skip to Main Content

Lengyelország: A munkaidő nyilvántartására nem használható biometrikus adat

Nemrég számoltunk be róla mi is, hogy a holland adatvédelmi hatóság 725.000 euró bírságot szabott ki egy meg nem nevezett szervezetre, amely jogellenesen kezelte a munkavállalói biometrikus adatát (ujjlenyomat).

A Lengyel Adatvédelmi Hatóság (UODO) 2020. május 11-i közleményét jelentetett meg ugyanebben a témában, melyben arra a megállapításra jutnak ők is, hogy nem használható a dolgozók biometrikus adata a munkaidejük nyilvántartására. A genetikai és biometrikus adatok a személyes adatok különleges kategóriájába esnek, ezek kezeléséről a GDPR 9. cikkének (1) bekezdése rendelkezik: „[…] a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok […] kezelése tilos.” Látható tehát, hogy általánosságban a GDPR tiltja a különleges adatok kezelését. Ugyanezen cikk (2) bekezdése rendelkezik a kivételekről, amelyek teljesülése esetén a különleges adat kezelhető az általános tiltás ellenére.

Megállapítható tehát, hogy a különleges adatok jogszerű kezeléséhez szükséges egy 6. cikk szerinti jogalap, valamint emellé a 9. cikk (2) bekezdésében szereplő valamely kivétel, melyek együtt adják a különleges adatok kezelésének jogalapját.

A GDPR 9. cikk (2) bekezdés b) pontja szerint a különleges adatok kezelése jogszerű, amennyiben az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi.

Munkajogi kérdésekben azonban nem elég csupán a GDPR szabályait figyelembe venni, mivel a tagállami szabályozás is tartalmazhat releváns rendelkezéseket, a foglalkoztatással összefüggésben egyébként a GDPR 88. cikke kifejezetten engedi az eltérést. A lengyel munkaügyi törvény 22. cikke meghatározza, hogy a különleges személyes adatok a munkaügyi szférában csak akkor kezelhetők, ha:

• az állásra jelentkező, vagy dolgozó beleegyezését adja, és az adatközlést ő kezdeményezi, illetve,
• az adatközlés elengedhetetlenül szükséges különösen fontos információhoz való hozzáféréshez, aminek közlése az érintettnek sérülést okozhat, illetve amennyiben különleges védelmet igénylő helyiségekhez való hozzáféréshez szükséges.

Ez alapján két variáció lehetséges, amikor ilyen jellegű adatok kezelhetők. Az első, amikor az érintett hozzájárulását adja biometrikus adatainak kezeléséhez. Ez a GDPR szerint alapesetben is csak akkor történhet, ha önkéntes, konkrét, részletes tájékoztatáson alapul és egyértelmű. A hozzájárulás viszont nem használható jogalapként, ha az érintett és az adatkezelő alá-fölérendeltségi viszonyban vannak, márpedig egy munkaadó/alkalmazott viszonyban nem lehet mellérendeltségről beszélni. Érdemes még hozzátenni, hogy álláspontjuk szerint ilyen esetekben nem csak az alkalmazott hozzájárulása szükséges, hanem neki is kell kezdeményeznie a különleges adatok kezelését.

A második eset is problémás, ugyanis ebben az esetben a munkaadó megszegné a GDPR 5. cikke szerinti alapelveket, így különösen a jogszerűség, célhoz kötöttség, adattakarékosság elveit, mivel képtelen lenne igazolni a biometrikus adat kezelésének jogalapját, illetve szükségességét.

Bár a hatóság nem tér ki rá, az ilyen jellegű adatkezelés az arányosság és szükségesség elvével is ellentétes, hiszen végtelen számú olyan adatkezelési módszer van, mely kevésbé sérti az érintett információs önrendelkezési jogát, mégis alkalmas a cél elérésére.

A közlemény továbbá kitér rá, hogy a munkaadónak más eszközei is vannak a dolgozók jelenlétének rögzítésére, mint például jelenléti ívek, személyi igazolványok, vagy azonosítókártyák.

Magyarországon a biometrikus adatok munkáltatók általi kezelését az Mt. 11. § (1) bekezdése szabályozza, mely szerint a munkavállalók biometrikus adatai azonosítási célú kezelése akkor jogszerű, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely

a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek

súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

Back To Top