Munkavállalók biometrikus adatainak kezelése

Szerző: Jogászvilág
Dátum: 2019. február 5.
Címkék: , , , , ,
Rovat:

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH tájékoztatójában közzétette, hogy a munkáltatók milyen esetben jogosultak a munkavállalók biometrikus adatainak kezelésére.

A GDPR hatálybalépése sem változtatott az Infotv. joggyakorlatán – amelyet az Adatvédelmi Munkacsoport 259. számú állásfoglalása is megerősített – a munkaviszonyt egy erős függelmi viszonynak tekinti, ebből következőleg a munkavállaló nem tud önkéntes hozzájárulást adni a személyes adatai kezeléséhez, vagyis ezen a jogalapon a munkavállalók adatait a munkáltató nem kezelheti.

A NAIH álláspontja szerint a fentiekből következik, hogy sem munkaszerződésben sem kollektív szerződésben nem lehet érvényesen kötelezni a munkavállalókat a biometrikus adataik átadására, ez egyébként a munkaviszony teljesítéséhez nem is minden esetben szükséges, így egyedi mérlegelés alapján kell meghatározni azokat a munkaköröket, amelyekben a munkavállalók biometrikus adatainak kezelése elengedhetetlenül szükséges.

A NAIH egyetlen esetben fogadja el az érintett hozzájárulását az adatkezelés jogalapjaként, mégpedig akkor, ha a hozzájárulást a munkavállaló jogosult volt megtagadni és a megtagadás miatt őt hátrány nem érte. Ha a hozzájárulás megtagadása a munkaviszony megszüntetéséhez vagy egyéb hátrány alkalmazásához vezet a hozzájárulás önkéntessége kizárt és az adatkezelés jogellenes lesz.

Amennyiben a biometrikus adatok az érintett hozzájárulása alapján nem kezelhetők a GDPR akkor is lehetővé teszi az adatkezelést a munkáltató jogos érdeke alapján. Az adatkezelést végző munkáltatónak az adatok kezeléséhez érdekmérlegelési tesztet kell végeznie, amelyben figyelembe kell vennie a munkáltató és a munkavállalói oldalon felmerülő érdekeket és azokat kell összemérnie.

Az érdekmérlegelési tesztben fel kell tüntetni, hogy az érintettek jogai és szabadságai nem élveznek-e elsőbbséget a munkáltató érdekeihez képest, illetve, hogy ennek világos és valós oka megfelelően bemutatásra került-e a tesztben.

A NAIH szerint a munkáltatóknak tekintettel kell lenniük arra, hogy az adatok kezelése a saját vagy harmadik személyek jogos érdekének érvényesítéséhez szükséges-e, fennáll-e az adatkezelés arányossága, amelyet a fent említett érdekmérlegelési tesztben kell bizonyíthatóan dokumentálni.

Az adatkezelésnek ezenfelül arányosnak is kell lennie, ennek során azt kell bemutatni, hogy a biometrikus rendszer alkalmazásának van-e alternatívája. A NAIH kifejtette, hogy amennyiben a munkáltató talál arányosabb intézkedést a kívánt cél elérésére, úgy köteles azt alkalmazni a biometrikus rendszer helyett.

A NAIH az Adatvédelmi Munkacsoport 6/2014. számú véleményében hozott példákon keresztül mutat be olyan eseteket, amikor arányos a munkáltató jogos érdekén alapuló biometrikus adatkezelés.

Az egyik ilyen eset például, ha halálos vírussal dolgozó kutatók biometrikus azonosítást alkalmaznak a laborba történő belépés során. A Munkacsoport szerint azért tekinthető arányosnak az adatkezelés, mert a halálos vírusok kiszabadulása komoly veszélyt jelentene a közegészségügyre. Ugyanakkor megfelelő adatvédelmi intézkedéseket kell bevezetni annak érdekében, hogy a személyes adatok biztonsága garantálható legyen. Így például a személyes adatokat nem egy központi rendszerben, hanem a munkavállalók beléptetőkártyáin kell tárolni. A NAIH úgy érvel, hogy ugyan az adatok tágabb értelemben érzékeny adatoknak minősülnek, ugyanakkor az adatkezelés közérdeket szolgál és megfelelő biztosítékok alkalmazása mellett a visszaélések is elkerülhetők.

A NAIH szerint azonban az ilyen rendszerek alkalmazása többségében nem elengedhetetlen és nem is a legkíméletesebb, legarányosabb eszköz.

Különleges adatok kezelése esetén az adatkezelőnek a GDPR 9. cikkében foglalt szabályokra is tekintettel kell lenniük. Ezenfelül a GDPR lehetőséget ad a tagállamoknak, hogy egyedi szabályozással határozzák meg a különleges személyes adatok kezelését. A magyar jogalkotó egyelőre nem határozott meg ilyen eseteket, ezért a GDPR általános szabályaiból kell kiindulnunk.

A különleges adatok kezelése esetén azonban kötelező a GDPR alapján az adatvédelmi hatásvizsgálat, az adatvédelmi tisztviselő kinevezése, illetve a megfelelő védelmet biztosító szervezeti és mködési szabályok.

(naih.hu)

Kapcsolódó cikkek:


Sajtótermék-e a blog?
2020. augusztus 7.

Sajtótermék-e a blog?

A blog - közéleti téma esetén is - elsősorban magánkommunikációs csatornának minősül, ezért a sajtóra vonatkozó szabályok hatálya alá csak kivételesen, a sajtótermék fogalmára vonatkozó törvényi feltételek maradéktalan és kétségtelen teljesülése esetén eshet – a Kúria eseti döntése.

Pályaváltó jogászok: UX designer lettem – Interjú dr. Sliz-Veres Enikővel
2020. augusztus 6.

Pályaváltó jogászok: UX designer lettem – Interjú dr. Sliz-Veres Enikővel

A pályaváltás nem feltétlen kudarchoz kapcsolódik: van, amikor az eredetileg kiválasztott karrier egyszerűen nem hozza el azt a belső örömöt, amit egy hivatás adhat. Interjúnkban Dr. Sliz-Veres Enikő mesélt őszintén arról, hogy miért és hogyan cserélte jogi pályáját a UX designeri útra.

A fizetési meghagyásos eljárás szabályozási modelljei
2020. augusztus 5.

A fizetési meghagyásos eljárás szabályozási modelljei

A szerző a már felmerült és a jövőben várhatóan felmerülő jogalkalmazási kérdésekre koncentrálva tárgyalja az európai fizetési meghagyásos eljárást, valamint teljeskörűen feldolgozta az Európai Bíróság eddig napvilágot látott vonatkozó jogeseteit és a magyar felsőbíróságok tárgyban közzétett döntéseit.

Az Adatvédelmi Pajzs megsemmisítése és következményei
2020. augusztus 5.

Az Adatvédelmi Pajzs megsemmisítése és következményei

Az Európai Bíróság a hetekben hozott ítéletével megsemmisítette az Adatvédelmi Pajzs megfelelőségét deklaráló Bizottsági határozatot, így az USA-ba, mint harmadik országba történő adattovábbítások elvesztették jogalapjukat.