GDPR'yi ihlal eden parmak izi

Bugün içinde yaşadığımız bu modern çağda, parmak izi tanımlamak için bir araç olarak giderek yaygınlaşmaktadır, örneğin: bir akıllı telefonun parmak taraması ile açılması. Peki ya bilinçli gönüllülüğün olduğu özel bir meselede artık yer almıyorsa mahremiyete ne dersiniz? İş bağlamında parmak tanımlaması güvenlik bağlamında zorunlu hale getirilebilir mi? Bir kuruluş, çalışanlarına, örneğin bir güvenlik sistemine erişim için, parmak izlerini teslim etme yükümlülüğü getirebilir mi? Ve bu yükümlülük gizlilik kuralları ile nasıl ilişkilidir?

GDPR'yi ihlal eden parmak izi

Özel kişisel veri olarak parmak izleri

Burada kendimize sormamız gereken soru, parmak taramasının Genel Veri Koruma Yönetmeliği kapsamında kişisel veri olarak uygulanıp uygulanmadığıdır. Parmak izi, bir kişinin fiziksel, fizyolojik veya davranışsal özelliklerinin spesifik teknik işlenmesinin bir sonucu olan biyometrik kişisel bir veridir.[1] Biyometrik veriler, doğası gereği belirli bir kişi hakkında bilgi sağlayan veriler olduğu için gerçek bir kişiyle ilgili bilgi olarak kabul edilebilir. Parmak izi gibi biyometrik veriler sayesinde, kişi tanımlanabilir ve başka bir kişiden ayırt edilebilir. GDPR'nin 4. Maddesinde de bu tanım hükümleri tarafından açıkça onaylanmıştır.[2]

Parmak izi tanımlama gizliliğin ihlali midir?

Amsterdam Subdistrict Court kısa bir süre önce parmak izi taramasının güvenlik düzenleme seviyesine dayalı bir tanımlama sistemi olarak kabul edilebilirliğine karar verdi.

Ayakkabı mağazası zinciri Manfield, çalışanlara yazarkasa erişimini sağlayan parmak tarama yetkilendirme sistemini kullandı.

Manfield'e göre, yazarkasa sistemine erişim kazanmanın tek yolu parmak tanımlamanın kullanılmasıydı. Diğer şeylerin yanı sıra, çalışanların finansal bilgilerini ve kişisel verilerini korumak gerekiyordu. Diğer yöntemler artık nitelikli değildi ve dolandırıcılığa açık değildi. Örgüt çalışanlarından biri parmak izinin kullanılmasına itiraz etti. GDPR'nin 9. maddesine atıfta bulunarak bu yetkilendirme yöntemini gizliliğinin ihlali olarak kullanmıştır. Bu makaleye göre, bir kişinin benzersiz bir şekilde tanımlanması amacıyla biyometrik verilerin işlenmesi yasaktır.

zorunluluk

Bu yasak, kimlik doğrulama veya güvenlik amaçları için işlemenin gerekli olduğu yerlerde geçerli değildir. Manfield'ın ticari ilgisi hileli personel nedeniyle gelir kaybını önlemekti. Alt Mahkeme, işverenin itirazını reddetti. Manfield'in ticari çıkarları, sistemi GDPR Uygulama Yasası'nın 29. bölümünde belirtildiği gibi 'kimlik doğrulama veya güvenlik amaçları için gerekli' yapmadı. Tabii ki, Manfield sahtekarlığa karşı hareket etmekte özgürdür, ancak bu GSYİH hükümlerini ihlal etmeyebilir. Ayrıca, işveren şirketine başka herhangi bir güvenlik temin etmemiştir. Alternatif yetkilendirme yöntemlerine ilişkin yeterli araştırma yapılmamıştır; Her ikisinin bir kombinasyonu olsun olmasın, bir erişim geçişi veya sayısal kod kullanımını düşünün. İşveren, farklı güvenlik sistemlerinin farklı avantaj ve dezavantajlarını dikkatle ölçmemiş ve neden belirli bir parmak tarama sistemini tercih ettiğini yeterince motive edememiştir. Bu nedenle, işveren, GDPR Uygulama Yasası temelinde, personeli üzerinde parmak izi tarama yetkilendirme sisteminin kullanımını zorunlu kılma hakkına sahip değildi.

Yeni bir güvenlik sistemi getirmekle ilgileniyorsanız, bu sistemlere GDPR ve Uygulama Yasası kapsamında izin verilip verilmediği değerlendirilmelidir. Herhangi bir sorunuz varsa, lütfen şu adresteki avukatlarla iletişime geçin: Law & More. Sorularınızı cevaplayacağız ve size yasal yardım ve bilgi sağlayacağız.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMLAR: 2019: 6005

paylaş