Di zaman modern tempat kita hidup sekarang ini, semakin umum menggunakan sidik jari sebagai alat identifikasi, misalnya: membuka kunci smartphone dengan pemindaian jari. Tapi bagaimana dengan privasi ketika itu tidak lagi terjadi dalam masalah pribadi di mana ada kesukarelaan sadar? Dapatkah identifikasi jari yang terkait dengan pekerjaan dibuat wajib dalam konteks keamanan? Dapatkah suatu organisasi memaksakan kewajiban pada karyawannya untuk menyerahkan sidik jari mereka, misalnya untuk akses ke sistem keamanan? Dan bagaimana kewajiban tersebut terkait dengan aturan privasi?
Sidik jari sebagai data pribadi khusus
Pertanyaan yang harus kita tanyakan pada diri kita sendiri di sini adalah apakah pemindaian jari berlaku sebagai data pribadi dalam pengertian Peraturan Perlindungan Data Umum. Sidik jari adalah data pribadi biometrik yang merupakan hasil pemrosesan teknis spesifik dari karakteristik fisik, fisiologis, atau perilaku seseorang. [1] Data biometrik dapat dianggap sebagai informasi yang berkaitan dengan orang perseorangan, karena merupakan data yang menurut sifatnya memberikan informasi tentang orang tertentu. Melalui data biometrik seperti sidik jari, orang tersebut dapat dikenali dan dapat dibedakan dari orang lain. Dalam Pasal 4 GDPR, hal ini juga secara eksplisit dikonfirmasi oleh ketentuan definisi. [2]
Identifikasi sidik jari adalah pelanggaran privasi?
Pengadilan Negeri Amsterdam baru-baru ini memutuskan diterimanya pemindaian jari sebagai sistem identifikasi berdasarkan tingkat peraturan keselamatan.
Rantai toko sepatu Manfield menggunakan sistem otorisasi pemindaian jari, yang memberi karyawan akses ke mesin kasir.
Menurut Manfield, penggunaan identifikasi jari adalah satu-satunya cara untuk mendapatkan akses ke sistem kasir. Hal itu perlu, antara lain, melindungi informasi keuangan dan data pribadi karyawan. Metode lain tidak lagi memenuhi syarat dan rentan terhadap penipuan. Salah satu karyawan organisasi keberatan dengan penggunaan sidik jarinya. Dia menganggap metode otorisasi ini sebagai pelanggaran privasinya, mengacu pada pasal 9 GDPR. Menurut artikel ini, pemrosesan data biometrik untuk tujuan identifikasi unik seseorang dilarang.
Kebutuhan
Larangan ini tidak berlaku jika pemrosesan diperlukan untuk otentikasi atau tujuan keamanan. Kepentingan bisnis Manfield adalah untuk mencegah hilangnya pendapatan karena personel yang curang. Pengadilan Subdistrik menolak banding majikan. Kepentingan bisnis Manfield tidak menjadikan sistem 'diperlukan untuk tujuan otentikasi atau keamanan', sebagaimana ditetapkan dalam Bagian 29 dari Undang-Undang Penerapan GDPR. Tentu saja, Manfield bebas untuk bertindak melawan penipuan, tetapi ini tidak boleh dilakukan dengan melanggar ketentuan GDPR. Lebih jauh lagi, majikan tidak memberikan jaminan apapun kepada perusahaannya. Penelitian yang tidak memadai telah dilakukan untuk metode otorisasi alternatif; pikirkan tentang penggunaan akses pas atau kode numerik, apakah kombinasi keduanya atau tidak. Pemberi kerja tidak secara hati-hati mengukur keuntungan dan kerugian dari berbagai jenis sistem keamanan dan tidak cukup memotivasi mengapa dia lebih suka sistem pemindaian jari tertentu. Terutama karena alasan ini, pemberi kerja tidak memiliki hak hukum untuk mewajibkan penggunaan sistem otorisasi pemindaian sidik jari pada stafnya berdasarkan Undang-Undang Penerapan GDPR.
Jika Anda tertarik untuk memperkenalkan sistem keamanan baru, itu harus dinilai apakah sistem tersebut diizinkan menurut GDPR dan Undang-Undang Penerapan. Jika ada pertanyaan, silakan hubungi pengacara di Law & More. Kami akan menjawab pertanyaan Anda dan memberi Anda bantuan dan informasi hukum.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005