Biometrisko datu apstrādes skaidrojums
Nesen Nīderlandes datu aizsardzības iestāde (AP) piemēroja lielu naudas sodu, proti, 725,000 9 eiro, uzņēmumam, kas skenēja darbinieku pirkstu nospiedumus apmeklējuma un laika uzskaitei. Biometriskie dati, piemēram, pirkstu nospiedumi, ir īpaši personas dati GDPR XNUMX. panta izpratnē. Tās ir unikālas īpašības, kuras var izsekot līdz vienai konkrētai personai. Tomēr šie dati bieži satur vairāk informācijas, nekā nepieciešams, piemēram, identifikācijai.
Tāpēc to apstrāde rada lielus riskus cilvēku pamattiesību un brīvību jomā. Ja šie dati nonāk nepareizās rokās, tas var radīt neatgriezeniskus bojājumus. Tāpēc biometriskie dati ir labi aizsargāti, un to apstrāde ir aizliegta saskaņā ar VDAR 9. pantu, ja vien nav noteikts juridisks izņēmums. Šajā gadījumā AP secināja, ka attiecīgajam uzņēmumam nav tiesību uz izņēmums īpašu personas datu apstrādei.
pirksta nospiedums
Par pirkstu nospiedumu GDPR kontekstā un vienu no izņēmumiem, proti nepieciešamību, mēs vienā no saviem emuāriem iepriekš rakstījām: “Pirkstu nospiedums, pārkāpjot GDPR”. Šis emuārs koncentrējas uz citu alternatīvu izņēmuma pamatu: atļauja. Ja darba devējs savā uzņēmumā izmanto biometriskus datus, piemēram, pirkstu nospiedumus, vai ar privātpersonas atļauju viņam var pietikt ar darbinieka atļauju?
Ar atļauju tiek domāts a konkrēts, informēts un nepārprotams gribas izpausme ar kuru kāds piekrīt savu personas datu apstrādei ar paziņojumu vai nepārprotamu aktīvu darbību saskaņā ar VDAR 4. panta 11. sadaļu. Tāpēc šī izņēmuma kontekstā darba devējam ir ne tikai jāpierāda, ka viņa darbinieki ir devuši atļauju, bet arī, ka tā ir bijusi nepārprotama, konkrēta un informēta.
Darba līguma parakstīšana vai personāla rokasgrāmatas saņemšana, kurā darba devējs tikai fiksējis nodomu pilnībā ieiet ar pirkstu nospiedumu, šajā kontekstā ir nepietiekams, secināja AP. Kā pierādījumu darba devējam, piemēram, jāiesniedz politika, procedūras vai cita dokumentācija, kas liecina, ka viņa darbinieki ir pietiekami informēti par biometrisko datu apstrādi un ir devuši arī (tiešu) atļauju to apstrādei.
Ja atļauju piešķir darbinieks, tai turklāt jābūt ne tikai “skaidrs' bet arī 'brīvi dots", saskaņā ar AP. “Nepārprotami” ir, piemēram, rakstiska atļauja, paraksts, e-pasta sūtīšana, lai sniegtu atļauju, vai atļauja ar divpakāpju verifikāciju. “Brīvi dota” nozīmē, ka aiz tā nedrīkst būt piespiešana (kā tas bija konkrētajā gadījumā: atsakoties no pirkstu nospiedumu skenēšanas, seko saruna ar direktoru/valdi) vai ka atļauja var būt nosacījums kaut kam dažādi.
Nosacījumu “brīvi dota” darba devējs jebkurā gadījumā neievēro, ja darbiniekiem ir pienākums vai, kā konkrētajā gadījumā, to izjūt kā pienākumu reģistrēt pirkstu nospiedumus. Kopumā saskaņā ar šo prasību AP uzskatīja, ka, ņemot vērā atkarību, kas izriet no darba devēja un darba ņēmēja attiecībām, maz ticams, ka darbinieks var brīvi dot savu piekrišanu. Pretējais būs jāpierāda darba devējam.
Vai darbinieks pieprasa saviem darbiniekiem atļauju apstrādāt pirkstu nospiedumus? Tad AP šīs lietas kontekstā uzzina, ka principā tas nav pieļaujams. Galu galā darbinieki ir atkarīgi no sava darba devēja un tāpēc bieži vien nevar atteikties. Tas nenozīmē, ka darba devējs nekad nevar veiksmīgi paļauties uz atļaujas pamatojumu.
Tomēr darba devējam ir jābūt pietiekamiem pierādījumiem, lai viņa apelācija, pamatojoties uz piekrišanu, būtu veiksmīga, lai apstrādātu savu darbinieku biometriskos datus, piemēram, pirkstu nospiedumus. Vai plānojat izmantot biometriskos datus savā uzņēmumā vai, piemēram, jūsu darba devējs lūdz atļauju izmantot jūsu pirkstu nospiedumus? Tādā gadījumā ir svarīgi nerīkoties nekavējoties un dot atļauju, bet vispirms būt pienācīgi informētam. likums & Vairāk juristu ir eksperti privātuma jomā un var sniegt jums informāciju. Vai jums ir vēl kādi jautājumi par šo emuāru? Lūdzu sazinieties Law & More.