Munkavállalók biometrikus adatainak kezelése


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH tájékoztatójában közzétette, hogy a munkáltatók milyen esetben jogosultak a munkavállalók biometrikus adatainak kezelésére.

A GDPR hatálybalépése sem változtatott az Infotv. joggyakorlatán – amelyet az Adatvédelmi Munkacsoport 259. számú állásfoglalása is megerősített – a munkaviszonyt egy erős függelmi viszonynak tekinti, ebből következőleg a munkavállaló nem tud önkéntes hozzájárulást adni a személyes adatai kezeléséhez, vagyis ezen a jogalapon a munkavállalók adatait a munkáltató nem kezelheti.

A NAIH álláspontja szerint a fentiekből következik, hogy sem munkaszerződésben sem kollektív szerződésben nem lehet érvényesen kötelezni a munkavállalókat a biometrikus adataik átadására, ez egyébként a munkaviszony teljesítéséhez nem is minden esetben szükséges, így egyedi mérlegelés alapján kell meghatározni azokat a munkaköröket, amelyekben a munkavállalók biometrikus adatainak kezelése elengedhetetlenül szükséges.

A NAIH egyetlen esetben fogadja el az érintett hozzájárulását az adatkezelés jogalapjaként, mégpedig akkor, ha a hozzájárulást a munkavállaló jogosult volt megtagadni és a megtagadás miatt őt hátrány nem érte. Ha a hozzájárulás megtagadása a munkaviszony megszüntetéséhez vagy egyéb hátrány alkalmazásához vezet a hozzájárulás önkéntessége kizárt és az adatkezelés jogellenes lesz.

Amennyiben a biometrikus adatok az érintett hozzájárulása alapján nem kezelhetők a GDPR akkor is lehetővé teszi az adatkezelést a munkáltató jogos érdeke alapján. Az adatkezelést végző munkáltatónak az adatok kezeléséhez érdekmérlegelési tesztet kell végeznie, amelyben figyelembe kell vennie a munkáltató és a munkavállalói oldalon felmerülő érdekeket és azokat kell összemérnie.

Az érdekmérlegelési tesztben fel kell tüntetni, hogy az érintettek jogai és szabadságai nem élveznek-e elsőbbséget a munkáltató érdekeihez képest, illetve, hogy ennek világos és valós oka megfelelően bemutatásra került-e a tesztben.

A NAIH szerint a munkáltatóknak tekintettel kell lenniük arra, hogy az adatok kezelése a saját vagy harmadik személyek jogos érdekének érvényesítéséhez szükséges-e, fennáll-e az adatkezelés arányossága, amelyet a fent említett érdekmérlegelési tesztben kell bizonyíthatóan dokumentálni.

Az adatkezelésnek ezenfelül arányosnak is kell lennie, ennek során azt kell bemutatni, hogy a biometrikus rendszer alkalmazásának van-e alternatívája. A NAIH kifejtette, hogy amennyiben a munkáltató talál arányosabb intézkedést a kívánt cél elérésére, úgy köteles azt alkalmazni a biometrikus rendszer helyett.

A NAIH az Adatvédelmi Munkacsoport 6/2014. számú véleményében hozott példákon keresztül mutat be olyan eseteket, amikor arányos a munkáltató jogos érdekén alapuló biometrikus adatkezelés.

Az egyik ilyen eset például, ha halálos vírussal dolgozó kutatók biometrikus azonosítást alkalmaznak a laborba történő belépés során. A Munkacsoport szerint azért tekinthető arányosnak az adatkezelés, mert a halálos vírusok kiszabadulása komoly veszélyt jelentene a közegészségügyre. Ugyanakkor megfelelő adatvédelmi intézkedéseket kell bevezetni annak érdekében, hogy a személyes adatok biztonsága garantálható legyen. Így például a személyes adatokat nem egy központi rendszerben, hanem a munkavállalók beléptetőkártyáin kell tárolni. A NAIH úgy érvel, hogy ugyan az adatok tágabb értelemben érzékeny adatoknak minősülnek, ugyanakkor az adatkezelés közérdeket szolgál és megfelelő biztosítékok alkalmazása mellett a visszaélések is elkerülhetők.

A NAIH szerint azonban az ilyen rendszerek alkalmazása többségében nem elengedhetetlen és nem is a legkíméletesebb, legarányosabb eszköz.

Különleges adatok kezelése esetén az adatkezelőnek a GDPR 9. cikkében foglalt szabályokra is tekintettel kell lenniük. Ezenfelül a GDPR lehetőséget ad a tagállamoknak, hogy egyedi szabályozással határozzák meg a különleges személyes adatok kezelését. A magyar jogalkotó egyelőre nem határozott meg ilyen eseteket, ezért a GDPR általános szabályaiból kell kiindulnunk.

A különleges adatok kezelése esetén azonban kötelező a GDPR alapján az adatvédelmi hatásvizsgálat, az adatvédelmi tisztviselő kinevezése, illetve a megfelelő védelmet biztosító szervezeti és mködési szabályok.

(naih.hu)


Kapcsolódó cikkek

2024. december 6.

Papírból PDF – az új ingatlan-nyilvántartás

A jelenlegi ingatlan-nyilvántartásunk egy 1997-es törvényen alapul, és jogosan vetődik fel bennünk a kérdés, hogy ez a több mint két évtizedes szabályozás releváns rendelkezéseket tartalmaz-e. Az ezzel kapcsolatban felmerülő igény, illetve a COVID által okozott válsághelyzet következtében a szükség is egyre jobban nőtt egy gyors, hatékony, egyszerű és legfontosabbak közt elektronikus rendszerre, hogy hivatalos ügyeinket tudjuk intézni. Az Ars Boni cikkpályázat keretében készült írásban ezt az új és modern, elektronikus világba lépő jogintézményt szabályozó és véglegesnek tűnő 2021.évi C. törvényt fogom összehasonlítani eredeti, kihirdetéskori szövegével, illetve a jelenleg hatályos – de nemsokára „régi”-nek aposztrofált – ingatlan-nyilvántartásról szóló 1997. évi CXLI. törvénnyel.

2024. december 6.

Perújítás az alapügyben távollévő terhelttel szemben folytatott eljárás miatt

Ha a terhelt az elsőfokú bírósági eljárásban valamennyi tárgyaláson részt vett, érdemi vallomást tett és kizárólag az ügydöntő határozat kihirdetésekor nem jelent meg, a bizonyítás megismétlése nem válik szükségessé a terhelt távollétén alapuló perújítási eljárásban. A perújítás célja ebben az esetben a terhelt vallomástételi, észrevételezési és indítványozási jogának biztosítása és az ez alapján szükségessé váló bizonyítás lefolytatása – a Kúria eseti döntése.

2024. december 4.

Kamerás adatkezelés szálláshelyen

A Nemzeti Adatvédelmi és Információszabadság Hatóság egymillió forint adatvédelmi bírságot szabott ki egy szálláshellyel szemben az érintett ingatlanra felszerelt kamerarendszerrel összefüggő adatkezelés jogszerűségének vizsgálata során. A döntést az indokolta, hogy a szálláshely nem nyújtott a hazai és regionális előírások szerint könnyen hozzáférhető és átlátható tájékoztatást az általa működtetett kamerarendszer kapcsán megvalósuló adatkezelésről.