Munkavállalók biometrikus adatainak kezelése

Szerző: Jogászvilág
Dátum: 2019. február 5.
Címkék: , , , , ,
Rovat:
A NAIH tájékoztatójában közzétette, hogy a munkáltatók milyen esetben jogosultak a munkavállalók biometrikus adatainak kezelésére.

A GDPR hatálybalépése sem változtatott az Infotv. joggyakorlatán – amelyet az Adatvédelmi Munkacsoport 259. számú állásfoglalása is megerősített – a munkaviszonyt egy erős függelmi viszonynak tekinti, ebből következőleg a munkavállaló nem tud önkéntes hozzájárulást adni a személyes adatai kezeléséhez, vagyis ezen a jogalapon a munkavállalók adatait a munkáltató nem kezelheti.

A NAIH álláspontja szerint a fentiekből következik, hogy sem munkaszerződésben sem kollektív szerződésben nem lehet érvényesen kötelezni a munkavállalókat a biometrikus adataik átadására, ez egyébként a munkaviszony teljesítéséhez nem is minden esetben szükséges, így egyedi mérlegelés alapján kell meghatározni azokat a munkaköröket, amelyekben a munkavállalók biometrikus adatainak kezelése elengedhetetlenül szükséges.

A NAIH egyetlen esetben fogadja el az érintett hozzájárulását az adatkezelés jogalapjaként, mégpedig akkor, ha a hozzájárulást a munkavállaló jogosult volt megtagadni és a megtagadás miatt őt hátrány nem érte. Ha a hozzájárulás megtagadása a munkaviszony megszüntetéséhez vagy egyéb hátrány alkalmazásához vezet a hozzájárulás önkéntessége kizárt és az adatkezelés jogellenes lesz.

Amennyiben a biometrikus adatok az érintett hozzájárulása alapján nem kezelhetők a GDPR akkor is lehetővé teszi az adatkezelést a munkáltató jogos érdeke alapján. Az adatkezelést végző munkáltatónak az adatok kezeléséhez érdekmérlegelési tesztet kell végeznie, amelyben figyelembe kell vennie a munkáltató és a munkavállalói oldalon felmerülő érdekeket és azokat kell összemérnie.

Az érdekmérlegelési tesztben fel kell tüntetni, hogy az érintettek jogai és szabadságai nem élveznek-e elsőbbséget a munkáltató érdekeihez képest, illetve, hogy ennek világos és valós oka megfelelően bemutatásra került-e a tesztben.

A NAIH szerint a munkáltatóknak tekintettel kell lenniük arra, hogy az adatok kezelése a saját vagy harmadik személyek jogos érdekének érvényesítéséhez szükséges-e, fennáll-e az adatkezelés arányossága, amelyet a fent említett érdekmérlegelési tesztben kell bizonyíthatóan dokumentálni.

Az adatkezelésnek ezenfelül arányosnak is kell lennie, ennek során azt kell bemutatni, hogy a biometrikus rendszer alkalmazásának van-e alternatívája. A NAIH kifejtette, hogy amennyiben a munkáltató talál arányosabb intézkedést a kívánt cél elérésére, úgy köteles azt alkalmazni a biometrikus rendszer helyett.

A NAIH az Adatvédelmi Munkacsoport 6/2014. számú véleményében hozott példákon keresztül mutat be olyan eseteket, amikor arányos a munkáltató jogos érdekén alapuló biometrikus adatkezelés.

Az egyik ilyen eset például, ha halálos vírussal dolgozó kutatók biometrikus azonosítást alkalmaznak a laborba történő belépés során. A Munkacsoport szerint azért tekinthető arányosnak az adatkezelés, mert a halálos vírusok kiszabadulása komoly veszélyt jelentene a közegészségügyre. Ugyanakkor megfelelő adatvédelmi intézkedéseket kell bevezetni annak érdekében, hogy a személyes adatok biztonsága garantálható legyen. Így például a személyes adatokat nem egy központi rendszerben, hanem a munkavállalók beléptetőkártyáin kell tárolni. A NAIH úgy érvel, hogy ugyan az adatok tágabb értelemben érzékeny adatoknak minősülnek, ugyanakkor az adatkezelés közérdeket szolgál és megfelelő biztosítékok alkalmazása mellett a visszaélések is elkerülhetők.

A NAIH szerint azonban az ilyen rendszerek alkalmazása többségében nem elengedhetetlen és nem is a legkíméletesebb, legarányosabb eszköz.

Különleges adatok kezelése esetén az adatkezelőnek a GDPR 9. cikkében foglalt szabályokra is tekintettel kell lenniük. Ezenfelül a GDPR lehetőséget ad a tagállamoknak, hogy egyedi szabályozással határozzák meg a különleges személyes adatok kezelését. A magyar jogalkotó egyelőre nem határozott meg ilyen eseteket, ezért a GDPR általános szabályaiból kell kiindulnunk.

A különleges adatok kezelése esetén azonban kötelező a GDPR alapján az adatvédelmi hatásvizsgálat, az adatvédelmi tisztviselő kinevezése, illetve a megfelelő védelmet biztosító szervezeti és mködési szabályok.

(naih.hu)

Kapcsolódó cikkek:


AB: méltányossági döntések esetében is szükséges a hatékony jogorvoslat
2019. április 17.

AB: méltányossági döntések esetében is szükséges a hatékony jogorvoslat

Az Alkotmánybíróság megállapította, hogy a családok támogatásáról szóló 1998. évi LXXXIV. törvény 2018. január 1. és 2018. december 31. között hatályos 44. § (3) bekezdése alaptörvény-ellenes volt, ezért az a folyamatban lévő ügyekben nem alkalmazható. A döntéshez párhuzamos indokolást csatolt Pokol Béla.

EP választás: Változások a kampányszabályokban
2019. április 15.

EP választás: Változások a kampányszabályokban

Az Európai Parlamenti választás során a pártoknak kiemelten oda kell figyelniük a megváltozott ajánlásgyűjtési, plakátolási és a választási gyűlésre vonatkozó szabályokra, ha nem szeretnék, hogy a választási eljárási törvény megsértése miatt felelősségre vonják őket.

A közalkalmazotti utazási utalvány magánokiratnak minősül
2019. április 12.

A közalkalmazotti utazási utalvány magánokiratnak minősül

A közalkalmazottaknak adott "utazási utalvány" nem köz-, hanem magánokirat, azt a kibocsátó akkor is munkáltatóként (közalkalmazotti, közszolgálati, szolgálati jogviszony, vagy munkaviszony keretében) állítja ki, ha egyébként hatósági hatáskört gyakorol – a Kúria eseti döntése.