Atļauja kā izņēmums biometrisko datu apstrādei

Nesen Nīderlandes datu aizsardzības pārvalde (AP) uzņēmumam, kurš skenēja darbinieku pirkstu nospiedumus apmeklējuma un laika reģistrēšanai, piesprieda lielu naudas sodu, proti, 725,000 9 eiro. Biometriskie dati, piemēram, pirkstu nospiedumi, ir īpaši personas dati GDPR 9. panta nozīmē. Šīs ir unikālas īpašības, kuras var izsekot vienai konkrētai personai. Tomēr šie dati bieži satur vairāk informācijas, nekā nepieciešams, piemēram, identifikācijai. Tāpēc to apstrāde rada lielu risku cilvēku pamattiesību un brīvību jomā. Ja šie dati nonāk nepareizajās rokās, tas, iespējams, var radīt neatgriezenisku kaitējumu. Tāpēc biometriskie dati ir labi aizsargāti, un to apstrāde ir aizliegta saskaņā ar GDPR XNUMX. pantu, ja vien tam nav juridisku izņēmumu. Šajā gadījumā AP secināja, ka attiecīgajam uzņēmumam nebija tiesību uz izņēmums īpašu personas datu apstrādei.

Par pirkstu nospiedumu GDPR kontekstā un vienu no izņēmumiem, proti nepieciešamību, mēs jau vienā no mūsu emuāriem rakstījām: “Pirkstu nospiedumi pārkāpj GDPR”. Šis emuārs ir vērsts uz citu alternatīvu izņēmuma iemeslu: atļauja. Ja darba devējs savā uzņēmumā izmanto biometriskus datus, piemēram, pirkstu nospiedumus, vai ar privātpersonas atļauju viņam var pietikt ar darbinieka atļauju?

Atļauja kā izņēmums biometrisko datu apstrādei

Ar atļauju tiek domāts a konkrēts, informēts un nepārprotams gribas izpausme ar kuru kāds piekrīt viņa personas datu apstrādei ar paziņojumu vai nepārprotami aktīvu darbību saskaņā ar GDPR 4. panta 11. iedaļu. Tādēļ šī izņēmuma kontekstā darba devējam ir ne tikai jāpierāda, ka viņa darbinieki ir devuši atļauju, bet arī tas, ka tā ir bijusi nepārprotama, konkrēta un informēta. Šajā kontekstā nepietiek ar darba līguma parakstīšanu vai personāla rokasgrāmatas saņemšanu, kurā darba devējs ir tikai ierakstījis nodomu pilnībā ieslēgt pulksteni ar pirkstu nospiedumu. Kā pierādījums darba devējam ir jāiesniedz, piemēram, politika, procedūras vai cita dokumentācija, kas parāda, ka viņa darbinieki ir pietiekami informēti par biometrisko datu apstrādi un ka viņi ir arī devuši (skaidru) atļauju to apstrādei.

Ja atļauju piešķir darbinieks, tai turklāt jābūt ne tikai “skaidrs' bet arī 'brīvi dots”, saskaņā ar AP. “Nepārprotama” ir, piemēram, rakstiska atļauja, paraksts, e-pasta nosūtīšana atļaujas saņemšanai vai atļauja ar divpakāpju verifikāciju. “Brīvi dots” nozīmē, ka aiz tā nedrīkst būt nekāda piespiešana (kā tas bija attiecīgajā gadījumā: atsakoties veikt pirkstu nospiedumu skenēšanu, sekoja saruna ar direktoru / padomi) vai arī atļauja var būt kaut kas nosacījums savādāk. Jebkurā gadījumā darba devējs neizpilda nosacījumu “brīvi dots”, ja darbiniekiem ir pienākums vai, kā tas ir attiecīgajā gadījumā, tas tiek uzskatīts par pienākumu reģistrēt viņu pirkstu nospiedumus. Parasti saskaņā ar šo prasību AP uzskatīja, ka, ņemot vērā atkarību, kas izriet no attiecībām starp darba devēju un darbinieku, maz ticams, ka darbinieks var brīvi dot savu piekrišanu. Darba devējam būs jāpierāda pretējais.

Vai darbinieks pieprasa no darbiniekiem atļauju apstrādāt viņu pirkstu nospiedumus? Tad AP šīs lietas kontekstā uzzina, ka principā tas nav atļauts. Galu galā darbinieki ir atkarīgi no darba devēja, un tāpēc viņi bieži vien nevar atteikties. Tas nenozīmē, ka darba devējs nekad nevar veiksmīgi paļauties uz atļaujas pamata. Tomēr darba devējam ir jābūt pietiekamiem pierādījumiem, lai viņa apelācija, pamatojoties uz piekrišanu, būtu veiksmīga, lai apstrādātu savu darbinieku biometriskos datus, piemēram, pirkstu nospiedumus. Vai jūs plānojat savā uzņēmumā izmantot biometriskos datus vai, piemēram, vai jūsu darba devējs lūdz jūs atļauju izmantot jūsu pirkstu nospiedumu? Tādā gadījumā ir svarīgi rīkoties nekavējoties un nepiešķirt atļauju, bet vispirms būt pienācīgi informētam. Law & More juristi ir eksperti privātuma jomā un var sniegt jums informāciju. Vai jums ir vēl kādi jautājumi par šo emuāru? Lūdzu, sazinieties Law & More.

Share