In hierdie moderne tyd waarin ons vandag leef, word dit al hoe meer gebruik om vingerafdrukke te gebruik as 'n manier om te identifiseer, byvoorbeeld: om 'n slimfoon met 'n vinger-skandering te ontsluit. Maar wat van privaatheid as dit nie meer plaasvind in 'n privaat saak waar daar bewuste vrywilligheid bestaan nie? Kan werkverwante vingeridentifisering verpligtend gemaak word in die konteks van veiligheid? Kan 'n organisasie 'n verpligting op sy werknemers plaas om hul vingerafdrukke in te dien, byvoorbeeld vir toegang tot 'n sekuriteitstelsel? En hoe hou sodanige verpligting verband met die privaatheidsreëls?
Vingerafdrukke as spesiale persoonlike gegewens
Die vraag wat ons ons hier moet afvra, is of 'n vingerskandering as persoonlike data van toepassing is in die sin van die Algemene Regulasie vir die Beskerming van Data. 'N Vingerafdruk is 'n biometriese persoonlike inligting wat die resultaat is van spesifieke tegniese verwerking van die persoon se fisieke, fisiologiese of gedragseienskappe. [1] Biometriese data kan beskou word as inligting met betrekking tot 'n natuurlike persoon, aangesien dit gegewens is wat inligting van 'n spesifieke persoon voorsien. Deur middel van biometriese gegewens soos 'n vingerafdruk is die persoon identifiseerbaar en kan hy van 'n ander persoon onderskei word. In artikel 4 BBR word dit ook eksplisiet bevestig deur die definisiebepalings. [2]
Vingerafdruk-identifikasie is 'n skending van privaatheid?
Die Subdistrikshof Amsterdam het onlangs beslis oor die toelaatbaarheid van 'n vingerskandering as 'n identifikasiestelsel gebaseer op veiligheidsregulasievlak.
Die skoenwinkelketting Manfield het vingerskandering-magtigingstelsel gebruik wat werknemers toegang tot 'n kasregister gee.
Volgens Manfield was die gebruik van vingeridentifisering die enigste manier om toegang tot die kasregisterstelsel te verkry. Dit was onder meer nodig om werknemers se finansiële inligting en persoonlike inligting te beskerm. Ander metodes was nie meer gekwalifiseerd en vatbaar vir bedrog nie. Een van die werknemers van die organisasie het beswaar gemaak teen die gebruik van haar vingerafdruk. Sy het hierdie magtigingsmetode gebruik as 'n skending van haar privaatheid, met verwysing na artikel 9 van die GDPR. Volgens hierdie artikel is die verwerking van biometriese data met die oog op die unieke identifikasie van 'n persoon verbode.
noodsaaklikheid
Hierdie verbod is nie van toepassing indien die verwerking nodig is vir verifikasie of veiligheidsdoeleindes nie. Manfield se sakebelang was om verlies aan inkomste as gevolg van bedrieglike personeel te voorkom. Die distrikshof het die werkgewer se appèl van die hand gewys. Manfield se sakebelange het die stelsel nie 'nodig vir verifikasie- of sekuriteitsdoeleindes' gemaak nie, soos bepaal in Artikel 29 van die GDPR-implementeringswet. Manfield staan natuurlik vry om teen bedrog op te tree, maar dit mag nie in stryd met die bepalings van die AVG geskied nie. Verder het die werkgewer geen ander vorm van sekuriteit aan sy onderneming verskaf nie. Onvoldoende ondersoek is gedoen na alternatiewe magtigingsmetodes; dink aan die gebruik van 'n toegangspas of numeriese kode, al dan nie 'n kombinasie van albei. Die werkgewer het nie die voor- en nadele van verskillende soorte veiligheidstelsels noukeurig gemeet nie en kon nie voldoende motiveer waarom hy 'n spesifieke vingerafleesstelsel verkies nie. Hoofsaaklik om hierdie rede het die werkgewer nie die wettige reg gehad om die gebruik van die magtigingstelsel vir vingerafdrukskandering op sy personeel te vereis op grond van die GDPR-implementeringswet nie.
As u belangstel om 'n nuwe sekuriteitstelsel in te stel, sal dit beoordeel moet word of sulke stelsels onder die BBP en die Implementeringswet toegelaat word. As daar vrae is, kontak die prokureurs by Law & More. Ons sal u vrae beantwoord en u voorsien van regshulp en inligting.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005