Elég csak a nagy értékű raktárkészlettel rendelkező cégekre, galériákra, pénzintézetekre, vagy olyan vállalatokra gondolni, ahol a szerverszoba védelme fokozott körültekintést igényel. Dr. Párkányi Rita a KCG Partners jogi szakértője szerint az ilyen biometrikus azonosítással működő rendszerek számos adatvédelmi kérdést vetnek fel. Az új adatvédelmi rendelettel, a GDPR-ral való összhang megteremtése érdekében több más ágazati jogszabállyal együtt a Munka Törvénykönyve módosítása is szükségessé vált, a módosító törvényjavaslatot jelenleg az Országgyűlés tárgyalja. A javaslat szerint a Munka Törvénykönyve – összhangban a biometrikus adatok fokozott védelmének igényével - meghatározná azokat a kivételes esetköröket és feltételeket, amelyek fennállása esetén a munkáltató a munkavállaló biometrikus adatait kezelheti.
Mik azok a biometrikus adatok?
A GDPR alapján biometrikus adat minden olyan - alapvetően biológiai - jellegzetesség, amely egyedülálló az érintett természetes személy vonatkozásában, sajátos technikai eljárás útján mérhető, és lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását. Ezek alapján biometrikus adatnak tekinthető például a hang, ujj- és tenyérlenyomat, retinaminta, vagy az adott egyénre jellemző jellegzetes járás vagy beszéd is, extrémebb példaként pedig a test vagy az arc hőtérképe, vagy akár a fül geometriája is. A biometrikus adatok fokozott védelmének indokát az adja, hogy egyaránt jelent az egyénre vonatkozó időtálló információt, és jelent kapcsolatot is az egyén és az információ között (pl. DNS-minta), az érintett magánszférájára ezáltal erős hatást gyakorolva.
Biometrikus azonosítás a munkahelyen
A GDPR főszabály szerint tiltja a természetes személyek egyedi azonosítását célzó biometrikus adatok kezelését. Az adatkezelési tilalomtól való eltérés megengedhető azonban, ha erről az uniós vagy tagállami jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor, így például a foglalkoztatási jog és a szociális védelmi jog területén.
A Munka Törvénykönyvének tervezett módosítása, a GDPR-ral összhangban, meghatározná azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató a munkavállalók biometrikus adatait kezelheti. A törvényjavaslat szerint erre kizárólag „valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor”, amennyiben a jogosulatlan hozzáférés a (i) munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy (ii) valamely más törvényben védett érdek súlyos vagy tömeges sérelmének veszélyével járna.
A tervezett módosítás példálózó felsorolást is ad arra nézve, hogy mely „törvényben védett érdek” esetén lehet jogszerű a biometrikus adatok kezelése, amennyiben az adatkezelés egyéb feltételei fennállnak. Így például egyes minősített adatok védelme; lőfegyver/robbanóanyag őrzése; mérgező vagy veszélyes vegyi/biológiai anyagok őrzése; nukleáris anyagok őrzése; különösen nagy, ötvenmillió-egy forint összeget meghaladó vagyoni érték védelme ennek minősülhet. Ez alapján tehát jogszerű lehet egy kórház, nagy értékű raktárkészlettel, vagy gépparkkal működő cég által bevezetett biometrikus adatkezelés. Mindazonáltal e cégek biometrikus adatkezelése is kizárólag addig tekinthető jogszerűnek, ameddig az valamely dologhoz vagy adathoz, elzárt területhez (pl. raktár, széf, galéria, kórház fertőz osztálya stb.) történő jogosulatlan hozzáférés megakadályozását célozza. Azaz a munkavállalók pontos belépési és kilépési idejének, a belépések gyakoriságának folyamatos megfigyelése nem lehet indokolt, amennyiben azt más célra, például a munkavállalók teljesítményének értékelésére is használják.
Mit mérlegeljen a munkáltató?
A biometrikus adatok kezelésének jogalapja a munkáltató jogos érdeke (a fenti példákból kiindulva az, hogy védeni akarja raktárkészletét, szerverét, festményeit stb.). Vagyis arról elegendő tájékoztatni a munkavállalókat, a munkavállalók hozzájárulása azonban nem szükséges a rendszer bevezetéséhez.
A biometrikus azonosítórendszer alkalmazása esetén azonban a munkáltatónak ún. érdekmérlegelési tesztet kell végeznie, melynek során többek között mérlegelni kell, hogy a biometrikus adatkezelés alkalmazása nem váltható-e ki más, kevésbé drasztikus azonosítási módszerrel, vagy akár a biometrikus azonosító rendszerek között van-e olyan megoldás, mely az egyén magánszférájába kisebb beavatkozással jár.
Végezetül arra is érdemes felhívni a figyelmet, hogy amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek az adatkezelést megelőzően ún. adatvédelmi hatásvizsgálatot is kell végeznie. A NAIH által korábban közzétettet jegyzék szerint ilyen adatkezelési műveletnek minősül, ha munkavállalók egyedi azonosítását célzó biometrikus adatának kezelése a munkavállalók módszeres megfigyelésére irányul (pl. az ujjlenyomat azonosítással ellátott belépőkártya alapján követhető, hogy a munkavállaló mikor, hol található a munkáltató épületében).
A fenti összetett szabályozásra tekintettel a biometrikus azonosítással működő rendszerek bevezetése előtt az adatkezelőknek körültekintően, akár külső jogi, illetve információbiztonsági szakember bevonásával célszerű eljárniuk az adatvédelmi kritériumok helyes értelmezése és alkalmazása során.
Itt meghallgathatja a Dr. Párkányi Ritával és Dr. Megyesi Adriennel, a KCG Partners jogi szakértőivel készült beszélgetést:
- Monitor Délután - Dr. Párkányi Rita - Dr Megyesi Adrienn
- Monitor Délután - Dr. Párkányi Rita - Dr Megyesi Adrienn