GDPR'yi ihlal eden parmak izi

Bugün içinde yaşadığımız bu modern çağda, parmak izi tanımlamak için bir araç olarak giderek yaygınlaşmaktadır, örneğin: bir akıllı telefonun parmak taraması ile açılması. Peki ya bilinçli gönüllülüğün olduğu özel bir meselede artık yer almıyorsa mahremiyete ne dersiniz? İş bağlamında parmak tanımlaması güvenlik bağlamında zorunlu hale getirilebilir mi? Bir kuruluş, çalışanlarına, örneğin bir güvenlik sistemine erişim için, parmak izlerini teslim etme yükümlülüğü getirebilir mi? Ve bu yükümlülük gizlilik kuralları ile nasıl ilişkilidir?

GDPR'yi ihlal eden parmak izi

Özel kişisel veri olarak parmak izleri

Burada kendimize sormamız gereken soru, Genel Veri Koruma Yönetmeliği anlamında kişisel veri olarak parmak taramasının geçerli olup olmadığıdır. Parmak izi, bir kişinin fiziksel, fizyolojik veya davranışsal özelliklerinin belirli teknik işlemlerinin sonucu olan biyometrik bir kişisel veridir.[1] Biyometrik veriler, doğası gereği belirli bir kişi hakkında bilgi sağlayan veriler olduğu için gerçek bir kişiyle ilgili bilgi olarak kabul edilebilir. Parmak izi gibi biyometrik veriler sayesinde, kişi tanımlanabilir ve başka bir kişiden ayırt edilebilir. GDPR'nin 4. Maddesinde de bu tanım hükümleri tarafından açıkça onaylanmıştır.[2]

Parmak izi tanımlama gizliliğin ihlali midir?

Amsterdam Subdistrict Court kısa bir süre önce parmak izi taramasının güvenlik düzenleme seviyesine dayalı bir tanımlama sistemi olarak kabul edilebilirliğine karar verdi.

Ayakkabı mağazası zinciri Manfield, çalışanlara yazarkasa erişimini sağlayan parmak tarama yetkilendirme sistemini kullandı.

Manfield'e göre, parmakla kimlik tanımlama, yazar kasa sistemine erişim sağlamanın tek yoluydu. Diğer şeylerin yanı sıra, çalışanların mali bilgilerini ve kişisel verilerini korumak gerekliydi. Diğer yöntemler artık nitelikli ve sahtekarlığa açık değildi. Örgütün çalışanlarından biri parmak izinin kullanılmasına itiraz etti. Bu yetkilendirme yöntemini GDPR'nin 9. maddesine atıfta bulunarak gizliliğinin ihlali olarak kabul etti. Bu maddeye göre, bir kişinin benzersiz tanımlanması amacıyla biyometrik verilerin işlenmesi yasaktır.

zorunluluk

Bu yasak, işlemenin kimlik doğrulama veya güvenlik amaçları için gerekli olduğu durumlarda geçerli değildir. Manfield'ın ticari çıkarı, dolandırıcı personel nedeniyle gelir kaybını önlemekti. Alt Bölge Mahkemesi işverenin itirazını reddetti. Manfield'ın ticari çıkarları, GDPR Uygulama Yasası'nın 29. Bölümünde belirtildiği gibi, sistemi 'kimlik doğrulama veya güvenlik amaçları için gerekli' hale getirmedi. Elbette, Manfield sahtekarlığa karşı hareket etmekte özgürdür, ancak bu, GDPR hükümlerine aykırı olarak yapılamaz. Ayrıca, işveren, şirketine başka herhangi bir teminat sağlamamıştır. Alternatif yetkilendirme yöntemleri konusunda yetersiz araştırma yapılmıştır; ikisinin bir kombinasyonu olsun ya da olmasın, bir erişim geçişinin veya sayısal kodun kullanımını düşünün. İşveren, farklı güvenlik sistemlerinin avantajlarını ve dezavantajlarını dikkatlice ölçmemişti ve neden belirli bir parmak tarama sistemini tercih ettiğini yeterince motive edemiyordu. Esas olarak bu nedenle, işveren, GDPR Uygulama Yasası temelinde, personelinin parmak izi tarama yetkilendirme sisteminin kullanılmasını zorunlu kılma yasal hakkına sahip değildi.

Yeni bir güvenlik sistemi getirmekle ilgileniyorsanız, bu sistemlere GDPR ve Uygulama Yasası kapsamında izin verilip verilmediği değerlendirilmelidir. Herhangi bir sorunuz varsa, lütfen şu adresteki avukatlarla iletişime geçin: Law & More. Sorularınızı cevaplayacağız ve size yasal yardım ve bilgi sağlayacağız.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMLAR: 2019: 6005

paylaş