Munkavállalók biometrikus adatainak kezelése

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH tájékoztatójában közzétette, hogy a munkáltatók milyen esetben jogosultak a munkavállalók biometrikus adatainak kezelésére.

A GDPR hatálybalépése sem változtatott az Infotv. joggyakorlatán – amelyet az Adatvédelmi Munkacsoport 259. számú állásfoglalása is megerősített – a munkaviszonyt egy erős függelmi viszonynak tekinti, ebből következőleg a munkavállaló nem tud önkéntes hozzájárulást adni a személyes adatai kezeléséhez, vagyis ezen a jogalapon a munkavállalók adatait a munkáltató nem kezelheti.

A NAIH álláspontja szerint a fentiekből következik, hogy sem munkaszerződésben sem kollektív szerződésben nem lehet érvényesen kötelezni a munkavállalókat a biometrikus adataik átadására, ez egyébként a munkaviszony teljesítéséhez nem is minden esetben szükséges, így egyedi mérlegelés alapján kell meghatározni azokat a munkaköröket, amelyekben a munkavállalók biometrikus adatainak kezelése elengedhetetlenül szükséges.

A NAIH egyetlen esetben fogadja el az érintett hozzájárulását az adatkezelés jogalapjaként, mégpedig akkor, ha a hozzájárulást a munkavállaló jogosult volt megtagadni és a megtagadás miatt őt hátrány nem érte. Ha a hozzájárulás megtagadása a munkaviszony megszüntetéséhez vagy egyéb hátrány alkalmazásához vezet a hozzájárulás önkéntessége kizárt és az adatkezelés jogellenes lesz.

Amennyiben a biometrikus adatok az érintett hozzájárulása alapján nem kezelhetők a GDPR akkor is lehetővé teszi az adatkezelést a munkáltató jogos érdeke alapján. Az adatkezelést végző munkáltatónak az adatok kezeléséhez érdekmérlegelési tesztet kell végeznie, amelyben figyelembe kell vennie a munkáltató és a munkavállalói oldalon felmerülő érdekeket és azokat kell összemérnie.

Az érdekmérlegelési tesztben fel kell tüntetni, hogy az érintettek jogai és szabadságai nem élveznek-e elsőbbséget a munkáltató érdekeihez képest, illetve, hogy ennek világos és valós oka megfelelően bemutatásra került-e a tesztben.

A NAIH szerint a munkáltatóknak tekintettel kell lenniük arra, hogy az adatok kezelése a saját vagy harmadik személyek jogos érdekének érvényesítéséhez szükséges-e, fennáll-e az adatkezelés arányossága, amelyet a fent említett érdekmérlegelési tesztben kell bizonyíthatóan dokumentálni.

Az adatkezelésnek ezenfelül arányosnak is kell lennie, ennek során azt kell bemutatni, hogy a biometrikus rendszer alkalmazásának van-e alternatívája. A NAIH kifejtette, hogy amennyiben a munkáltató talál arányosabb intézkedést a kívánt cél elérésére, úgy köteles azt alkalmazni a biometrikus rendszer helyett.

A NAIH az Adatvédelmi Munkacsoport 6/2014. számú véleményében hozott példákon keresztül mutat be olyan eseteket, amikor arányos a munkáltató jogos érdekén alapuló biometrikus adatkezelés.

Az egyik ilyen eset például, ha halálos vírussal dolgozó kutatók biometrikus azonosítást alkalmaznak a laborba történő belépés során. A Munkacsoport szerint azért tekinthető arányosnak az adatkezelés, mert a halálos vírusok kiszabadulása komoly veszélyt jelentene a közegészségügyre. Ugyanakkor megfelelő adatvédelmi intézkedéseket kell bevezetni annak érdekében, hogy a személyes adatok biztonsága garantálható legyen. Így például a személyes adatokat nem egy központi rendszerben, hanem a munkavállalók beléptetőkártyáin kell tárolni. A NAIH úgy érvel, hogy ugyan az adatok tágabb értelemben érzékeny adatoknak minősülnek, ugyanakkor az adatkezelés közérdeket szolgál és megfelelő biztosítékok alkalmazása mellett a visszaélések is elkerülhetők.

A NAIH szerint azonban az ilyen rendszerek alkalmazása többségében nem elengedhetetlen és nem is a legkíméletesebb, legarányosabb eszköz.

Különleges adatok kezelése esetén az adatkezelőnek a GDPR 9. cikkében foglalt szabályokra is tekintettel kell lenniük. Ezenfelül a GDPR lehetőséget ad a tagállamoknak, hogy egyedi szabályozással határozzák meg a különleges személyes adatok kezelését. A magyar jogalkotó egyelőre nem határozott meg ilyen eseteket, ezért a GDPR általános szabályaiból kell kiindulnunk.

A különleges adatok kezelése esetén azonban kötelező a GDPR alapján az adatvédelmi hatásvizsgálat, az adatvédelmi tisztviselő kinevezése, illetve a megfelelő védelmet biztosító szervezeti és mködési szabályok.

(naih.hu)

---