Συστήματα Ελέγχου πρόσβασης με βιομετρικά δεδομένα

Δελτίο Τύπου Ιούλιος και Αύγουστος 2017
26 Ιουλίου 2017
ΣΥΜΒΟΥΛΕΣ ΓΙΑ ΠΡΟΛΗΨΗ διαρρήξεων και ληστειών σε καταστήματα
31 Ιουλίου 2017

Συστήματα Ελέγχου πρόσβασης με βιομετρικά δεδομένα

Στη συνέχεια επισυνάπτεται σχετική ενημέρωση από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για Συστήματα Ελέγχου πρόσβασης με βιομετρικά δεδομένα και πιο συγκεκριμένα για την Προμήθεια και Εγκατάσταση Συστημάτων Ελέγχου πρόσβασης με τη συλλογή/χρήση/ επεξεργασία βιομετρικών δεδομένων που προκύπτουν από ειδική επεξεργασία.

Όπως αναφέρεται στο έγγραφο
«Με αφορμή πληθὡρα ερωτηματων και /η αιτηματων νομιμότητας, σχετικα με το ανωτέρω θέμα, που υποβαλλονται καθημερινα στο Γραφείο μου, έχω παρατηρήσει ότι υπαρχει αγνοια σχετικα με τη νομιμότητα της λειτουργίας των συστηματων αυτων τόσο από τους κυβερνητικούς Οργανισμούς όσο και από τους ιδιὡτες.

2. Έκρινα σκόπιμο να επικοινωνήσω μαζί σας με σκοπό την ενημέρωσή σας ως προμηθευτές των οικείων συστηματων αναφορικα με το ισχυον νομοθετικό καθεστως (Νόμος, Νομολογία, Αποφάσεις και νόμιμες πρακτικές) ώστε να είσαστε σε θέση να ενημερώσετε ορθα και υπεύθυνα τόσο τους παλιούς όσο και τους υποψήφιους πελατες σας.

3. Καταρχήν να σας πληροφορήσω ότι η συλλογή και επεξεργασία βιομετρικών δεδομένων (π.χ δακτυλικων αποτυπωμάτων) που προκύπτουν από ειδική επεξεργασια εμπίπτει στο πεδίο εφαρμογής του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 20Οί (Νόμος 138(Ι)/2ΟΟ1), όπως τροποποιήθηκε, (στο εξής <<ο Νόμος») και ως τέτοια θα πρέπει να είναι σύμφωνη και/ή να συναδει με τις βασικές αρχές της νόμιμης επεξεργασίας προσωπικών δεδομένων (αρθρο 4 του Νόμου), περιλαμβανομένης και της αρχης της αναλογικότητας. 4. Η εν λόγω πρακτική της εγκαταστασης των πιο πανω συστημάτων από τους εργοδότεςγια σκοπούς ελέγχου της ωρας προσέλευσης και αποχώρησης των υπαλλήλων και για σκοπους που εμπίπτουν στον τομέα των εργασιακών σχέσεων ήτοι της διοίκησης του προσωπικού π.χ μισθοδοσία θεωρείται και έχει κριθεί, με Αποφασεις όλων των Επιτρόπων Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ότι υπερβαίνει την αρχή της αναλογικότητας μίας από τις βασικές αρχές της νόμιμης επεξεργασίας των προσωπικών δεδομένων και ως εκ τούτου η εν λόγω επεξεργασία παραβιάζει τις διατάξεις του Νόμου. Η πιο πρόσφατη Απόφαση εκδόθηκε στις 2/10/2012 και αφορουσε στην ίδια πρακτική δηλαδή την εγκατασταση, από τον εργοδότη (ίδιωτικό Νοσοκομείο) για σκοπους ελέγχου της ωρας προσέλευσης και αποχώρησης των εργοδοτουμένων του, συστήματος δακτυλοσκόπησης. Το καθ’ου η Απόφαση Iδιωτικό Νοσοκομείο, ασκησε Αίτηση Ακύρωσης με τη διαδικασία της Προσφυγής εναντίον της Απόφασης της Επιτρόπου για απεγκατάσταση του συστήματος δακτυλοσκόπησης ενώπιον του Διοικητικου Δικαστηρίου. Το Διοικητικό Δικαστήριο με την Απόφασή του (Υποθ. Αρ. 1930/2012) ημερ. 19/5/2017 επικύρωσε την Απόφαση του Επιτρόπου Προστασίας Δεδομένων ημερ. 2/10/2012, με την οποία είχε επιβληθεί στο ίδιωτικό Νοσοκομείο η διοικητική κύρωση της διακοπής της επεξεργασίας και καταστροφής των σχετικὡν δεδομένων (βλ. άρθρο 25(1)(ε) του Νόμου) με τη διακοπή της λειτουργίας του συστήματος δακτυλοσκόπησης και την καταστροφή των δεδομένων που αφορούσαν στα δακτυλικά αποτυπώματα των υπαλλήλων.

4.1 Βασικός λόγος ακύρωσης της Απόφασης του Επιτρόπου που είχαν επικαλεστεί οι αιτητές ήταν η παράλειψη του Επιτρόπου να διεξάγει δέουσα έρευνα για τις τεχνικές προδιαγραφές ή τον τρόπο λειτουργίας του συστήματος, καθως και ότι η προσβαλλόμενη απόφαση ελήφθη συνεπεία πραγματικής πλάνης δεδομένου ότι το εν λόγω συστημα συμφωνα με τους δικους τους ισχυρισμούς δεν συλλέγει ουτε επεξεργάζεται δακτυλικά αποτυπώματα.

4.2 Η υπεράσπιση του Επιτρόπου ισχυρίστηκε ότι αποτελεί αδιαμφισβήτητο γεγονός ότι το υπό κρίση σύστημα συλλέγει και επεξεργάζεται βιομετρικά δεδομένα (δακτυλικά αποτυπώματα), τα οποία μπορεί στη συνέχεια να αναγνωρίζει και ταυτοποιεί κατά τη φυσική παρουσία του ατόμου. Τόνισε επίσης ότι το δυσανάλογο καθ’ υπέρβαση της αρχής της αναλογικότητας αφορα στο συγκεκριμένο. επιδιωκόμενο σκοπό που είναι ο έλεγχος του ωραρίου του προσωπικού δεδομένου ότι υπάρχουν πλείονα άλλα μέτρα λιγότερο παρεμβατικά στην ανθρώπινη αξιοπρέπεια.

4.3 Το Δικαστήριο κατέληξε, ότι η λειτουργία του ίδιου του συστήματος παραβιάζει ων αρχή της αναλογικότητας σε σχέση με τον συγκεκριμένο σκοπό, τον έλεγχο του ωραρίου, και συνιστά δυσανάλογη παρέμβαση στην ιδιωτική ζωή.

5. Είναι επίσης, αξιοσημείωτο ότι με βάση Προειδοποιητικές Αποφάσεις των Επιτρόπων για απεγκατάσταση των συστημάτων αυτὡν χωρίς την έκδοση εκτελεστής διοικητικής Απόφασης, οι υπεύθυνοι επεξεργασίας συμμορφὡνονται πάραυτα και προχωρούν σε απεγκατάσταση των συστημάτων αυτων χωρίς να τους επιβληθεί οποιαδήποτε περαιτέρω διοικητική κυρωση π.χ πρόστιμο.

6. Επισυνάπτεται, για ευκολη αναφορα, η σχετική Ανακοίνωση που είναι αναρτημένη στην ιστοσελίδα του Γραφείου μας από το 2009. η οποία αφορα στα υπό αναφορα συστήματα και αντικατοπτρίζει την επίσημη θέση του Γραφείου μου.

7. Η θέση της Επιτρόπου ισχύει ανεξαρτήτως τύπου | μεθόδου | προδιαγραφών του συστήματος, δεδομένου ότι σε κάθε περίπτωση γίνεται επεξεργασία προσωπικών δεδομένων και η βάση της κρίσης του υπερβολικού ως μέτρου γίνεται σε συσχέτιση και /ή αιτιὡδη συνάφεια με τον επιδιωκόμενο σκοπό, που είναι ο έλεγχος της τήρησης του ωραρίου του προσωπικού και γενικότερα της διοίκησης του προσωπικου στον τομέα των εργασιακών σχέσεων. Τυχόν ληφθείσα συγκατάθεση από τον ίτους υπαλλήλους δεν αίρει την παρανομία και δεν καθιστά την εν λόγω επεξεργασία νόμιμη.

8. Εναλλακτικές λύσεις: στο πλαίσιο της εξυπηρέτησης των σκοπών τήρησης του ωραρίου και γενικότερα της διοίκησης του προσωπικου στον τομέα των εργασιακών σχέσεων υπάρχουν εναλλακτικές, και λιγότερο επαχθείς, για τα άτομα, λυσεις τέτοιες όπως είναι η τοποθέτηση κάμερας πάνω από το μηχάνημα κάρτας ή η άσκηση περιοδικών ελέγχων από τους οικείους Προϊστάμενους κατά την ωρα προσέλευσης των υπαλλήλων στο χωρο εργασίας τους. οι οποίες συνιστοόν μικρότερη επέμβαση στη σφαίρα της ιδιωτικής ζωής των υπαλλήλων.

9. Επιτρεπτή: Η συλλογή και επεξεργασια βιομετρικών δεδομένων π.χ δακτυλικὡν αποτυπωμάτων ειναι θεμιτή και νόμιμη και επομένως επιτρεπτή για σκοπους άσκησης της
αντεγκληματικής πολιτικής των διωκτικὡν Αρχών καθώς και σε χωρους υψίστης ασφάλειας /στρατιωτικές εγκαταστάσεις / αερολιμένες / λιμανια και για σκοπούς ασφαλειας εγκαταστάσεων αναλόγως της φυσης των δραστηριοτήτων του Οργανισμού.

10. Υπό το φως της ανωτέρω νομικής ανάλυσης και /ή διαφὡτισής σας ευελπιστὡ ότι θα εισαστε σε θέση να συνδραμετε στο έργο του Γραφείου μου σχετικα με τη διαφὡτιση των πελατων σας υφιστάμενων και μελλοντικών αναφορικα με το παρανομο της λειτουργιας των συστημάτων αυτων και στο πλαίσιο αυτό σας καλώ όπως μου κοινοποιήσετε καταλογο με τους πελατες σας οι οποιοι λειτουργουν συναφές /φή συστημα/τα για σκοπους ελέγχου της τήρησης του ωραρίου του προσωπικού και γενικοτερα της διοίκησης του προσωπικού στον τομέα των εργασιακών σχέσεων.

Το Γραφειο μου παραμένει στη διαθεσή σας για τυχον διευκρινισεις»

Κατεβάστε το σχετικό έγγραφο από ΕΔΩ.


Επεξεργασία Βιομετρικὡν δεδομένων για σκοπούς ελέγχου της ωρας προσέλευσης των εργαζομένων στο χὡρο εργασίας τους

Η συλλογή και επεξεργασία βιομετρικών δεδομένων έχει απασχολήσει κατα καιρους διαφορα διεθνή και ευρωπαϊκα όργανα και ευρωπαϊκές Αρχές Προστασίας Δεδοιιένων τα οποία έχουν εκδώσει σχετικα με το θέμα τα πιο κατω έγγραφα:

1. Έγγραφο εργασίας σχετικά με τα στοιχεία βιομετρίας της 1/8/2003 – Ομάδα Εργασίας του Άρθρου 29
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2003/wp80_el.pdf
2. Progress report on the application of the principles of Convention 108 to the Collection and processing of biometric data (2005)
http://www.coe.int/t/e/legal_affairs/legal_co-operation/data_protection/documents/reports%20and%20studies%20of%20data%20protection%20committees/1O-Biometrics(2005)_en.asp#TopOfPage
3. Guidelines of CNIL (French DPA) – “A Century of Biometrics” (2001)
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_en.htm
4. Guidelines of Portuguese DPA – Principles for the use of biometric data in controlling access and monitoring hours worked (February 2004)
http://www.cnpd.pt/english/bin/guidelines/Guidelines%20biometric%20(EN).HTM
5. Guidance of Irish Commissioner – Biometrics in thw workplace (March 2005)
http://www.dataprotection.ie/viewdoc.asp?DocID=244
6. Απόφαση της Ελληνικής Αρχής – Καταγραφή του χρόνου εργασίας με τη χρήση δακτυλικών αποτυπωμάτων (Μάρτιος 2000)
http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=156,162,27,27,71,34,143,134
7. Opinion of Italian DPA – Use of fingerprints for assiduity control at workplace (July 2005)
http://www.garanteprivacy.it/garante/doc.jsp?ID=1166892

Τα βιομετρικά δεδομένα είναι προσωπικά δεδομένα και περιλαμβάνουν μεταξύ άλλων τα ακόλουθα: σχήμα χεριού, δακτυλικό αποτύπωμα, ίριδα οφθαλμού, αμφιβληστροειδή χιτώνα, φωτογραφία, καταγραφή φωνής και DNA.

Η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εφιστά την προσοχή των υπευθύνων επεξεργασίας που σκοπεύουν να εγκαταστήσουν συστήματα συλλογής και επεξεργασίας βιομετρικών δεδομένων, π.χ δακτυλικών αποτυπωμάτων, για σκοπούς ελέγχου της πρόσβασης στις εγκαταστάσεις τους (εταιρείες, επαγγελματικά υποστατικά, κ.α) και/ή ελέγχου της ώρας προσέλευσης και αποχώρησης των εργαζομένων από το χώρο εργασίας τους στα ακόλουθα:

1. Η συλλογή και επεξεργασία βιομετρικών δεδομένων εμπίπτει στο πεδίο εφαρμογής του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001 και επομένως δεν είναι ανεξέλεγκτη.

2. Η επεξεργασία βιομετρικών δεδομένων, χρησιμοποιείται κυρίως για σκοπούς επαλήθευσης και αναγνώρισης της ταυτότητας των προσώπων στο πλαίσιο της αντεγκληματικής πολιτικής των διωκτικών αρχών.

3. Η συλλογή και επεξεργασία των δακτυλικών αποτυπωμάτων που συνιστούν μοναδικά χαρακτηριστικά του ανθρώπινου σώματος και της ακεραιότητας του ανθρώπου αποτελεί επέμβαση στην ανθρώπινη αξιοπρέπεια, στην προσωπικότητα, και περαιτέρω στην ιδιωτική ζωή του ατόμου. Σύμφωνα με το άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), το δικαίωμα σεβασμού της ιδιωτικής ζωής συνεπάγεται και το δικαίωμα σεβασμού του ανθρώπινου σώματος.

4. Η αρχή της αναλογικότητας, που προβλέπει ότι τα δεδομένα που συλλέγονται και τυγχάνουν επεξεργασίας πρέπει να είναι συναφή, κατάλληλα και όχι περισσότερα από ότι κάθε φορά απαιτείται ενόψει του σκοπού της επεξεργασίας, επιβάλλει όπως, ο υπεύθυνος επεξεργασίας για σκοπούς ελέγχου της πρόσβασης σε εγκαταστάσεις και/ή της ώρας προσέλευσής και αποχώρησής των εργαζομένων από το χώρο εργασίας τους επιλέγει άλλα λιγότερο παρεμβατικά για την ανθρώπινη αξιοπρέπεια μέσα.

5. Η λειτουργία συστημάτων συλλογής και επεξεργασίας βιομετρικών δεδομένων είναι θεμιτή και νόμιμη κατά κύριο λόγο μόνο στις περιπτώσεις εγκαταστάσεων υψίστης ασφάλειας π.χ στρατιωτικές εγκαταστάσεις ή χώρους όπου φυλάττονται απόρρητα αρχεία.

6. Η επεξεργασία δακτυλικών αποτυπωμάτων και η αποθήκευσή τους σε βάσεις δεδομένων εμπερικλείει κινδύνους για επαναχρησιμοποίησή τους από τρίτους για επιδίωξή δικών τους σκοπών ασυμβίβαστων με τον αρχικό σκοπό.

7. Ακόμη και στην περίπτωση όπου ο υπεύθυνος επεξεργασίας έχει εξασφαλίσει τη συγκατάθεση των προσώπων τα βιομετρικά δεδομένα των οποίων θα τύχουν επεξεργασίας, η συγκατάθεση αυτή δεν αίρει την παρανομία και σε καμία περίπτωση δεν την νομιμοποιεί.