Bírság munkavállalók ujjlenyomatának indokolatlan kezeléséért

május 15, 2020
Cikkek, GDPR bírság

A holland adatvédelmi hatóság (DPA) 2020. április 30-én hozta nyilvánosságra határozatát, amelyben 725.000 euró bírságot szabott ki egy meg nem nevezett szervezetre, amely jogellenesen kezelte a munkavállalói ujjlenyomatát.

Az ujjlenyomat a GDPR értelmében különleges, biometrikus személyes adatnak minősül, melynek kezelése fő szabály szerint tiltott. Különleges adatok kezelése esetén az adatkezelőnek szüksége van egy 6. cikk szerinti jogalapra, valamint a 9. cikk (2) bekezdésében található kivételek valamelyikére, azonban a jelen ügyben a DPA álláspontja szerint nem volt olyan kivétel, mely az adatkezelést megalapozhatta volna. Az adatkezelő ellenben a munkavállalók hozzájárulására hivatkozott, mint jogalap.

A biometrikus adatokat azért szükséges a GDPR alapján különös védelemben részesíteni, mert ezek a természetes személyek olyan „adatai, jellemzői”, melyek lecserélésére nincs lehetőség. Amennyiben valakinek az ujjlenyomata, vagy az arcáról készült digitális lenyomata kompromittálódik, akkor nincs lehetősége újat kérni, mint az e-mail fiókja jelszava esetén. Így ha valakit sérelem ér, az egész életében negatív hatással lehet rá. Mielőtt a biometrikus adataik kezelésére a különböző szolgáltatóknak, appoknak hozzájárulást adnak, ezt mindig vegyék figyelembe olvasóink is!

Az ujjlenyomatok kezelésének célja a jelenléti ív vezetése, illetve a munkavállalói jelenlét ellenőrzése volt, melyek azonban nem indokolják ilyen kényes adatok kezelését, tekintve, hogy ez megoldható sokkal enyhébb eszközökkel is. Az ujjlenyomat ezen célokból történő kezelése ellentétes a célhoz kötöttség és az adattakarékosság elvével is, amellett, hogy teljesen indokolatlan. Még ha önkéntes alapon, hozzájárulás alapján néhány munkavállaló esetén jogszerű is lenne az ujjlenyomatok kezelése, akkor is szükséges biztosítani alternatív lehetőségeket is azoknak, akik ezzel nem kívánnak élni.

Az ujjlenyomat kezelésére a DPA szerint az érintettek hozzájárulása, vagy az adhatott volna alapot, ha valamilyen adatbiztonsági célból indokolt, és az eset összes körülménye alapján elkészített hatásvizsgálatban az adatkezelő azt állapítja meg, hogy ez arányos és szükséges intézkedésnek minősül.

A probléma azonban az volt, hogy az adatkezelő nem tudta bizonyítani megfelelően még azt sem, hogy a munkavállalók valóban hozzájárultak az ujjlenyomatuk kezeléséhez, bár a DPA hangsúlyozza, hogy a szervezet egyébként sem hivatkozhatott volna az adatkezeléshez a munkavállalói hozzájárulására. Ennek elsődleges oka, hogy az adatkezeléshez adott hozzájárulás a munkaviszonyban a felek közötti alá-fölérendeltségi viszony miatt nem tekinthető önkéntesnek általánosságban, hiszen a munkáltató könnyen tud nyomást gyakorolni a munkavállaló, akik féltve az állásukat is, nem mernek ellentmondani. Ezen túl az is viszonylag sokat nyomott a latba, hogy a munkavállalók elmondták, hogy az adatkezelés egyértelmű kényszer volt, önkéntességnek a lehetősége sem merült fel.

A munkahelyi kamerás megfigyelés szabályai

Anglia: 400 font bírság a városi tanács alkalmazottjának

Adatvédelem a köznevelésben, a gyermekek adatainak kezelése