A technológiai fejlődés következtében egyre több munkahelyen merül fel az igény arra, hogy a jelenléti íveket vagy a mágneskártyás beléptetést ujjlenyomat-, retinaminta- vagy más biometrikus azonosító rendszerre cseréljék. Elég csak a nagy értékű raktárkészlettel rendelkező társaságokra, galériákra, pénzintézetekre vagy olyan vállalatokra gondolni, ahol a szerverszoba védelme fokozott körültekintést igényel.
A GDPR alapján biometrikus adat minden olyan - alapvetően biológiai - jellegzetesség, amely egyedülálló, illetve sajátos technikai eljárás útján mérhető, és lehetővé teszi az adott személy egyedi azonosítását. Ilyen típusú adatnak tekinthető például a hang-, ujj- és tenyérlenyomat, retinaminta vagy akár a járás és a beszéd is. Extrémebb példaként pedig a test vagy az arc hőtérképe, vagy akár a fül geometriája is idesorolható.
Csak óvatosan a DNS-minta alapján történő családfakutatással
Figyelmeztet a NAIH.
Párkányi Rita, a KCG Partners jogi szakértője szerint a biometrikus azonosító rendszerek számos adatvédelmi kérdést vetnek fel. Az új adatvédelmi rendelettel, a GDPR-ral való összhang megteremtése érdekében (több más ágazati jogszabállyal együtt) a Munka Törvénykönyve módosítása is szükségessé vált. A módosító törvényjavaslatot jelenleg az Országgyűlés tárgyalja.
Körvonalazódó munkahelyi lehetőségek
A GDPR főszabály szerint tiltja a természetes személyek egyedi azonosítását célzó biometrikus adatok kezelését. Ugyanakkor a tilalomtól való eltérés megengedhető, ha erről az uniós vagy tagállami jog rendelkezik, és ha az megfelelő garanciák mellett valósul meg. A Munka Törvénykönyvének tervezett módosítása meghatározná azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató élhetne ezzel az azonosítási lehetőséggel.
A törvényjavaslat szerint erre kizárólag "valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor", amennyiben a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége, egészsége, vagy valamely más törvényben védett érdek súlyos sérelmének veszélyével járna.
A tervezett módosítás példákat is ad arra nézve, hogy mely törvényben védett érdek esetén lehet jogszerű a biológiai jegyekre vonatkozó adatok kezelése, amennyiben az adatkezelés egyéb feltételei fennállnak. Például:
- egyes minősített adatok védelme;
- lőfegyver/robbanóanyag őrzése;
- mérgező vagy veszélyes vegyi/biológiai anyagok őrzése;
- nukleáris anyagok őrzése;
- különösen nagy, ötvenmillió-egy forintot meghaladó vagyoni érték védelme ennek minősülhet.
Ez alapján jogszerű lehet egy kórház vagy nagy értékű raktárkészlettel, gépparkkal működő cég által bevezetett biometrikus adatkezelés. Mindazonáltal e cégek biometrikus adatkezelése is kizárólag addig tekinthető jogszerűnek, ameddig az valamely dologhoz vagy adathoz, elzárt területhez (például raktár, széf, galéria, kórház fertőző osztálya stb.) történő jogosulatlan hozzáférés megakadályozását célozza. Vagyis a munkavállalók pontos belépési és kilépési idejének, a belépések gyakoriságának folyamatos megfigyelése nem lehet indokolt, hogyha azt más célra, például teljesítményértékelésre is használják.
Mit mérlegeljen a munkáltató?
A biometrikus adatkezelés jogalapja a munkáltató jogos érdeke (a fenti példákból kiindulva az, hogy védeni akarja raktárkészletét, szerverét, festményeit stb.). Vagyis erről elegendő tájékoztatni a munkavállalókat, a dolgozók hozzájárulása nem szükséges a rendszer bevezetéséhez.
A rendszer alkalmazása esetén azonban a munkáltatónak ún. érdekmérlegelési tesztet kell végeznie, melynek során a többi közt mérlegelni kell, hogy a biometrikus adatkezelés nem váltható-e ki más, kevésbé drasztikus azonosítási módszerrel.
De azt is vizsgálnia kell, hogy az ilyen típusú azonosító rendszerek között van-e olyan megoldás, mely az egyén magánszférájába kisebb beavatkozással jár.
KCG Partners arra is felhívta a figyelmet, hogyha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor az adatkezelőnek előzetesen ún. adatvédelmi hatásvizsgálatot is kell végeznie. Továbbá érdemes akár külső jogi, illetve információbiztonsági szakembert bevonni a kritériumok helyes értelmezése és alkalmazása céljából.
Kiemelt fotó: iStock