Hiljuti määras Hollandi andmekaitseamet (AP) suure trahvi, nimelt 725,000 9 eurot, ettevõttele, kes skaneeris töötajate sõrmejälgi osalemise ja aja registreerimise osas. Biomeetrilised andmed, näiteks sõrmejälg, on spetsiaalsed isikuandmed GDPR artikli 9 tähenduses. Need on ainulaadsed omadused, mida on võimalik ühele inimesele kindlaks teha. Kuid need andmed sisaldavad sageli rohkem teavet, kui näiteks tuvastamiseks on vaja. Seetõttu kujutab nende töötlemine suuri riske inimeste põhiõiguste ja -vabaduste valdkonnas. Kui need andmed satuvad valedesse kätesse, võib see potentsiaalselt põhjustada korvamatut kahju. Biomeetrilised andmed on seetõttu hästi kaitstud ja nende töötlemine on GDPR-i artikli XNUMX kohaselt keelatud, kui selleks ei ole seaduses ette nähtud erandit. Sel juhul järeldas AP, et kõnealusel ettevõttel ei olnud õigust trahvisummale erand spetsiaalsete isikuandmete töötlemiseks.
Sõrmejälg
Sõrmejäljest GDPR-i kontekstis ja ühe erandi kohta, nimelt vajadus, kirjutasime varem ühes oma ajaveebis: „Sõrmejälg rikub GDPR-i”. See ajaveeb keskendub muudele alternatiivsetele erandite alustele: luba. Kui tööandja kasutab oma ettevõttes biomeetrilisi andmeid, näiteks sõrmejälgi, siis kas eraelu puutumatuse tagamiseks piisab tema töötaja loal?
Loa all mõeldakse a konkreetne, informeeritud ja ühemõtteline tahte väljendus millega keegi aktsepteerib avalduse või üheselt mõistetava aktiivse tegevusega tema isikuandmete töötlemist vastavalt GDPR artikli 4 jaotisele 11. Selle erandi kontekstis ei tohi tööandja mitte ainult tõendada, et tema töötajad on loa andnud, vaid ka seda, et see on olnud ühemõtteline, konkreetne ja teadlik. Töölepingu allkirjastamine või personalijuhendi saamine, milles tööandja on registreerinud vaid sõrmejäljega täieliku kellakeeramise kavatsuse, on selles kontekstis ebapiisav, järeldas AP. Tõendina peab tööandja esitama näiteks poliitika, protseduurid või muud dokumendid, mis näitavad, et tema töötajad on piisavalt informeeritud biomeetriliste andmete töötlemisest ja et nad on ka andnud (selgesõnalise) loa nende töötlemiseks.
Kui loa annab töötaja, ei pea see lisaks sellele olema ka „sõnaselgelt"aga ka"vabalt antud", kinnitab AP. Selgesõnaline on näiteks kirjalik luba, allkiri, loa saamiseks e-kirja saatmine või kaheastmelise kinnitusega luba. "Vabalt antud" tähendab, et selle taga ei tohi olla sundi (nagu oli antud juhul: kui keelduti sõrmejälje skaneerimisest, järgnes vestlus direktori / juhatusega) või et luba võib olla millegi tingimus erinevad. Tingimus „vabalt antud” ei ole tööandja igal juhul täidetud, kui töötajad on kohustatud või nagu käesoleval juhul kogevad seda kui kohustust oma sõrmejälg registreerida. Üldiselt leidis AP selle nõude kohaselt, et arvestades tööandja ja töötaja vahelistest suhetest tulenevat sõltuvust, on ebatõenäoline, et töötaja saaks oma nõusoleku vabalt anda. Tööandja peab tõestama vastupidist.
Kas töötaja taotleb oma töötajatelt luba sõrmejälje töötlemiseks? Siis saab AP teada antud juhtumi kontekstis, et põhimõtteliselt pole see lubatud. Lõppude lõpuks sõltuvad töötajad tööandjast ja seetõttu pole neil sageli võimalust keelduda. See ei tähenda, et tööandja ei saa kunagi loa saamise alusele edukalt tugineda. Tööandjal peavad aga olema piisavad tõendid, et kaebuse esitamine nõusoleku alusel õnnestuks, et töödelda oma töötajate biomeetrilisi andmeid, näiteks sõrmejälgi. Kas kavatsete oma ettevõttes kasutada biomeetrilisi andmeid või küsib tööandja teilt luba näiteks sõrmejälje kasutamiseks? Sel juhul on oluline mitte tegutseda viivitamatult ja luba anda, vaid kõigepealt tuleb teda nõuetekohaselt teavitada. Law & More advokaadid on eksperdid privaatsuse valdkonnas ja saavad teile teavet pakkuda. Kas teil on selle ajaveebi kohta veel küsimusi? Palun võtke ühendust Law & More.