A GDPR szerint biometrikus adatnak minősül egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi, vagy megerősíti a természetes személy egyedi azonosítását, ilyen például ujjlenyomat olvasó, retina-, vénaszkenner vagy arcfelismerés útján nyert és tárolt adat.

A biometrikus adatok fokozott védelmének okát az adja, hogy elválaszthatatlan és időtálló kapcsolatot jelent is az egyén és az információ között (pl. ujjlenyomat), ezáltal az érintett – vagyis jelen esetben az adatkezelés alá vont munkavállaló – magánszférájára különösen nagy hatást gyakorol.

A piacon egyre több vállalkozásban, cégnél merül fel az igény arra, hogy az idejétmúlt, papíron vezetett jelenléti íveket ujjlenyomat, vagy más hasonló, valamely egyedi testi jellemzőnk lenyomatát tartalmazó biometrikus azonosító rendszerre cserélje, a 21. századot élve teljesen érthetően.

A Munka Törvénykönyvének 2019. tavaszi módosítása (a GDPR-ral összhangban) meghatározza azokat a kivételes esetköröket, amelyek fennállása esetén a munkáltató a munkavállalók biometrikus adatait kezelheti. E megfogalmazás kétséget kizáró értelmezéséhez maga az Mt. ad további pontosítást, amikor is rögzíti, hogy legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez, lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, nukleáris anyagok őrzéséhez, vagy legalább ötvenmillió forint feletti vagyoni érték védelméhez fűződő érdek ad kellő indokot természetes személyek biometrikus adatainak kezeléséhez.

Mindenképp fontos hangsúlyozni, hogy a biometrikus adatok különleges adatok. A GDPR-ban rögzített jogalapok jogszerű alkalmazásának logikai rendszerét követve: a biometrikus adatok, mint különleges adatok kezelése kizárólag abban az esetben jogszerű, amennyiben a 6. cikkében foglalt jogalapok valamelyikén felül a GDPR 9. cikk (2) bekezdésében foglalt jogszerűségi feltételek valamelyike szintén megvalósul. Azt, hogy konkrétan az adott esetben mi valósul meg, csak az adatkezelő tudja az eset összes körülménye és az általa megvalósítani kívánt cél ismeretében eldönteni.

Továbbá a NAIH felhívja az adatkezelők figyelmét arra, hogy a különleges személyes adatok kezelésével kapcsolatban a GDPR jelentős többletkötelezettségeket fogalmaz meg, például kötelező előzetes adatvédelmi hatásvizsgálat, adatvédelmi tisztviselő kinevezése, valamint a megfelelő magas szintű védelmet garantáló szervezeti és működési szabályok.

A biometrikus azonosítórendszer alkalmazása esetén a munkáltatónak érdekmérlegelési tesztet kell végeznie, melynek során az alkalmazni kívánt rendszer szükségesség-arányosság tulajdonságait kell mérlegelnie, a contrario: abban az esetben, ha van olyan megoldás, mely kisebb kockázatot jelent a munkavállalók magánéletére nézve, úgy a munkáltató köteles az enyhébb beavatkozással járó adatkezelési alternatívát választani.

Az egyoldalú munkáltatói érdek alkalmazásának jogszerűsége és az ehhez kapcsolódó érdekmérlegelési teszt lépéseinek gyakorlati kérdései a biometrikus adatkezelések tekintetében

Az érdekmérlegelési teszt alapján csak akkor alkalmazható a jogos érdek jogalap az adatkezelésre, ha a munkavállalók jogai és szabadságai az adott esetben nem élveznek elsőbbséget a munkáltató jogos érdekével szemben, és ennek világos és valós oka megfelelően bemutatásra és dokumentálásra kerül.

Az arányosság elvének egyik központi kérdése, hogy van-e alternatívája a biometrikus rendszer alkalmazásának. Az adatkezelő azt minden esetben köteles ellenőrizni, hogy egyes alternatív intézkedések lehetnének-e a kitűzött célra tekintettel ugyanolyan hatékonyak, de kisebb beavatkozással járók. Amennyiben a válasz igen, úgy köteles a munkáltató azon intézkedések közül választani.

A munkahelyen történő biometrikus adatkezelésre a GDPR 6. cikk (1) bekezdés f) pont szerinti jogalap jöhet szóba, így mindenképpen fontos meghatározni, hogy a munkáltató vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges-e az adatkezelés. Szintén a munkáltatónak kell igazolnia azt, hogy az általa alkalmazott biometrikus adatok kezelésével összefüggő rendszer összeegyeztethető az Infotv. 4. § (1)-(2) bekezdésében szereplő célhoz kötöttség elvével és megfeleltethető az érdekmérlegelés tesztjének.

A munkáltató jogos érdekének meghatározásához szorosan kapcsolódó érdekmérlegelési teszt tekintetében a következő problémákkal találkozhatunk:

• Először is fontos tisztázni: a biometrikus adatok kezelése nélkül megvalósítható-e a tervezett cél? A jogalkotó céljait szem előtt tartva a biometrikus adatok kezelésének alapját szolgáló jogos érdeknek egy különösebben védett kategóriába kell tartoznia, mint magának a kezelt biometrikus adatoknak ahhoz, hogy az adatkezelés alapjaiban megfeleljen a szükségesség-arányosság követelményrendszerének. Értve ez alatt azt, hogy egy mindennapi, már-már átlagos raktár helyiségben – ahol példának okáért használt bútorokat tárolnak – teljesen indokolatlan és egyben szükségtelen egy biometrikus adatokat felhasználó beléptetési rendszer alkalmazása, noha az adatkezelő részéről annak kiépítése semmilyen erőfeszítést nem jelentene. A helyiség nem egy olyan fokozottan védett értéket tart zár alatt, melyhez való hozzáférés különösen megindokolná egy arcfelismerő rendszer alkalmazását, még abban az esetben sem, ha egyébként a tulajdonos számára a költséges rendszerkiépítés nem jár jelentős anyagi ráfordítással. A példából kiindulva értelemszerű, hogy a munkáltató által alkalmazott biometrikus adatkezelés egyfajta klasszikus „túllépésként” értékelendő, hiszen a munkáltató számára elérhető és egyben arányos is más megoldások alkalmazása, pl. egy egyszerű kamerás megfigyelőrendszer használata. E probléma ízelgetése kapcsán a kulcs érték az anyagi javak rendelkezésre állása, vagyis mennyiben és miként érhetőek el az munkáltatók számára olyan megoldások (értve ez alatt a kivitelezést megvalósító szakemberek megfizetését, magának a rendszernek a kiépítését, stb.), melyeket alkalmazni tudnak. Az előbbi példát szembeállítanám egy genetikai vizsgálatokat végző laboratórium tevékenységének értékével, ahol az ott elvégzett vizsgálatok eredményei, az ott felhasznált biológiai és kémiai anyagok, és azok különösen védendő értéke teljességgel megalapozza egy biometrikus azonosítást alkalmazó rendszer kiépítését, abban az esetben is, ha egyébként más, alacsonyabb szintű védelmi rendszer is az adatkezelő rendelkezésre áll, vagy éppen már alkalmazza azt.
• Második lépésben a munkáltató jogos érdekét szükséges a lehető legpontosabban meghatározni. Visszacsatolnék fenti álláspontomra, miszerint biometrikus adatkezelést kizárólag hasonló, vagy magasabb szintű munkáltatói, de leginkább társadalmi érdek alapozhat meg. Önmagában a jelentős üzleti és gazdasági érdek – ismételten figyelembe véve a vélelmezhető jogalkotói szándékot – nem lehet az adatkezelés jogalapja, hiszen már igen komoly alternatívák léteznek az üzleti érdekek, értékek magas szintű védelmére (pl. többszörös jelszavas beléptetési rendszerek). A biometrikus adatkezelés és a jogos érdek egy magasabb értékrendű szinteken elhelyezkedő összehasonlítási folyamatot generál, például helyes lehet jogos érdekként a biometrikus adatkezelések esetében a jelentős közegészségügyi érdek. Konkrétabb példával szemléltetve: egy baleseti kártérítésekkel foglalkozó gazdasági társaság által végzett biometrikus adatkezelés jogszerű lehet a munkavállalók vonatkozásában, hiszen a cég ügyfelek ezreinek egészségügyi adatait kezeli, ily módon az ügyfelek különleges adatainak védelme érdekében az irattárba történő belépés során jogszerűen alkalmazandóak a biometrikus adatokat felhasználó rendszerek.

A munkáltató jogos érdekének meghatározása során válik egyértelművé, hogy az adatkezelő által tervezett adatkezelés alapját szolgáló jogos érdek valóban magasabb szinten helyezkedik-e el, mint a munkavállaló biometrikus adatának védelméhez fűződő jelentős magánérdek.

• Mindenképpen fontos leszögezni, hogy a jogos érdek alapját szolgáló különösen védendő érték/érdek megléte nem jelent önmagában korlátlan beavatkozási lehetőséget a munkáltató számára, tehát mindenképpen szükséges a beavatkozás módját és eszközeit a legminimálisabbra csökkenteni. Az adatkezelési körülmények meghatározása során – követve a szükségesség és arányosság elvét – szükséges említést tenni a biometrikus adatok felhasználását alkalmazó védelmi rendszerek kombinációjáról. Az előbbi baleseti kártérítéssel foglalkozó gazdasági társaság példájánál maradva mindenképpen arányos egy akár ujjlenyomat alapú beléptetési rendszer alkalmazása, de már nem biztos, hogy szükséges ezen felül még egy arcfelismerő rendszer alkalmazása is, noha az alap érdek továbbra is a különösen védendő kategóriák részét képezi.
• Nem utolsó sorban: gyakorlati kérdéseket vethet fel a munkavállalói ellenérdekek és garanciák meghatározása. Tekintettel arra, hogy a biometrikus adatok egyaránt jelentenek az egyénre vonatkozó időtálló információt, és jelent kapcsolatot is az egyén és az információ között (pl. DNS-minta), így mindenféleképpen szükséges a munkavállalók jogait védő garanciák fokozott védelme is, abban az esetben, ha az előző lépések kialakítása során a biometrikus azonosítás jogszerűen alkalmazható a munkáltató által. Ilyen garancia például a felvételek tárolásának különösen rövid ideje, vagy az adatokhoz való hozzáférési jogosultsággal rendelkező egyének rendkívül alacsony száma, továbbá a munkavállaló nélkülözhetetlen személyes jelenléte a felvételek visszanézése során.
• Végezetül: az átláthatóság garanciáját az adatkezelő kellően részletes, előzetesen írásban átadott és az átvételt mindenképpen bizonyító tájékoztatás meglétével tudja igazolni mind a munkavállalók, mind a Hatóság vonatkozásában.

Záró gondolatként jegyezném meg, munkáltatói szemszögből teljesen érthető, hogy igyekszik a lehető legtöbbet megtudni a munkavállalóiról, és arról, hogy ők mivel töltik a munkaidejüket. A munkáltatónak jogos érdeke fűződik az üzleti érdekeinek védelméhez, üzleti titkainak megőrzéséhez, annak ellenére is, hogy ilyenkor könnyen át lehet lépni a tisztesség értékeit. Ettől függetlenül az adatvédelmi rendelkezések megtartása nem lehetetlen, napjainkat áthatják az adatvédelmi témában bővelkedő tanulmányok, cikkek, nem mellesleg egyre több szakember veszi ki részét munkáltatók könnyebb tájékozódásának megsegítésére.

 

Kósa Ágnes

adatbiztonsági és adatvédelmi szakjogász

agnesdrkosa@gmail.com