Retina, hang, írisz, arc, tenyér, ujj-és véna lenyomat. Hogy mi a közös? Valamennyi olyan testi, fiziológiai vagy viselkedési jellemzőnk, amely lehetővé teszi biometrikus azonosításunkat. Népszerűsége nem véletlenül növekszik, hiszen lehetőséget nyújt számunkra, hogy saját biológiai jegyeinket használjuk önmagunk hitelesítésére. A biometrikus azonosításnak számtalan egyéb előnye is van: meglehetősen gyors, precíz, pontos és megbízható. Ténylegesen az adott személyt azonosítja, és nem közvetett jellemzőket vizsgál.
Nem lehet kérdés, hogy biometrikus adatunk személyes adat, méghozzá olyan különleges személyes adat, amelynek kezelése az általános adatvédelmi rendelet főszabálya szerint – még az abban foglalt jogalapok fennállása mellett is – tilos.
„A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.”
A GDPR 9. cikk (2) bekezdése azonban meghatároz olyan feltételeket, amelyek fennállása esetén jogszerűvé válhat a biometrikus azonosítás és adatkezelés, emellett a (4) bekezdés kimondja:
„A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.”
Magyarországon a munka törvénykönyvének 2019. tavaszi módosítása –az általános adatvédelmi rendelettel összhangban -meghatározta azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató a munkavállalók biometrikus adatát az érintett azonosítása céljából kezelheti. Munkaadónk mindezt akkor teheti meg, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
- a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
- törvényben védett jelentős érdek
súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.
A jogszabály szövege példálózó felsorolást ad arra nézve, hogy mely „törvényben védett érdek” esetén lehet jogszerű a biometrikus adatok kezelése, amennyiben az adatkezelés egyéb feltételei fennállnak.
Így például a legalább „bizalmas” minősített adatok védelme; lőfegyver/robbanóanyag őrzése; mérgező vagy veszélyes vegyi/biológiai anyagok őrzése; nukleáris anyagok őrzése; különösen nagy, ötvenmillió-egy forint összeget meghaladó vagyoni érték védelme ennek minősülhet.
Az Mt. szabályai tehát – meghatározott körben – ugyan lehetőséget adnak a munkavállaló biometrikus azonosítására, azonban ez nem jár egyértelmű felhatalmazással.
Érdemes megemlíteni azonban a NAIH 2019/1074 számú tájékoztatójában szereplő megfogalmazást: a biometrikus rendszerek alkalmazása nem elengedhetetlen és nem a legkíméletesebb eszköz a munkavállalók ellenőrzésénél.
Ennek megfelelően
A MUNKAVÁLLALÓK BE- ÉS KILÉPÉSI IDEJÉNEK, A BELÉPÉSEK GYAKORISÁGÁNAK FOLYAMATOS MEGFIGYELÉSE NEM LEHET INDOKOLT,
amennyiben azt más célra, például a munkavállalók teljesítményének értékelésére is használják.
Amennyiben tehát egy munkáltató biometrikus azonosítást kíván bevezetni, először meg kell határoznia annak célját, majd jogalapját. Ez utóbbi az Mt-ben meghatározott esetkör szerinti munkáltatói (avagy harmadik fél) jogos érdek.
Fontos ugyanakkor, hogy a NAIH a már említett tájékoztatójában a hozzájárulást, mint jogalapot egyértelműen kizárja, ugyanis:
„…erős függelmi viszonyokban a hozzájárulás jogcím főszabály szerint nem alkalmazható a személyes adatok kezelésére…”.
Meghatározott cél és meglévő jogalap mellett is lényeges elem, hogy a különleges személyes adatok kezelésével kapcsolatban a GDPR jelentős többletkötelezettségeket fogalmaz meg, például kötelező:
- előzetes adatvédelmi hatásvizsgálat,
- érdekmérlegelési teszt elvégzése (melynek során többek között vizsgálni kell, hogy a biometrikus adatkezelés alkalmazása nem váltható-e ki más, kevésbé drasztikus azonosítási módszerrel, vagy akár a biometrikus azonosító rendszerek között van-e olyan megoldás, mely az egyén magánszférájába kisebb beavatkozással jár.)
- adatvédelmi tisztviselő kinevezése,
- a megfelelő magas szintű védelmet garantáló szervezeti és működési szabályok megléte.
Amennyiben kérdés merült fel Önben a munkahelyi biometrikus azonosítás lehetőségeivel és szabályozásával kapcsolatban, forduljon hozzám bizalommal.