A technológiai fejlődés következtében egyre több munkahelyen merül fel az igény arra, hogy a jelenléti íveket vagy a mágneskártyás beléptetést ujjlenyomat-, retinaminta- vagy más biometrikus azonosító rendszerre cseréljék. Elég csak a nagy értékű raktárkészlettel rendelkező társaságokra, galériákra, pénzintézetekre vagy olyan vállalatokra gondolni, ahol a szerverszoba védelme fokozott körültekintést igényel.

A GDPR alapján biometrikus adat minden olyan - alapvetően biológiai - jellegzetesség, amely egyedülálló, illetve sajátos technikai eljárás útján mérhető, és lehetővé teszi az adott személy egyedi azonosítását. Ilyen típusú adatnak tekinthető például a hang-, ujj- és tenyérlenyomat, retinaminta vagy akár a járás és a beszéd is. Extrémebb példaként pedig a test vagy az arc hőtérképe, vagy akár a fül geometriája is idesorolható.

Csak óvatosan a DNS-minta alapján történő családfakutatással

Figyelmeztet a NAIH.

Párkányi Rita, a KCG Partners jogi szakértője szerint a biometrikus azonosító rendszerek számos adatvédelmi kérdést vetnek fel. Az új adatvédelmi rendelettel, a GDPR-ral való összhang megteremtése érdekében (több más ágazati jogszabállyal együtt) a Munka Törvénykönyve módosítása is szükségessé vált. A módosító törvényjavaslatot jelenleg az Országgyűlés tárgyalja.

Körvonalazódó munkahelyi lehetőségek

A GDPR főszabály szerint tiltja a természetes személyek egyedi azonosítását célzó biometrikus adatok kezelését. Ugyanakkor a tilalomtól való eltérés megengedhető, ha erről az uniós vagy tagállami jog rendelkezik, és ha az megfelelő garanciák mellett valósul meg. A Munka Törvénykönyvének tervezett módosítása meghatározná azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató élhetne ezzel az azonosítási lehetőséggel.

A törvényjavaslat szerint erre kizárólag "valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor", amennyiben a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége, egészsége, vagy valamely más törvényben védett érdek súlyos sérelmének veszélyével járna.

A tervezett módosítás példákat is ad arra nézve, hogy mely törvényben védett érdek esetén lehet jogszerű a biológiai jegyekre vonatkozó adatok kezelése, amennyiben az adatkezelés egyéb feltételei fennállnak. Például:

  • egyes minősített adatok védelme;
  • lőfegyver/robbanóanyag őrzése;
  • mérgező vagy veszélyes vegyi/biológiai anyagok őrzése;
  • nukleáris anyagok őrzése;
  • különösen nagy, ötvenmillió-egy forintot meghaladó vagyoni érték védelme ennek minősülhet.

Ez alapján jogszerű lehet egy kórház vagy nagy értékű raktárkészlettel, gépparkkal működő cég által bevezetett biometrikus adatkezelés. Mindazonáltal e cégek biometrikus adatkezelése is kizárólag addig tekinthető jogszerűnek, ameddig az valamely dologhoz vagy adathoz, elzárt területhez (például raktár, széf, galéria, kórház fertőző osztálya stb.) történő jogosulatlan hozzáférés megakadályozását célozza. Vagyis a munkavállalók pontos belépési és kilépési idejének, a belépések gyakoriságának folyamatos megfigyelése nem lehet indokolt, hogyha azt más célra, például teljesítményértékelésre is használják.

Mit mérlegeljen a munkáltató?

A biometrikus adatkezelés jogalapja a munkáltató jogos érdeke (a fenti példákból kiindulva az, hogy védeni akarja raktárkészletét, szerverét, festményeit stb.). Vagyis erről elegendő tájékoztatni a munkavállalókat, a dolgozók hozzájárulása nem szükséges a rendszer bevezetéséhez.

A rendszer alkalmazása esetén azonban a munkáltatónak ún. érdekmérlegelési tesztet kell végeznie, melynek során a többi közt mérlegelni kell, hogy a biometrikus adatkezelés nem váltható-e ki más, kevésbé drasztikus azonosítási módszerrel.

De azt is vizsgálnia kell, hogy az ilyen típusú azonosító rendszerek között van-e olyan megoldás, mely az egyén magánszférájába kisebb beavatkozással jár.

KCG Partners arra is felhívta a figyelmet, hogyha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor az adatkezelőnek előzetesen ún. adatvédelmi hatásvizsgálatot is kell végeznie. Továbbá érdemes akár külső jogi, illetve információbiztonsági szakembert bevonni a kritériumok helyes értelmezése és alkalmazása céljából.

Kiemelt fotó: iStock


ÉRTÉKELD A MUNKÁNKAT EGY LÁJKKAL, ÉS OSZD MEG MÁSOKKAL IS! KÖSZÖNJÜK!