Biometrikus adatkezelés a munkahelyeken

Biometrikus adatkezelés

Az általános adatvédelmi rendelet (GDPR) alkalmazásának kezdete óta viszonylag sok idő telt el, ami alatt számos ponton megszilárdult az adatvédelmi gyakorlat, míg más területeken, például az ágazati szabályozásnál továbbra is sok a kérdőjel. Mindenesetre a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nemrég tájékoztatást nyújtott egy meglehetősen innovatív területet, a biometrikus adatkezelést érintő kérdésben.

A megkeresés – lényegét tekintve – arra irányult, hogy az általános adatvédelmi rendelet alapján milyen jogalappal írhatja elő a munkáltató a munkavállalók kötelező biometrikus azonosítását a munkahelyi belépéssel kapcsolatban?

Mielőtt azonban bemutatnám az aktuális választ, érdemes röviden áttekinteni mindazt, amit a kérdésben eddig is tudni lehetett. Az adatvédelmi fogalmak értelmezése kapcsán a NAIH gyakorlatában elsődlegesen irányadók az uniós Adatvédelmi Munkacsoport munkaanyagai, véleményei. A munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre, innen kapták a “29-es munkacsoport ” elnevezést.

A biometrikus adat fogalmát körülíró, 4/2007-es WP136 számú véleményük szerint a biometrikus adatokat meghatározhatjuk biológiai jellegzetességekként, pszichológiai sajátosságokként, életvitelként vagy olyan ismétlődő tevékenységekként, amelyek során e jellegzetességek és/vagy tevékenységek egyaránt egyedülállóak az érintett egyén vonatkozásában, továbbá mérhetőek, még ha a gyakorlatban a technikai mérésükhöz alkalmazott mintákat bizonyos fokú valószínűség jellemzi is.

Egy későbbi, 3/2012-es, WP193 számú véleményük alapján a biometrikus technikáknak három kategóriájuk van (amelyből az első kettő a két fő kategória):

1) Vannak fizikai és fiziológiai alapú technikák, amelyek a személyek fizikai és fiziológiai jellemzőit vizsgálják, ezek közé tartozik az ujjlenyomat-ellenőrzés, az ujjkép-elemzés, az íriszfelismerés, a retinaelemzés, az arcfelismerés, a kézkörvonal-minták, a fülforma-felismerés, a testszagészlelés, a hangfelismerés, a DNS-mintázat elemzése és a verejtékpórus-elemzés.

2) Másrészről vannak viselkedésen alapuló technikák, amelyek a személyek viselkedését mérik, ezek közé tartozik a kézzel írt aláírás ellenőrzése, a gépírás elemzése, a járás elemzése, a járásmód vagy a mozgás módja, a valamilyen tudatalatti gondolatra, például hazugságra utaló mintázatok.

3) Végezetül vannak a pszichológiai alapú technikák. Ide tartozik a konkrét helyzetekre adott válasz mérése vagy a valamilyen pszichológiai profilnak való megfelelést mérő speciális tesztek.

Az ilyen adatok munkáltató általi kezelésére ez a vélemény úgy tekintett, hogy bár kifejezetten vélelmezhető, hogy a munkáltató és a munkavállaló között általában fennálló egyenlőtlen helyzet miatt a hozzájárulás határozottsága megkérdőjelezhető, a munkacsoport nem zárja ki teljesen: „amennyiben kellően garantált, hogy a hozzájárulás valóban önkéntes.”

Javasolták, hogy hozzájárulás kérése helyett a munkáltatók megvizsgálhatnák, hogy jogszerű cél érdekében, igazolhatóan szükséges-e a munkavállalók biometrikus adatainak használata, és mérlegelhetnék ennek a szükségszerűségét a munkavállalók alapvető jogai és szabadsága szempontjából.

Azokban az esetekben, amelyekben a szükségszerűség megfelelően indokolható, az ilyen feldolgozás jogalapja alapulhat az adatkezelő jogszerű érdekén, ahogyan azt a 95/46/EK irányelv 7. cikkének f) pontja meghatározza. A munkáltatónak még ezzel együtt is mindig a legkisebb beavatkozással járó módszerre kell törekednie azáltal, hogy lehetőség szerint nem biometrikus eljárást választ.

A 2012-es vélemény szerint, ha a magas kockázatú területek biztonságát kifejezetten olyan mechanizmussal kell biztosítani, amely képes pontosan ellenőrizni, hogy a személyek jogosultak-e belépni ezekre a területekre, akkor egy biometrikus rendszer használata az adatkezelő jogszerű érdekét szolgálhatja, de még ebben az esetben is alkalmazni kell az arányosság és az adatminimalizálás elvét.

A 6/2014-es WP217 számú véleményük külön kitért arra is, hogy a munkacsoport szerint a biometrika alkalmazása a tulajdonra vagy személyekre vonatkozó általános biztonsági követelmények esetében – általános szabályként – olyan jogszerű érdeknek tekinthető, amellyel szemben elsőbbséget élveznek az érintett érdekei vagy alapvető jogai és szabadságai.

Másrészt a biometrikus adatok, úgymint az ujjlenyomat- és/vagy íriszazonosítás, a magas kockázatú helyek biztonságának biztosítására is használhatók, például a veszélyes vírusokat kutató laboratóriumokban, feltéve, hogy az adatkezelő konkrét bizonyítékkal támasztotta alá a jelentős kockázatot.

A véleményben szereplő példában egy tudományos kutatólaboratórium, amely halálos vírusokkal dolgozik, biometrikus beléptetési rendszert használ, mivel ha ezek a vírusok kiszabadulnak a laboratóriumból, igen nagy kockázatot jelentenének a közegészségügyre. Megfelelő biztosítékokat alkalmaznak, ideértve azt, hogy a biometrikus adatokat nem egy központi rendszerben, hanem a munkavállalók személyes beléptetőkártyáin tárolják. Még ha az adatok tágabb értelemben érzékenynek bizonyulnak is, a feldolgozásuk közérdeket szolgál.

Mindez azért is különösen fontos, mert a véleményben az is olvasható, hogy a biometrikus adatokat és a genetikai információkat a Bizottság adatvédelmi rendeletre irányuló javaslatában és a vele együtt olvasandó, a LIBE bizottság által javasolt módosításokban különleges adatnak tekintik. A különleges adatok kezelésére pedig általában szigorúbb adatkezelési szabályok vonatkoznak.

Lényegében ilyen előzményekkel érkeztünk el a Nemzeti Adatvédelmi és Információszabadság Hatóság 2016-ben összeállított tájékoztatójához, amely a munkahelyi adatkezelések alapvető követelményeiről szólt, mindössze néhány hónappal a GDPR szövegének elfogadása után. Mindezt azért hangsúlyozom, mert a biometrikus adatkezelés elvi alapjai ekkor már legalább kilenc évesek voltak, amit négy évvel korábban konkretizáltak, viszont még szűk két év volt hátra a GDPR alkalmazandóságának határidejéig.

Ebben a dokumentumban külön fejezet foglalkozott a biometrikus rendszerek alkalmazhatóságával, alapvetően a teljes témakört a 3/2012-es Adatvédelmi Munkacsoport meglátásaira építve. Az ott megfogalmazott követelmények közül a tájékoztatóban az arányosság szerepelt kiemelten, mint ami az egyik legfontosabb kérdése az ilyen rendszerekkel együtt járó adatkezeléseknek.

A 2016-os tájékoztató szerint egy biometrikusrendszer megfelelőségének értékelése és az arányosság elemzése során előzetesen az alábbiakat kell mérlegelni:

  • a rendszer szükséges-e a meghatározott igény kielégítéséhez, azaz használata lengedhetetlen-e ehhez, vagy inkább annak legkényelmesebb vagy legköltséghatékonyabb módja,
  • a rendszer valószínűleg elég hatékony lesz-e az adott igény kielégítésében, tekintettel a használni tervezett biometrikus technológia sajátos jellemzőire,
  • arányos-e az elvárt előnyökkel, ha a rendszer miatt sérül a magánélet védelme. Ha az előnyök viszonylag kisebbek, például kényelmesebb az eljárás vagy kismértékű költségmegtakarítás érhető el, akkor nem helyénvaló, ha sérül a magánélet védelme,
  • annak megfontolása, hogy a magánéletbe kisebb mértékben beavatkozó módszerek elérhetnék-e a kívánt célt.

“Az arányosság elvének egyik központi kérdése, hogy van-e alternatívája a biometrikus rendszer alkalmazásának. Az adatkezelő minden esetben köteles ellenőrizni, hogy egyes alternatív intézkedések lehetnének-e a kitűzött célra tekintettel ugyanolyan hatékonyak, de kisebb beavatkozással járók, és köteles ezeket az alternatívákat választani.”

Ilyen előzmények vezettek tehát a pár nappal ezelőtti tájékoztató kibocsátásához, amiben – a fentiek ismeretében – túl sok újdonság nem szerepel, sőt konkrétan úgy fogalmaz, hogy általánosságban a munkahelyi adatkezelések, így a munkavállalók biometrikus adatai esetében a joggyakorlat nem változik a tekintetben 2018. május 25-öt követően sem, hogy erős függelmi viszonyokban a hozzájárulás jogcím főszabály szerint nem alkalmazható a személyes adatok kezelésére.

Az érintett hozzájárulása ezért tipikusan nem képezheti az adatkezelés érvényes jogalapját erős függelmi jogviszonyokban (máskülönben ez nem biometrikus adatkezelés specifikus szabály). Ugyanezen okból a munkaszerződésbe vagy kollektív szerződésbe foglalt biometrikus adatszolgáltatási kötelezettség sem jogszerű, és egyébként ez az adatkezelés a munkaszerződés teljesítéséhez nem is feltétlenül szükséges.

“Egyes kivételes esetekben azonban, ha a hozzájárulás szabadon és következményektől mentesen megtagadható, továbbá ha a hozzájárulás nem a munkaviszony fenntartásának feltétele, akkor az adatkezelés jogalapjául az érintett hozzájárulása is szolgálhat. Ha a hozzájárulás nélkül az érintett munkaviszonya megszűnik vagy terhesebbé válik, valamely előnytől elesik, vagy egyéb hátrányt szenved el, akkor a hozzájárulás érvénytelen az akaratképzés szabadságának hiánya miatt.”

A hozzájárulás helyett a tájékoztató szerint – amennyiben tehát nem a fenti, kivételes esetről van szó –  az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés lehet a megfelelő jogalap. De ebben az esetben is fontos szempont, hogy az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges-e az adatkezelés, továbbá az adatkezelés arányossága fennáll-e, amit a munkáltatónak kell megfelelően bizonyítania és dokumentálnia egy érdekmérlegelési tesztben.

Az érdekmérlegelés alapján csak akkor alkalmazható a jogos érdek jogalap az adatkezelésre, ha az érintettek jogai és szabadságai az adott esetben nem élveznek elsőbbséget, és ennek világos és valós oka megfelelően bemutatásra és dokumentálásra kerül. Az arányosság kérdéskörében ezt követően szó szerint idézi a 2016-os tájékoztatóban olvasható korábbi javaslatokat, valamint a 6/2014-es véleményben szereplő példát a laboratóriumról.

Az egyértelműnek tűnő helyzetet azonban bonyolítja a GDPR 9. cikke, mivel a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok kezelése főszabály szerint tilos. Ezt a tilalmat következő bekezdés a kivételekkel gyorsan fel is oldja, azonban a legkézenfekvőbb lehetőséget, vagyis az érintett hozzájárulását munkaviszonyban – a fentiek miatt – csak kivételesen (ami inkább csak elméleti kivétel, a gyakorlatban aligha életszerű) lehet megfelelő jogalapnak tekinteni.

Azt, hogy konkrétan az adott esetben mi valósul meg (milyen kivétel jelölhető meg jogalapnak), csak az adatkezelő tudja az eset összes körülménye és az általa megvalósítani kívánt cél ismeretében eldönteni (pl. GDPR 9. cikk (2) b), g), h) stb.). Ezt segíti, hogy a különleges személyes adatok kezelésénél kötelező az előzetes adatvédelmi hatásvizsgálat, adatvédelmi tisztviselő kinevezése és a megfelelő magas szintű védelmet garantáló szervezeti és működési szabályok kialakítása és betartása.

Összességében tehát a biometrikus adatkezelésre vonatkozó legfontosabb fogalmak, szabályok és elvek már évtizedes távlatban értelmezhetők és vizsgálhatók. A GDPR ebben a szegmensben apróbb kiigazításokat hozott és jelentősebb nóvumot csak az adatkezelőket egyébként is érintő új kötelezettségek és a “megfelelő jogalap megtalálása” kapcsán jelent a biometrikus adatkezelés területén.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: