オランダ当局、指紋による勤怠管理がGDPR違反として同国過去最高額の制裁金決定


APが指紋による勤怠管理に同国過去最高額の制裁金決定

オランダデータ保護当局 Autoriteit Persoonsgegevens は、4月30日、名称を伏せた企業における指紋認証による勤怠管理がGDPRに違反するとして、同国では最高額となる725,000ユーロの制裁金を課す決定をしたと発表した。

個人識別目的のバイオメトリック情報処理は例外的にしか許されない

個人を識別することを目的として指紋などのバイオメトリック情報を処理する際は、GDPR第9条により、通常の適法根拠(第6条)に加えて、本人の明確な同意を取得した場合、管理者または本人の法的義務履行に必要な場合、EU法または加盟国法に根拠がある重要な公益のために必要な場合など、例外的な条件を満たす場合以外、禁止されている。

労使関係において従業員の同意を根拠とすることは困難

労使間には力関係の不均衡があるため、雇用主が従業員の個人データを処理する根拠として、同意に依拠する場合、EUおよび加盟国のガイダンスでは、そのような同意は任意に与えられたものとは考えられず、例外的な場合(たとえば、従業員にとっても利益となるような場合)を除き、GDPRが規定する同意の有効要件を満たさないとされている。この事件では、従業員は指紋認証による勤怠管理を雇用主から義務として求められていたという事実が認定され、いずれにしても有効な同意は取得されておらず、処理について適法根拠が存在しないと認定された。

職場において、入館・入室管理や勤怠管理に指紋認証が利用されるケースは散見されるが、このようなバイオメトリック情報の利用がGDPR適用上、適法と認められる余地は極めて小さいことを事業者は銘記する必要がある。

 

APの報道発表:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers

関連記事