A munkavállalók biometrikus adatinak kezelése
1. Ki minősül munkavállalónak?
Alapesetben azok a természetes személyek, akikkel az adatkezelő munkaszerződést kötött, és ennek keretében foglalkoztatja őket.
2. Mi minősül biometrikus adatnak?
Egy természetes személy esetén:
- a testi, fiziológiai vagy viselkedési jellemzőire vonatkozó
- minden olyan sajátos technikai eljárásokkal nyert személyes adat
- amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, (például az arckép vagy a daktiloszkópiai adat).
Két fő típusáról beszélhetünk:
- Biológiai alapú biometrikus adatok: ujjnyomat, tenyérnyomat, talplenyomat, kézgeometria, érhálózat, arc, írisz, retina,
- Viselkedés alapú biometrikus adatok: kézírás, beszédhang, mozgás (pl. járásmód, a test helyzetének változásai).
Biometrikus adat tehát az ujjnyomat, a retina, vagy írisz lenyomat, a véna szkennelt kép, illetve az arckép, ha technikai eszközökkel a személyes, egyedi azonosításra alkalmas. Vagyis a fentiek szerint egy egyszerű vagyonvédelmi kamera által rögzített kép ugyan tartalmazza az érintett arcképmását, de önmagában nem minősül biometrikus adatnak. Viszont ha olyan célszoftverrel ötvözve kerül alkalmazásra, amely alkalmas arcfelismerésre, vagy viselkedés/mozgás elemzésére akkor már biometrikus adatkezelésről beszélünk.
3. Milyen szabályok szerint lehetséges a munkavállalók biometrikus adatainak kezelése?
a) célok
A Munka Törvénykönyve szerint a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.
A b) pont szerinti jelentős érdek lehet:
- a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
- a lőfegyver, lőszer, robbanóanyag őrzéséhez,
- a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
- a nukleáris anyagok őrzéséhez,
- a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték (vagyis 50 M Ft feletti érték) védelméhez fűződő érdek.
Tehát a munkáltatónak előzetesen fel kell mérnie, hogy van-e a fentiekben megjelölt védendő érték, amelynek a jogosulatlan hozzáférését csak a biometrikus adatkezeléssel tudja kontrollálni/megakadályozni.
Ilyen eset lehet pl. egy veszélyes vírusokkal kísérletező laboratórium, ahol a be és kilépések (hozzáférések) idejét, személyeit adott esetben percre pontosan kell tudni utólag megállapítani (élet, testi épség védelme).
Előfordulhat, hogy a munkáltató a helyben kezelt házipénztárban (vagy raktárkészletben) 50 M Ft-nál nagyobb összeget (értéket) tárol (a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez fűződő érdek).
4. További teljesítendő követelmények a munkáltató (mint adatkezelő) részéről
Amennyiben ilyen adatkezelést tervez a munkáltató, akkor előzetesen annak okait, célját, szabályait írásban le kell fektetni, és közölni az érintettekkel.
FONTOS: ilyen esetekben előzetesen un. adatvédelmi hatásvizsgálatot kell lefolytatni (NAIH kötelező hatásvizsgálati lista 2. pont). Ehhez az adatvédelmi tisztviselő (szakember) közreműködése szükséges.