Lehet egy munkahelyen ujjlenyomatolvasó vagy vénaszkenner?

2020.02.24. 15:31

Az Európai Unióban és így Magyarországon is adatvédelmi kérdésekben a legalapvetőbb szabályokat az Áltatalános Adatvédelmi Rendelet (GDPR) adja meg 2018. májusa óta, így a biometrikus azonosító rendszerekre (ujjlenyomat, retina-, vénaszkenner, arcfelismerés) vonatkozó jogi előírásokat is meghatározza. A GDPR szerint természetes személyekre (így a munkavállalókra is) vonatkozó biometrikus adatok kezelése tilos, azonban lehetőséget teremt az uniós és a tagállami jognak arra, hogy ez alól az általános tiltás alól - kellő garanciák mellett - kivételeket hozhassanak létre. A jogi környezetet a Tuller Ügyvédi Iroda szakértői ismertetik.

Új technikai eszközök megjelenésével új igények is megjelentek, például számos vállalkozásnál annak az igénye, hogy digitalizálják azokat a nyilvántartásokat, amelyeket korábban papír alapon vezettek – fejtették ki a Tuller Ügyvédi Iroda szakértői.

Felmerül annak is az igénye, hogy vagyonvédelmi, vagy a munkavállaló ellenőrzésének okán alkalmazni lehessen a biometrikus azonosító rendszereket (ujjlenyomat, retina-, vénaszkenner, arcfelismerés).

Az Európai Unióban és így Magyarországon is adatvédelmi kérdésekben a legalapvetőbb szabályokat az Áltatalános Adatvédelmi Rendelet (GDPR) adja meg 2018. májusa óta, így a biometrikus azonosító rendszerekre vonatkozó jogi előírásokat is meghatározza. A biometrikus adatok természetesen személyes adatoknak minősülnek.

A GDPR szerint biometrikus adatnak minősül egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi, vagy megerősíti a természetes személy egyedi azonosítását, ilyen például ujjlenyomat olvasó, retina-, vénaszkenner vagy arcfelismerés útján nyert és tárolt adat.

A biometrikus adatok fokozott védelmet élveznek, mert ezen adatok alapján hosszú időn át teljesen konkrétan meghatározhatók az ilyen adatokat hordozó személyek.

Biometrikus azonosítás a munkahelyen

A GDPR szerint természetes személyekre (így a munkavállalókra is) vonatkozó biometrikus adatok kezelése tilos, azonban lehetőséget teremt az uniós és a tagállami jognak arra, hogy ez alól az általános tiltás alól kellő garanciák mellett kivételeket hozzhassanak létre.

Magyarország a fentiek betartása mellett a Munka Törvénykönyvében ad a munkáltatók részére lehetőséget a munkavállalók biometrikus adatainak felvételére, tárolására és kezelésére, azonban emellett kellő alapossággal meghatározza azt is, hogy biometrikus adat természetes személy azonosítása céljából milyen esetben kezelhető.

Munkáltató biometrikus adatot természetes személy azonosítása céljából akkor kezelhet „ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, avagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna."

Fenti megfogalmazás egyértelmű értelmezéséhez maga a Munka Törvénykönyve ad pontosítást, amikor is kimondja, hogy legalább „Bizalmas!" minősítési szintű minősített adatok védelméhez, lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, nukleáris anyagok őrzéséhez, vagy legalább ötvenmillió forint feletti vagyoni érték védelméhez fűződő érdek ad kellő indokot természetes személyek biometrikus adatainak kezeléséhez – emelték ki a Tuller Ügyvédi Iroda szakértői.

Mint a kifejtettekből látható, munkavállaló biometrikus adata a hozzájárulása nélkül csak Munka Törvénykönyvében meghatározott célokból kezelhető, azonban ebben az esetben is érdekmérlegelési tesztet kell végeznie a munkáltatónak.

Forrás: Lexar

A teszt elvégzése során pedig a munkáltatónak többek között meg kell vizsgálnia, hogy a biometrikus adatkezelés alkalmazása nem váltható-e ki más azonosítási módszerrel, vagy azt is, hogy a biometrikus azonosító rendszerek közt adott esetben melyik korlátozza legkevésbé az érintett jogait.

A munkavállaló hozzájárulásának jogi kérdései

Mind a GDPR, mind a magyar adatvédelmi szabályok lehetővé teszik, hogy az érintett hozzájárulásával kezelhetők legyenek a rá vonatkozó személyes adatokat, így a biometrikus adatok is. Az érintett hozzájárulásának azonban annak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie.

A Nemzeti Adatvédelmi- és Információszabadság Hatóság (NAIH) több állásfoglalásában is foglalkozott és úgy ítélte meg, hogy a hozzájárulás adatkezelés jogalapként csak abban az esetben megfelelő, ha valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn negatív következmény veszélye a hozzájárulás megtagadása esetén.

A megkövetelt önkéntesség azonban a NAIH álláspontja szerint a munkaviszonyban nem értelmezhető, mivel a munkáltató és a munkavállaló között alá-fölé rendeltségi viszony van, és a munkavállaló alappal tarthat attól, hogy vagyoni következményei lennének a hozzájárulása megtagadásának, akár el is bocsáthatnák.

A Tuller Ügyvédi Iroda szakértői végezetül hangsúlyozták: a munkáltatóknak kellő körültekintéssel kell eljárniuk a biometrikus azonosító rendszerek bevezetése okán, egyrészt az esetleges büntetések másrészt pedig a munkavállalók jogainak tiszteletben tartása érdekében.