최근 네덜란드 데이터 보호국 (AP)은 직원의 지문을 출석과 시간 등록을 위해 스캔 한 회사에 725,000 유로의 벌금을 부과했습니다. 지문과 같은 생체 데이터는 제 9 조 GDPR의 의미 내에서 특별한 개인 데이터입니다. 이들은 특정 사람에게 추적 할 수있는 고유 한 특성입니다. 그러나이 데이터에는 종종 식별에 필요한 것보다 많은 정보가 포함됩니다. 따라서 그들의 처리는 기본 권리와 사람들의 자유 영역에서 큰 위험을 초래합니다. 이러한 데이터가 잘못된 손에 들어가면 돌이킬 수없는 손상을 초래할 수 있습니다. 그러므로 생체 인식 데이터는 잘 보호되며, 법적 예외가없는 한 제 9 조 GDPR에 따라 처리가 금지됩니다. 이 경우, AP는 문제의 회사가 예외 특별한 개인 데이터를 처리합니다.
지문
GDPR의 맥락에서 지문과 예외 중 하나, 즉 필요성, 우리는 이전에 블로그 중 하나에 'GDPR 위반 지문'을 썼습니다. 이 블로그는 예외의 다른 대안에 중점을 둡니다. 허가. 고용주가 회사에서 지문과 같은 생체 데이터를 사용하는 경우 개인 정보 보호와 관련하여 직원의 허락만으로 충분할 수 있습니까?
허가는 구체적이고 정보가 있으며 모호하지 않은 의지의 표현 GDPR 제 4 조 11 항에 따라 누군가가 진술 또는 모호하지 않은 적극적인 행동으로 자신의 개인 데이터 처리를 수락하는 경우. 이 예외 상황에서, 고용주는 그의 직원이 허가를 받았음을 보여줄뿐만 아니라, 명확하고 구체적이며 정보가 있음을 입증해야합니다. AP가 결론적으로 고용 계약서에 서명하거나 고용주가 지문을 완전히 기록하려는 의도 만 기록한 인사 매뉴얼을받는 것은 충분하지 않다고 결론 지었다. 증거로서, 예를 들어, 고용주는 정책, 절차 또는 기타 문서를 제출해야합니다.이 문서는 직원이 생체 데이터 처리에 대해 충분히 알고 있으며 처리에 대한 (명시 적) 허가를 받았음을 보여줍니다.
직원이 권한을 부여한 경우에는 '명백한'뿐만 아니라'자유롭게 주어진', AP에 따르면. 예를 들어 '명시 적'은 서면 허가, 서명, 허가를위한 이메일 전송 또는 XNUMX 단계 인증을 통한 허가입니다. '자유롭게 주어졌다'는 것은 그 뒤에 강압이 없어야한다는 의미입니다 (문제의 경우처럼 : 지문 스캔을 거부 할 때 감독 / 이사회와의 대화가 이어짐) 또는 그 허가가 무언가에 대한 조건 일 수 있음을 의미합니다. 다른. '자유로 주다'는 조건은 종업원에게 의무가있을 때 고용주가 충족하지 않거나 문제의 경우처럼 지문을 기록 할 의무로 경험하는 경우입니다. 일반적으로이 요구 사항에 따라 AP는 고용주와 직원 간의 관계로 인한 종속성을 고려할 때 직원이 자유롭게 동의 할 수있을 것 같지 않다고 생각했습니다. 그 반대는 고용주가 증명해야합니다.
직원이 직원에게 지문 처리 권한을 요청합니까? 그런 다음 AP는이 경우와 관련하여 원칙적으로 이것이 허용되지 않는다는 것을 알게됩니다. 결국, 직원은 고용주에게 의존하기 때문에 종종 거절 할 입장이 아닙니다. 이것은 고용주가 절대로 허가장에 의존 할 수 없다고 말하는 것은 아닙니다. 그러나 고용주는 지문과 같은 직원의 생체 데이터를 처리하기 위해 동의를 바탕으로 항소 할 수있는 충분한 증거가 있어야합니다. 예를 들어 회사 내에서 생체 데이터를 사용 하시겠습니까? 아니면 고용주가 지문 사용 허가를 요청합니까? 이 경우, 즉시 행동하고 허가를 부여하는 것이 아니라 먼저 적절한 정보를 얻는 것이 중요합니다. Law & More 변호사는 개인 정보 보호 분야의 전문가이며 귀하에게 정보를 제공 할 수 있습니다. 이 블로그에 대해 다른 질문이 있습니까? 연락주세요 Law & More.