A GDPR „saláta”

Feltét-variációk:
I. Biometrikus adatok

A biometrikus azonosítás nem mai találmány. Az ősi Babilonban üzletkötés során a felek agyagtáblákon használták ujjlenyomataikat. Az ősi Kínában agyagpecséteken találták ujjak nyomait, a szerződéseket ujjlenyomatukkal hitelesítették a felek. Kínai tárgyaláson a lopás bizonyítékául kéznyomatot használtak, és több, a 14. századi Perzsiából származó hivatalos kormányzati papíron is ujjnyomokat, lenyomatokat találtak. Egy perzsa hivatalnok, aki orvos is volt, pedig kijelentette: nincs két megegyező ujjlenyomat.A GDPR fogalomhasználatában a biometrikus adat egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását. Ilyen adat lehet például az arckép, ujj –vagy tenyérlenyomat, íriszkép, retina érmintázata, vénahálózat térképe (statikus biometrikus azonosítók), illetve viselkedési jellemzők is minősülhetnek biometrikus adatnak, így például: a járásminta, gépírásminta, dinamikus aláírás (dinamikus biometrikus azonosítók).

A munkavállalók biometrikus azonosításának kérdésével már a 95/46/EK irányelv (Adatvédelmi Irányelv) 29-es cikke szerint létrehozott Adatvédelmi Munkacsoport (29-es Munkacsoport) is foglalkozott. A 29-es Munkacsoport kimondta, hogy biometrikus adat kizárólag akkor kezelhető, ha az megfelelő, releváns és nem túlzott mértékű. A biometrikus adatok kezelésének szükségesnek, arányosnak kell lennie, illetve további feltétel, hogy a kívánt célt az adatkezelő a magánszférát kevésbé korlátozó intézkedéssel egyébként nem tudná elérni.Ennek megfelelően nem minősül jogszerűnek az a munkáltatói gyakorlat, melynek keretében a biometrikus adatok felhasználására munkaidő-nyilvántartás vezetésével összefüggésben kerül sor, hiszen erre egyéb technológiák is a munkáltató rendelkezésére állnak. Ugyancsak kétséges a jogszerűsége azon gyakorlatnak, mely során a munkáltató olyan pénztárgépet helyez üzembe, amely a munkavállaló azonosítását annak ujjlenyomata alapján végzi el.

A GDPR salátatv. a munkavállaló biometrikus adatainak kezelésével kapcsolatos részletes és a személyes adat speciális minőségére tekintettel kifejezetten szigorú szabályokat vezet át a Munka törvénykönyvébe. A biometrikus adatok ezen fokozott védelmét az indokolja, hogy az előzőekben bemutatottak szerint azok az érintettre jellemző, őt azonosító, időtálló információk, ezáltal pedig az érintett magánszférájára is jelentős hatást képesek gyakorolni.

Rögzítésre került, hogy biometrikus adatok kezelésére kizárólag a munkavállaló azonosítása céljából valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor, amennyiben

  1. a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
  2. valamely más törvényben védett érdek súlyos vagy tömeges sérelmének veszélyével járna.

Az Mt. példálózó felsorolásban rögzíti továbbá azokat az eseteket, melyek a jelentős védett érdek körébe tartoznak:

  1. legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
  2. a lőfegyver, lőszer, robbanóanyag őrzéséhez,
  3. a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
  4. a nukleáris anyagok őrzéséhez,
  5. a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez fűződő érdek.

Abban az esetben, ha a munkáltató biometrikus adatokat is kezelni kíván, úgy az általános adatvédelmi szabályoknak való megfelelésen túl azt is igazolnia kell, hogy a biometrikus adatok kezelésére vonatkozó feltételek fennállnak.

Forrás: http://hplaw.hu