Lehet-e biometrikus azonosítás a munkahelyen?

Egyre több cégnél merül fel az igény arra, hogy az elavult, papíron vezetett jelenléti íveket, illetve mágneskártyás beléptető rendszereket ujjlenyomat-, retinaminta-, vagy más hasonló, valamely egyedi testi jellemzőnk lenyomatát tartalmazó biometrikus azonosító rendszerre cserélje. A jogi szakértő szerint az ilyen rendszer számos adatvédelmi kérdést vet fel.

Elég csak a nagy értékű raktárkészlettel rendelkező cégekre, galériákra, pénzintézetekre, vagy olyan vállalatokra gondolni, ahol a szerverszoba védelme fokozott körültekintést igényel. Dr. Párkányi Rita, a KCG Partners jogi szakértője szerint az ilyen biometrikus azonosítással működő rendszerek számos adatvédelmi kérdést vetnek fel.

Az új adatvédelmi rendelettel, a GDPR-ral való összhang megteremtése érdekében több más ágazati jogszabállyal együtt a Munka Törvénykönyve (Mt.) módosítása is szükségessé vált. Az Mt. – összhangban a biometrikus adatok fokozott védelmének igényével – meghatározza azokat a kivételes esetköröket és feltételeket, amelyek fennállása esetén a munkáltató a munkavállaló biometrikus adatait kezelheti.

Mik azok a biometrikus adatok?

A GDPR alapján biometrikus adat minden olyan – alapvetően biológiai – jellegzetesség, amely egyedülálló az érintett természetes személy vonatkozásában, sajátos technikai eljárás útján mérhető, és lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását. Ezek alapján

biometrikus adatnak tekinthető például a hang, ujj- és tenyérlenyomat, retinaminta, vagy az adott egyénre jellemző jellegzetes járás vagy beszéd is, extrémebb példaként pedig a test vagy az arc hőtérképe, vagy akár a fül geometriája is.

Legal Fest 2019 - Megnyílt a Priority Line

Állj be még ma a Legal Fest Priority Line-ba, és nem csak első kézből fogod megkapni az infókat, hanem meglepetéssel is várunk majd a helyszínen!

A biometrikus adatok fokozott védelmének indokát az adja, hogy egyaránt jelent az egyénre vonatkozó időtálló információt, és jelent kapcsolatot is az egyén és az információ között (pl. DNS-minta), az érintett magánszférájára ezáltal erős hatást gyakorolva.

Biometrikus azonosítás a munkahelyen

A GDPR főszabály szerint tiltja a természetes személyek egyedi azonosítását célzó biometrikus adatok kezelését. Az adatkezelési tilalomtól való eltérés megengedhető azonban, ha erről az uniós vagy tagállami jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor, így például a foglalkoztatási jog és a szociális védelmi jog területén.

A Munka Törvénykönyvének 2019. tavaszi módosítása, a GDPR-ral összhangban, meghatározza azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató a munkavállalók biometrikus adatait kezelheti. A törvény szerint erre kizárólag „valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor”, amennyiben a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy valamely más törvényben védett érdek súlyos vagy tömeges sérelmének veszélyével járna.

A módosítás példálózó felsorolást is ad arra nézve, hogy mely „törvényben védett érdek” esetén lehet jogszerű a biometrikus adatok kezelése, amennyiben az adatkezelés egyéb feltételei fennállnak. Így például egyes minősített adatok védelme; lőfegyver/robbanóanyag őrzése; mérgező vagy veszélyes vegyi/biológiai anyagok őrzése; nukleáris anyagok őrzése; különösen nagy, ötvenmillió-egy forint összeget meghaladó vagyoni érték védelme ennek minősülhet.

Ez alapján tehát jogszerű lehet egy kórház, nagy értékű raktárkészlettel, vagy gépparkkal működő cég által bevezetett biometrikus adatkezelés. Mindazonáltal e cégek biometrikus adatkezelése is kizárólag addig tekinthető jogszerűnek, ameddig az valamely dologhoz vagy adathoz, elzárt területhez (pl. raktár, széf, galéria, kórház fertőz osztálya stb.) történő jogosulatlan hozzáférés megakadályozását célozza.

A munkavállalók pontos belépési és kilépési idejének, a belépések gyakoriságának folyamatos megfigyelése nem lehet indokolt,

amennyiben azt más célra, például a munkavállalók teljesítményének értékelésére is használják.

Mit mérlegeljen a munkáltató?

A biometrikus adatok kezelésének jogalapja a munkáltató jogos érdeke (a fenti példákból kiindulva az, hogy védeni akarja raktárkészletét, szerverét, festményeit stb.). Vagyis arról elegendő tájékoztatni a munkavállalókat, a munkavállalók hozzájárulása azonban nem szükséges a rendszer bevezetéséhez.

A biometrikus azonosítórendszer alkalmazása esetén azonban a munkáltatónak ún. érdekmérlegelési tesztet kell végeznie, melynek során többek között mérlegelni kell, hogy a biometrikus adatkezelés alkalmazása nem váltható-e ki más, kevésbé drasztikus azonosítási módszerrel, vagy akár a biometrikus azonosító rendszerek között van-e olyan megoldás, mely az egyén magánszférájába kisebb beavatkozással jár.

Végezetül arra is érdemes felhívni a figyelmet, hogy amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek az adatkezelést megelőzően ún. adatvédelmi hatásvizsgálatot is kell végeznie.

A NAIH által korábban közzétett jegyzék szerint ilyen adatkezelési műveletnek minősül, ha munkavállalók egyedi azonosítását célzó biometrikus adatának kezelése a munkavállalók módszeres megfigyelésére irányul (pl. az ujjlenyomat azonosítással ellátott belépőkártya alapján követhető, hogy a munkavállaló mikor, hol található a munkáltató épületében).

Jegyzetek

A kép forrása itt.

Ez a cikk a KCG Partners Ügyvédi Társulás korábbi írásának újraközölt változata.

Dr. Párkányi Rita

Rita fő szakterülete a munkajog és az adatvédelem, a társasági jog, az M&A, valamint a peres és alternatív vitarendezési eljárások. Kiterjedt tapasztalatokkal rendelkezik a kereskedelmi jogvitákban, a kártérítési és munkaügyi perekben. 

A KCG Partners Ügyvédi Társulás azonos értékrendet képviselő, elhivatott ügyvédek együttműködésének az eredménye, akik őszintén hisznek abban, hogy az emberi tényező a legfontosabb érték. Munkatársaink alkotják együttműködésünk motorját, és jelentik közös sikereink kulcsát. Tapasztalatunkat és szakmai tudásunkat teljes elkötelezettséggel állítjuk ügyfeleink szolgálatába. Újító megoldásokkal feszegetjük a határokat, aktív szerepet vállalva az élő jog alakításában, ezzel is támogatva ügyfeleinket az üzleti sikerek elérésében. Célunk, hogy alakítsuk és vezessük a magyar jogi piacot, szakterületeinken piacvezető ügyvédi irodák legyünk.

*** KCG and Partners logo A Law in Practice rovat támogatója a KCG Partners

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.