Biomeetriliste andmete töötlemine selgitatud
Hiljuti määras Hollandi andmekaitseamet (AP) suure, nimelt 725,000 9 euro suuruse trahvi ettevõttele, mis skaneeris töötajate sõrmejälgi kohaloleku ja aja registreerimiseks. Biomeetrilised andmed, nagu sõrmejälg, on erilised isikuandmed GDPR-i artikli XNUMX tähenduses. Need on ainulaadsed omadused, mida saab taandada ühele konkreetsele isikule. Need andmed sisaldavad aga sageli rohkem teavet, kui on vaja näiteks tuvastamiseks.
Seetõttu kujutab nende töötlemine endast suuri riske inimeste põhiõiguste ja -vabaduste valdkonnas. Kui need andmed satuvad valedesse kätesse, võib see põhjustada korvamatut kahju. Seetõttu on biomeetrilised andmed hästi kaitstud ja nende töötlemine on GDPR-i artikli 9 alusel keelatud, välja arvatud juhul, kui selleks on seaduslik erand. Antud juhul jõudis AP järeldusele, et kõnealusel ettevõttel ei olnud õigust an erand spetsiaalsete isikuandmete töötlemiseks.
Sõrmejälg
Sõrmejäljest GDPR-i kontekstis ja ühe erandi kohta, nimelt vajadus, kirjutasime varem ühes oma ajaveebis: „Sõrmejälg rikub GDPR-i”. See ajaveeb keskendub muudele alternatiivsetele erandite alustele: luba. Kui tööandja kasutab oma ettevõttes biomeetrilisi andmeid, näiteks sõrmejälgi, siis kas eraelu puutumatuse tagamiseks piisab tema töötaja loal?
Loa all mõeldakse a konkreetne, informeeritud ja ühemõtteline tahte väljendus millega keegi nõustub oma isikuandmete töötlemisega avaldusega või üheselt mõistetava aktiivse tegevusega vastavalt GDPR-i artikli 4 lõikele 11. Selle erandi kontekstis peab tööandja seega mitte ainult tõendama, et tema töötajad on loa andnud, vaid ka seda, et see on olnud üheselt mõistetav, konkreetne ja informeeritud.
Töölepingu allkirjastamine või personalijuhendi kättesaamine, milles tööandja on fikseerinud vaid kavatsuse sõrmejäljega täielikult sisse logida, on selles kontekstis ebapiisav, järeldas AP. Tõendina peab tööandja esitama näiteks poliitika, protseduurid või muu dokumentatsiooni, millest nähtub, et tema töötajad on biomeetriliste andmete töötlemisest piisavalt informeeritud ning on andnud ka (selgesõnalise) loa nende töötlemiseks.
Kui loa annab töötaja, ei pea see lisaks sellele olema ka „sõnaselgelt"aga ka"vabalt antud“, vahendab AP. Selgesõnaline on näiteks kirjalik luba, allkiri, loa andmiseks meili saatmine või luba kaheastmelise kinnitamisega. Vabalt antud tähendab, et selle taga ei tohi olla sundi (nagu ka kõnealusel juhul: sõrmejälje skaneerimisest keeldumisel järgneb vestlus direktori/juhatusega) või et luba võib olla millegi tingimuseks erinev.
Tingimust „vabatahtlikult antud” tööandja igal juhul ei täida, kui töötajatel on kohustus või, nagu kõnealusel juhul, kogevad seda kohustusena lasta oma sõrmejälg registreerida. Üldjuhul leidis AP selle nõude alusel, et arvestades tööandja ja töötaja vahelisest suhtest tulenevat sõltuvust, on ebatõenäoline, et töötaja saab oma nõusolekut vabalt anda. Vastupidist peab tööandja tõendama.
Kas töötaja küsib oma töötajatelt luba sõrmejälgede töötlemiseks? Siis saab AP selle juhtumi kontekstis teada, et põhimõtteliselt pole see lubatud. Lõppude lõpuks sõltuvad töötajad oma tööandjast ega ole seetõttu sageli võimelised keelduma. See ei tähenda, et tööandja ei saaks kunagi edukalt loa alusele tugineda.
Tööandjal peab aga olema piisavalt tõendeid, et tema nõusolekul põhinev kaebus oleks edukas, et töödelda oma töötajate biomeetrilisi andmeid, näiteks sõrmejälgi. Kas kavatsete oma ettevõttes kasutada biomeetrilisi andmeid või küsib tööandja teilt luba näiteks sõrmejälje kasutamiseks? Sel juhul on oluline mitte kohe tegutseda ja luba anda, vaid olla kõigepealt korralikult informeeritud. Seadus & More juristid on privaatsuse valdkonna eksperdid ja võivad teile teavet anda. Kas teil on selle ajaveebi kohta veel küsimusi? Palun võtke ühendust Law & More.