Luba erandina biomeetriliste andmete töötlemiseks

Hiljuti määras Hollandi andmekaitseamet (AP) suure trahvi, nimelt 725,000 9 eurot, ettevõttele, kes skaneeris töötajate sõrmejälgi osalemise ja aja registreerimise osas. Biomeetrilised andmed, näiteks sõrmejälg, on spetsiaalsed isikuandmed GDPR artikli 9 tähenduses. Need on ainulaadsed omadused, mida on võimalik ühele inimesele kindlaks teha. Kuid need andmed sisaldavad sageli rohkem teavet, kui näiteks tuvastamiseks on vaja. Seetõttu kujutab nende töötlemine suuri riske inimeste põhiõiguste ja -vabaduste valdkonnas. Kui need andmed satuvad valedesse kätesse, võib see potentsiaalselt põhjustada korvamatut kahju. Biomeetrilised andmed on seetõttu hästi kaitstud ja nende töötlemine on GDPR-i artikli XNUMX kohaselt keelatud, kui selleks ei ole seaduses ette nähtud erandit. Sel juhul järeldas AP, et kõnealusel ettevõttel ei olnud õigust trahvisummale erand spetsiaalsete isikuandmete töötlemiseks.

Sõrmejäljest GDPR-i kontekstis ja ühe erandi kohta, nimelt vajadus, kirjutasime varem ühes oma ajaveebis: „Sõrmejälg rikub GDPR-i”. See ajaveeb keskendub muule alternatiivsele erandi alusele: luba. Kui tööandja kasutab oma ettevõttes biomeetrilisi andmeid, näiteks sõrmejälgi, siis kas eraelu puutumatuse tagamiseks piisab tema töötaja loal?

Luba erandina biomeetriliste andmete töötlemiseks

Loa all mõeldakse a konkreetne, informeeritud ja ühemõtteline tahte väljendus millega keegi aktsepteerib avalduse või üheselt mõistetava aktiivse tegevusega tema isikuandmete töötlemist vastavalt GDPR artikli 4 jaotisele 11. Selle erandi kontekstis ei tohi tööandja mitte ainult tõendada, et tema töötajad on loa andnud, vaid ka seda, et see on olnud ühemõtteline, konkreetne ja teadlik. Töölepingu allkirjastamine või personalijuhendi saamine, milles tööandja on registreerinud vaid sõrmejäljega täieliku kellakeeramise kavatsuse, on selles kontekstis ebapiisav, järeldas AP. Tõendina peab tööandja esitama näiteks poliitika, protseduurid või muud dokumendid, mis näitavad, et tema töötajad on piisavalt informeeritud biomeetriliste andmete töötlemisest ja et nad on ka andnud (selgesõnalise) loa nende töötlemiseks.

Kui loa annab töötaja, ei pea see lisaks sellele olema ka „sõnaselgelt"aga ka"vabalt antudvastavalt AP-le. „Selge” on näiteks kirjalik luba, allkiri, e-kirja saatmine loa andmiseks või kaheastmelise kinnitamisega luba. „Vabalt antud” tähendab, et selle taga ei tohi olla sundi (nagu juhtus antud juhul: kui sõrmejälje skaneerimisest keelduti, järgnes vestlus direktori / juhatusega) või see luba võib olla millegi tingimuseks erinevad. Tingimust „vabalt antud” ei täida tööandja igal juhul juhul, kui töötajad on kohustatud või, nagu käesoleval juhul, seda kohustuseks oma sõrmejäljed registreerida. Üldiselt leidis AP selle nõude kohaselt, et arvestades sõltuvust, mis tuleneb tööandja ja töötaja vahelistest suhetest, on ebatõenäoline, et töötaja saaks vabalt oma nõusoleku anda. Vastupidist peab tõestama tööandja.

Kas töötaja taotleb oma töötajatelt luba sõrmejälje töötlemiseks? Siis saab AP teada antud juhtumi kontekstis, et põhimõtteliselt pole see lubatud. Lõppude lõpuks sõltuvad töötajad tööandjast ja seetõttu pole neil sageli võimalust keelduda. See ei tähenda, et tööandja ei saa kunagi loa saamise alusele edukalt tugineda. Tööandjal peavad aga olema piisavad tõendid, et kaebuse esitamine nõusoleku alusel õnnestuks, et töödelda oma töötajate biomeetrilisi andmeid, näiteks sõrmejälgi. Kas kavatsete oma ettevõttes kasutada biomeetrilisi andmeid või küsib tööandja teilt luba näiteks sõrmejälje kasutamiseks? Sel juhul on oluline mitte tegutseda viivitamatult ja luba anda, vaid kõigepealt tuleb teda nõuetekohaselt teavitada. Law & More advokaadid on eksperdid privaatsuse valdkonnas ja saavad teile teavet pakkuda. Kas teil on selle ajaveebi kohta veel küsimusi? Palun võtke ühendust Law & More.

Jaga