Atļauja kā izņēmums biometrisko datu apstrādei

Nesen Nīderlandes datu aizsardzības pārvalde (AP) uzņēmumam, kurš skenēja darbinieku pirkstu nospiedumus apmeklējuma un laika reģistrēšanai, piesprieda lielu naudas sodu, proti, 725,000 9 eiro. Biometriskie dati, piemēram, pirkstu nospiedumi, ir īpaši personas dati GDPR 9. panta nozīmē. Šīs ir unikālas īpašības, kuras var izsekot vienai konkrētai personai. Tomēr šie dati bieži satur vairāk informācijas, nekā nepieciešams, piemēram, identifikācijai. Tāpēc to apstrāde rada lielu risku cilvēku pamattiesību un brīvību jomā. Ja šie dati nonāk nepareizajās rokās, tas, iespējams, var radīt neatgriezenisku kaitējumu. Tāpēc biometriskie dati ir labi aizsargāti, un to apstrāde ir aizliegta saskaņā ar GDPR XNUMX. pantu, ja vien tam nav juridisku izņēmumu. Šajā gadījumā AP secināja, ka attiecīgajam uzņēmumam nebija tiesību uz izņēmums īpašu personas datu apstrādei.

Par pirkstu nospiedumu GDPR kontekstā un vienu no izņēmumiem, proti nepieciešamību, mēs vienā no saviem emuāriem iepriekš rakstījām: “Pirkstu nospiedums, pārkāpjot GDPR”. Šis emuārs koncentrējas uz citu alternatīvu izņēmuma pamatu: atļauja. Ja darba devējs savā uzņēmumā izmanto biometriskus datus, piemēram, pirkstu nospiedumus, vai ar privātpersonas atļauju viņam var pietikt ar darbinieka atļauju?

Atļauja kā izņēmums biometrisko datu apstrādei

Ar atļauju tiek domāts a konkrēts, informēts un nepārprotams gribas izpausme ar kuru kāds piekrīt viņa personas datu apstrādei ar paziņojumu vai nepārprotami aktīvu darbību saskaņā ar GDPR 4. panta 11. iedaļu. Tādēļ šī izņēmuma kontekstā darba devējam ir ne tikai jāpierāda, ka viņa darbinieki ir devuši atļauju, bet arī tas, ka tā ir bijusi nepārprotama, konkrēta un informēta. Šajā kontekstā nepietiek ar darba līguma parakstīšanu vai personāla rokasgrāmatas saņemšanu, kurā darba devējs ir tikai ierakstījis nodomu pilnībā ieslēgt pulksteni ar pirkstu nospiedumu. Kā pierādījums darba devējam ir jāiesniedz, piemēram, politika, procedūras vai cita dokumentācija, kas parāda, ka viņa darbinieki ir pietiekami informēti par biometrisko datu apstrādi un ka viņi ir arī devuši (skaidru) atļauju to apstrādei.

Ja atļauju piešķir darbinieks, tai turklāt jābūt ne tikai “skaidrs' bet arī 'brīvi dots", norāda AP. “Nepārprotams” ir, piemēram, rakstiska atļauja, paraksts, e-pasta nosūtīšana atļaujas piešķiršanai vai atļauja ar divpakāpju verifikāciju. “Brīvi dots” nozīmē, ka aiz tā nedrīkst būt nekādas piespiešanas (kā tas bija attiecīgajā gadījumā: atsakoties no pirkstu nospiedumu skenēšanas, sekoja saruna ar direktoru / padomi) vai ka atļauja var būt kaut kā nosacījums savādāk. Nosacījumu “brīvi dots” darba devējs nekādā gadījumā neizpilda, kad darbiniekiem ir pienākums vai, tāpat kā attiecīgajā gadījumā, viņi to izjūt kā pienākumu reģistrēt pirkstu nospiedumus. Parasti saskaņā ar šo prasību AP uzskatīja, ka, ņemot vērā atkarību, kas izriet no darba devēja un darbinieka attiecībām, maz ticams, ka darbinieks var brīvi dot savu piekrišanu. Darba devējam būs jāpierāda pretējais.

Vai darbinieks pieprasa no darbiniekiem atļauju apstrādāt viņu pirkstu nospiedumus? Tad AP šīs lietas kontekstā uzzina, ka principā tas nav atļauts. Galu galā darbinieki ir atkarīgi no darba devēja, un tāpēc viņi bieži vien nevar atteikties. Tas nenozīmē, ka darba devējs nekad nevar veiksmīgi paļauties uz atļaujas pamata. Tomēr darba devējam ir jābūt pietiekamiem pierādījumiem, lai viņa apelācija, pamatojoties uz piekrišanu, būtu veiksmīga, lai apstrādātu savu darbinieku biometriskos datus, piemēram, pirkstu nospiedumus. Vai jūs plānojat savā uzņēmumā izmantot biometriskos datus vai, piemēram, vai jūsu darba devējs lūdz jūs atļauju izmantot jūsu pirkstu nospiedumu? Tādā gadījumā ir svarīgi rīkoties nekavējoties un nepiešķirt atļauju, bet vispirms būt pienācīgi informētam. Law & More juristi ir eksperti privātuma jomā un var sniegt jums informāciju. Vai jums ir vēl kādi jautājumi par šo emuāru? Lūdzu, sazinieties Law & More.

Share