Elég csak a nagy értékű raktárkészlettel rendelkező cégekre, galériákra, pénzintézetekre, vagy olyan vállalatokra gondolni, ahol a szerverszoba védelme fokozott körültekintést igényel. Dr. Párkányi Rita a KCG Partners jogi szakértője szerint az ilyen biometrikus azonosítással működő rendszerek számos adatvédelmi kérdést vetnek fel.
Az új adatvédelmi rendelettel, a GDPR-ral való összhang megteremtése érdekében több más ágazati jogszabállyal együtt a Munka Törvénykönyve módosítása is szükségessé vált, a módosító törvényjavaslatot jelenleg az Országgyűlés tárgyalja. A javaslat szerint a Munka Törvénykönyve – összhangban a biometrikus adatok fokozott védelmének igényével - meghatározná azokat a kivételes esetköröket és feltételeket, amelyek fennállása esetén a munkáltató a munkavállaló biometrikus adatait kezelheti.
Mik azok a biometrikus adatok?
A GDPR alapján biometrikus adat minden olyan – alapvetően biológiai – jellegzetesség, amely egyedülálló az érintett természetes személy vonatkozásában, sajátos technikai eljárás útján mérhető, és lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását. Ezek alapján
biometrikus adatnak tekinthető például a hang, ujj- és tenyérlenyomat, retinaminta, vagy az adott egyénre jellemző jellegzetes járás vagy beszéd is, extrémebb példaként pedig a test vagy az arc hőtérképe, vagy akár a fül geometriája is.A biometrikus adatok fokozott védelmének indokát az adja, hogy egyaránt jelent az egyénre vonatkozó időtálló információt, és jelent kapcsolatot is az egyén és az információ között (pl. DNS-minta), az érintett magánszférájára ezáltal erős hatást gyakorolva.
Biometrikus azonosítás a munkahelyen
A GDPR főszabály szerint tiltja a természetes személyek egyedi azonosítását
A Munka Törvénykönyvének tervezett módosítása, a GDPR-ral összhangban, meghatározná azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató a munkavállalók biometrikus adatait kezelheti. A törvényjavaslat szerint erre kizárólag „valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor”, amennyiben a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy valamely más törvényben védett érdek súlyos vagy tömeges sérelmének veszélyével járna.
A tervezett módosítás példálózó felsorolást is ad arra nézve, hogy mely „törvényben védett érdek” esetén lehet jogszerű a biometrikus adatok kezelése, amennyiben az adatkezelés egyéb feltételei fennállnak.
Így például egyes minősített adatok védelme; lőfegyver/robbanóanyag őrzése; mérgező vagy veszélyes vegyi/biológiai anyagok őrzése; nukleáris anyagok őrzése; különösen nagy, ötvenmillió-egy forint összeget meghaladó vagyoni érték védelme ennek minősülhet.
Ez alapján tehát jogszerű lehet egy kórház, nagy értékű raktárkészlettel, vagy gépparkkal működő cég által bevezetett biometrikus adatkezelés. Mindazonáltal e cégek biometrikus adatkezelése is kizárólag addig tekinthető jogszerűnek, ameddig az valamely dologhoz vagy adathoz, elzárt területhez (pl. raktár, széf, galéria, kórház fertőz osztálya stb.) történő jogosulatlan hozzáférés megakadályozását célozza.
A munkavállalók pontos belépési és kilépési idejének, a belépések gyakoriságának folyamatos megfigyelése nem lehet indokolt,amennyiben azt más célra, például a munkavállalók teljesítményének értékelésére is használják.
Mit mérlegeljen a munkáltató?
A biometrikus adatok kezelésének jogalapja a munkáltató jogos érdeke (a fenti
A biometrikus azonosítórendszer alkalmazása esetén azonban a munkáltatónak ún. érdekmérlegelési tesztet kell végeznie, melynek során többek között mérlegelni kell, hogy a biometrikus adatkezelés alkalmazása nem váltható-e ki más, kevésbé drasztikus azonosítási módszerrel, vagy akár a biometrikus azonosító rendszerek között van-e olyan megoldás, mely az egyén magánszférájába kisebb beavatkozással jár.
Végezetül arra is érdemes felhívni a figyelmet, hogy amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek az adatkezelést megelőzően ún. adatvédelmi hatásvizsgálatot is kell végeznie.
A NAIH által korábban közzétett jegyzék szerint ilyen adatkezelési műveletnek minősül, ha munkavállalók egyedi azonosítását célzó biometrikus adatának kezelése a munkavállalók módszeres megfigyelésére irányul (pl. az ujjlenyomat azonosítással ellátott belépőkártya alapján követhető, hogy a munkavállaló mikor, hol található a munkáltató épületében).
