Adatvédelmi vita az ujjlenyomatok használatáról egy börtönben

január 3, 2021
Cikkek, GDPR hírek

Egy 2020 októberében lezárult vizsgálatot követően az Ír Adatvédelmi Hatóság (DPC) megállapította, hogy a büntetésvégrehajtás illegálisan kényszerítette dolgozóit ujjlenyomatuk használatára a munkájuk során. Az ujjlenyomatok használatával már több európai hatóság is foglalkozott egyébként, korábban a holland és a lengyel hatóság bírsággal végződött ügyeiről számoltunk be.

Az ír büntetésvégrehajtás összesen 13 börtönt üzemeltet országszerte. Egyelőre két börtönben vezették be azt a gyakorlatot, hogy a biztonsági kapukat az őrök az ujjlenyomatuk segítségével nyithatják. Az eljárásrend sikeressége esetén a rendszert az összes börtönben bevezették volna.

A panaszt a gyakorlattal szemben a Castlerea börtön egyik alkalmazottja tette, első alkalommal az intézmény vezetőségének és a szakszervezetének. Állítása szerint a biometrikus adatainak ilyen módú felhasználása a GDPR rendelkezéseibe ütközött.

Panaszára azt a választ kapta, hogy a rendszer bevezetésének alapja a szakszervezet és a vezetőség közti megállapodás volt, egyúttal utasították a rendszer használatára, ellenkező esetben fegyelmi eljárást helyeztek kilátásba. A panaszos ezt követően fordult a DPC-hez, akinek részletes vallomást tett. A Hatóság ezt követően megvizsgálta az ügyet és döntést hozott.

A Hatóság 17 oldalas döntésében megállapítja, hogy az Ír Büntetésvégrehajtási Szolgálat (IPS) nem rendelkezett megfelelő jogalappal a biometrikus adatok kezelésére, ezzel megsértve a GDPR 6. és 9. cikkét.

A döntést követően a panasztevő őrnek az IPS lehetőséget biztosított, hogy ujjlenyomata megadása nélkül kezelhesse a biztonsági kapukat, ez a lehetőség azonban a többi őrre nem terjed ki.

A vizsgálat során az IPS azzal érvelt, hogy nem követtek el törvénysértést, mivel munkavállalóira a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv, továbbiakban: Bűnügyi irányelv) vonatkozik, nem pedig a GDPR. Ezt az érvet a Hatóság természetesen elutasította, különös tekintettel arra, hogy jelen esetben a munkavállalói adatok kezeléséről, nem pedig bűnüldözési célú adatkezelésről.

Az IPS ennek ellenére látszólag nem ismeri el, hogy az elmúlt 18 hónap munkája a DPC részéről „hatósági vizsgálat” lett volna. A döntés ellen 28 napon belül fellebbezés nyújtható be, ezt a szándékát azóta az IPS és az Igazságügyminiszter Hivatala is jelezte.

Az első ujjlenyomatos rendszert még 2015-ben helyezték használatba a Cork-i börtönben – 3 évvel a GDPR alkalmazása előtt. A Büntetésvégrehajtás tervei szerint a rendszer használatát mind a 13 működő börtönre kiterjesztette volna. A Cork-i börtönben működő rendszer ára 1,3 millió font (~500M Ft) volt, így a teljes rendszer becsült ára mintegy 17 millió fontra (~6,5 milliárd Ft) rúgott volna.

Biometrikus adatkezelés Bűnügyi irányelv GDPR 5. cikk GDPR 6. cikk GDPR 9. cikk Írország Különleges adat Munkahelyi adatkezelés Munkavégzés Munkaviszony Relevancia érték: 3

A callcenterekben végzett hívásrögzítés adatvédelmi kérdései

A TikTok adatközpontot készül felállítani Írországban

Arcfelismerővel a koronavírus ellen