როგორც იდენტიფიკაციის საშუალება, მაგალითად: სმარტფონის განბლოკვა თითის სკანირებით. რა შეიძლება ითქვას კონფიდენციალურობაზე, როდესაც ის აღარ ხდება კერძო საკითხში, სადაც არის შეგნებული ნებაყოფლობითობა? შეიძლება თუ არა მუშაობასთან დაკავშირებული თითის იდენტიფიცირება სავალდებულო გახდეს უსაფრთხოების თვალსაზრისით? შეუძლია თუ არა ორგანიზაციას დაავალდებულოს ვალდებულება მის თანამშრომლებზე თითის ანაბეჭდების მიცემაზე, მაგალითად უსაფრთხოების სისტემის შესასვლელად? და როგორ უკავშირდება ასეთი ვალდებულება კონფიდენციალურობის წესებს?
ანაბეჭდები, როგორც სპეციალური პირადი მონაცემები
კითხვა, რომელიც აქ საკუთარ თავს უნდა ვუსვათ, არის ის, რომ თითის სკანირება გამოიყენება როგორც პერსონალური მონაცემები, მონაცემთა დაცვის ზოგადი რეგულაციის შესაბამისად. თითის ანაბეჭდი არის ბიომეტრიული პირადი მონაცემები, რომელიც წარმოადგენს ადამიანის ფიზიკური, ფიზიოლოგიური ან ქცევითი მახასიათებლების სპეციფიკური დამუშავების შედეგს. [1] ბიომეტრიული მონაცემები შეიძლება ჩაითვალოს, როგორც ფიზიკურ პირთან დაკავშირებული ინფორმაცია, რადგან ეს არის მონაცემები, რომლებიც, თავისი ხასიათიდან, აწვდიან ინფორმაციას კონკრეტულ პიროვნებაზე. ბიომეტრიული მონაცემების საშუალებით, მაგალითად, თითის ანაბეჭდის საშუალებით, ადამიანი იდენტიფიცირდება და შეიძლება განვასხვავოთ სხვა ადამიანისგან. მე –4 მუხლში ეს მშპ ნათლად არის დადასტურებული განმარტების დებულებებით. [2]
თითის ანაბეჭდის იდენტიფიცირება არის კონფიდენციალურობის დარღვევა?
რაიონული სასამართლო Amsterdam ცოტა ხნის წინ მიიღო გადაწყვეტილება თითის სკანირების დასაშვებობაზე, როგორც იდენტიფიკაციის სისტემის უსაფრთხოების რეგულირების დონეზე.
ფეხსაცმლის მაღაზიის ქსელმა მანფილდმა გამოიყენა თითის სკანირების ავტორიზაციის სისტემა, რამაც თანამშრომლებს სალარო აპარატზე წვდომა მისცა.
მანფილდის თანახმად, თითის იდენტიფიკაციის გამოყენება ერთადერთი საშუალება იყო სალაროს სისტემაში შესასვლელად. სხვათა შორის, საჭირო იყო თანამშრომლების ფინანსური ინფორმაციისა და პირადი მონაცემების დაცვა. სხვა მეთოდები აღარ იყო კვალიფიციური და მგრძნობიარე იყო თაღლითობებისთვის. ორგანიზაციის ერთ-ერთი თანამშრომელი წინააღმდეგი იყო მისი თითის ანაბეჭდის გამოყენებას. მან ნებართვის ეს მეთოდი გამოიყენა, როგორც მისი პირადი ცხოვრების დარღვევა, GDPR– ის მე –9 მუხლის მითითებით. ამ მუხლის თანახმად, აკრძალულია ბიომეტრიული მონაცემების დამუშავება პირის უნიკალური იდენტიფიკაციის მიზნით.
აუცილებლობა
ეს აკრძალვა არ ვრცელდება, როდესაც დამუშავება აუცილებელია ავთენტიფიკაციის ან უსაფრთხოების მიზნებისათვის. მენფილდის ბიზნეს ინტერესი იყო თაღლითური პერსონალის გამო შემოსავლების დაკარგვის თავიდან აცილება. რაიონულმა სასამართლომ დამსაქმებლის საჩივარი არ დააკმაყოფილა. მენფილდის ბიზნეს ინტერესებმა სისტემა არ გახადა „აუცილებელი ავთენტიფიკაციის ან უსაფრთხოების მიზნებისთვის“, როგორც ეს განსაზღვრულია GDPR-ის იმპლემენტაციის აქტის 29-ე ნაწილში.
რა თქმა უნდა, Manfield-ს შეუძლია იმოქმედოს თაღლითობის წინააღმდეგ, მაგრამ ეს არ შეიძლება გაკეთდეს GDPR-ის დებულებების დარღვევით. გარდა ამისა, დამსაქმებელს არ უზრუნველჰყო თავის კომპანიას რაიმე სხვა სახის დაცვა. არასაკმარისი კვლევა ჩატარდა ავტორიზაციის ალტერნატიულ მეთოდებზე; იფიქრეთ წვდომის საშვის ან რიცხვითი კოდის გამოყენებაზე, ორივეს კომბინაცია თუ არა.
დამსაქმებელს გულდასმით არ ჰქონდა გაზომილი სხვადასხვა ტიპის უსაფრთხოების სისტემების უპირატესობები და უარყოფითი მხარეები და არ შეეძლო საკმარისად მოტივირება, თუ რატომ ამჯობინა თითის სკანირების კონკრეტული სისტემა. ძირითადად, ამ მიზეზის გამო, დამსაქმებელს არ ჰქონდა კანონიერი უფლება, მოეთხოვა თითის ანაბეჭდის სკანირების ავტორიზაციის სისტემის გამოყენება თავის თანამშრომლებს GDPR-ის განხორციელების აქტის საფუძველზე.
თუ თქვენ დაინტერესებული ხართ უსაფრთხოების ახალი სისტემის დანერგვით, უნდა შეფასდეს დაშვებულია თუ არა ასეთი სისტემები GDPR და განხორციელების შესახებ კანონის შესაბამისად. თუ თქვენ გაქვთ რაიმე შეკითხვები, გთხოვთ, დაუკავშირდეთ ადვოკატებს კანონი & მეტი. ჩვენ ვუპასუხებთ თქვენს შეკითხვებს და მოგაწვდით იურიდიული დახმარება და ინფორმაცია.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005