Munkavállalók biometrikus adatainak kezelése


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH tájékoztatójában közzétette, hogy a munkáltatók milyen esetben jogosultak a munkavállalók biometrikus adatainak kezelésére.

A GDPR hatálybalépése sem változtatott az Infotv. joggyakorlatán – amelyet az Adatvédelmi Munkacsoport 259. számú állásfoglalása is megerősített – a munkaviszonyt egy erős függelmi viszonynak tekinti, ebből következőleg a munkavállaló nem tud önkéntes hozzájárulást adni a személyes adatai kezeléséhez, vagyis ezen a jogalapon a munkavállalók adatait a munkáltató nem kezelheti.

A NAIH álláspontja szerint a fentiekből következik, hogy sem munkaszerződésben sem kollektív szerződésben nem lehet érvényesen kötelezni a munkavállalókat a biometrikus adataik átadására, ez egyébként a munkaviszony teljesítéséhez nem is minden esetben szükséges, így egyedi mérlegelés alapján kell meghatározni azokat a munkaköröket, amelyekben a munkavállalók biometrikus adatainak kezelése elengedhetetlenül szükséges.

A NAIH egyetlen esetben fogadja el az érintett hozzájárulását az adatkezelés jogalapjaként, mégpedig akkor, ha a hozzájárulást a munkavállaló jogosult volt megtagadni és a megtagadás miatt őt hátrány nem érte. Ha a hozzájárulás megtagadása a munkaviszony megszüntetéséhez vagy egyéb hátrány alkalmazásához vezet a hozzájárulás önkéntessége kizárt és az adatkezelés jogellenes lesz.

Amennyiben a biometrikus adatok az érintett hozzájárulása alapján nem kezelhetők a GDPR akkor is lehetővé teszi az adatkezelést a munkáltató jogos érdeke alapján. Az adatkezelést végző munkáltatónak az adatok kezeléséhez érdekmérlegelési tesztet kell végeznie, amelyben figyelembe kell vennie a munkáltató és a munkavállalói oldalon felmerülő érdekeket és azokat kell összemérnie.

Az érdekmérlegelési tesztben fel kell tüntetni, hogy az érintettek jogai és szabadságai nem élveznek-e elsőbbséget a munkáltató érdekeihez képest, illetve, hogy ennek világos és valós oka megfelelően bemutatásra került-e a tesztben.

A NAIH szerint a munkáltatóknak tekintettel kell lenniük arra, hogy az adatok kezelése a saját vagy harmadik személyek jogos érdekének érvényesítéséhez szükséges-e, fennáll-e az adatkezelés arányossága, amelyet a fent említett érdekmérlegelési tesztben kell bizonyíthatóan dokumentálni.

Az adatkezelésnek ezenfelül arányosnak is kell lennie, ennek során azt kell bemutatni, hogy a biometrikus rendszer alkalmazásának van-e alternatívája. A NAIH kifejtette, hogy amennyiben a munkáltató talál arányosabb intézkedést a kívánt cél elérésére, úgy köteles azt alkalmazni a biometrikus rendszer helyett.

A NAIH az Adatvédelmi Munkacsoport 6/2014. számú véleményében hozott példákon keresztül mutat be olyan eseteket, amikor arányos a munkáltató jogos érdekén alapuló biometrikus adatkezelés.

Az egyik ilyen eset például, ha halálos vírussal dolgozó kutatók biometrikus azonosítást alkalmaznak a laborba történő belépés során. A Munkacsoport szerint azért tekinthető arányosnak az adatkezelés, mert a halálos vírusok kiszabadulása komoly veszélyt jelentene a közegészségügyre. Ugyanakkor megfelelő adatvédelmi intézkedéseket kell bevezetni annak érdekében, hogy a személyes adatok biztonsága garantálható legyen. Így például a személyes adatokat nem egy központi rendszerben, hanem a munkavállalók beléptetőkártyáin kell tárolni. A NAIH úgy érvel, hogy ugyan az adatok tágabb értelemben érzékeny adatoknak minősülnek, ugyanakkor az adatkezelés közérdeket szolgál és megfelelő biztosítékok alkalmazása mellett a visszaélések is elkerülhetők.

A NAIH szerint azonban az ilyen rendszerek alkalmazása többségében nem elengedhetetlen és nem is a legkíméletesebb, legarányosabb eszköz.

Különleges adatok kezelése esetén az adatkezelőnek a GDPR 9. cikkében foglalt szabályokra is tekintettel kell lenniük. Ezenfelül a GDPR lehetőséget ad a tagállamoknak, hogy egyedi szabályozással határozzák meg a különleges személyes adatok kezelését. A magyar jogalkotó egyelőre nem határozott meg ilyen eseteket, ezért a GDPR általános szabályaiból kell kiindulnunk.

A különleges adatok kezelése esetén azonban kötelező a GDPR alapján az adatvédelmi hatásvizsgálat, az adatvédelmi tisztviselő kinevezése, illetve a megfelelő védelmet biztosító szervezeti és mködési szabályok.

(naih.hu)


Kapcsolódó cikkek

2021. október 26.

A közérdekű adatok megismerésének korlátai

A közérdekű adatok nyilvánossága korlátozható. A NAIH rövid összefoglalójából megismerhetik, hogy milyen jogszerű indokok szükségesek az információszabadság, mint alapjog korlátozásához.

2021. október 26.

Az alapjogi bíráskodás módszertani kérdései

Sulyok Tamás, az Alkotmánybíróság elnöke és Paczolay Péter, az Alkotmánybíróság korábbi elnöke, az Emberi Jogok Európai Bíróságának bírója részvételével 2021. október 27. 10:00-től online beszélgetés hallgatható az emberi jogi/alapjogi bíráskodás módszertani kérdéseiről. A beszélgetés moderátora: Tóth J. Zoltán lesz.

2021. október 26.

A jogi előadók perképviseleti joga

A 2018. január 1. óta élő új előírásoknak köszönhetően a jogtanácsosokra jóval szigorúbb szabályok vonatkoznak, és különösen igaz ez a jogi előadókra. Az alábbiakban a szerző bemutatja, hogy utóbbiak milyen feltételek esetén képviselhetik a jogalanyt egy perben, milyen módon adható meghatalmazás egy jogi előadó számára.