Munkavállalók biometrikus adatainak kezelése
1. Lehet-e a munkavállaló hozzájárulása alapján jogszerűen kezelni biometrikus adatokat?
Adott esetben igen.
Az érintett hozzájárulása jellemző módon nem képezheti az adatkezelés érvényes jogalapját erős függelmi jogviszonyokban. Így a munkaszerződésbe vagy kollektív szerződésbe foglalt biometrikus adatszolgáltatási kötelezettség sem jogszerű, és az ilyen adatkezelés a munkaszerződés teljesítéséhez nem is feltétlenül szükséges.
Kivételes esetben azonban, ha a hozzájárulás szabadon és hátrányos következményektől mentesen megtagadható, akkor az adatkezelés jogalapjául a munkavállaló hozzájárulása is szolgálhat.
Így abban az esetben, ha például a munkahelyi elektronikus beléptető rendszer használatának egyik módja a biometrikus azonosítóval (pl. ujjlenyomat) történő belépés, akkor, amennyiben a munkavállaló az alternatíva (pl. beléptető kártya használata) helyett az ujjlenyomata használatával kíván belépni, akkor ilyen esetben a munkavállaló kifejezett hozzájárulása képezheti az adatkezelés megfelelő jogalapját.
2. Lehet-e más jogalap alapján biometrikus adatokat kezelni?
Adott esetben igen.
A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalása szerint, ha a fent nevezett kivételes feltételek nem állnak fenn, akkor a GDPR 6. cikk (1) bekezdésének egyéb jogalapjai, elsősorban az (1) bekezdés f) pont szerinti jogalap (a munkáltató jogos érdeke) jöhet szóba a munkahelyen történő biometrikus adatkezelésre, a körülményektől függően. A hatóság hangsúlyozza egyben azt is, hogy különleges személyes adatoknál, mint a természetes személyek egyedi azonosítását célzó biometrikus adatok, a GDPR 9. cikk (2) bekezdésének valamely feltétele is meg kell, hogy valósuljon az általános jogalapon felül. Másszóval, biometrikus adatok kezelése akkor lehet jogszerű, ha mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében szereplő jogalapok közül fennáll egy megfelelő jogalap.
A fentiek tisztázása azért is fontos, mert a GDPR és az EU 29. cikk szerinti adatvédelmi munkacsoportja ("WP29") (mai nevén Európai Adatvédelmi Testület) által kiadott egyes iránymutatások alapján önmagában az a következtetés is levonható, hogy különleges adatok esetében a 9. cikk (2) bekezdésében szereplő jogalapok jöhetnek csak szóba, a 6. cikk (1) bekezdésében szereplők azonban nem, így az adatkezelő jogos érdeke eleve nem is jöhet szóba.
Konkrétan, a WP29 a következőket írja a hozzájárulásról szóló WP259 rev.01 iránymutatása 4. pontjában:
"A 9.cikk (2) bekezdése nem ismeri el a „szerződés teljesítéséhez szükséges” kitételt az adatok különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen helyzettel szembesülő adatkezelőknek és tagállamoknak meg kell vizsgálniuk a 9. cikk (2) bekezdésének b)-j) pontjában foglalt konkrét kivételeket. Amennyiben a b)-j) pontban foglalt kivételek egyike sem alkalmazandó, az adatkezelés alóli lehetséges jogszerű kivétel továbbra is kizárólag az általános adatvédelmi rendelet érvényes hozzájárulás megszerzésére vonatkozó feltételei szerinti kifejezett hozzájárulás megszerzése."
A WP29 az idézett bekezdésben a 6. cikket nem említi meg.
Úgyszintén, a WP29 átláthatóságról szóló WP260 rev.01 iránymutatása mellékletének "Az adatkezelés célja és jogalapja" sorában az alábbi bekezdés található:
"A személyes adatokkal érintett adatkezelés céljainak meghatározása mellett a 6. cikk szerint alkalmazott vonatkozó jogalapot is meg kell határozni. A személyes adatok különleges kategóriáinak esetében meg kell határozni a 9. cikk vonatkozó rendelkezését (és adott esetben az alkalmazandó uniós vagy tagállami jogot, amely alapján az adatokat kezelik)."
A WP29 itt sem írja azt, hogy különleges adatok esetében mind a 6. cikk (1) bekezdése, mind pedig a 9. cikk (2) bekezdése szerint jogalapokból meg kell határozni egyet.
Megjegyzendő, hogy ugyanakkor a WP29 automatizált döntéshozatallal és profilalkotással kapcsolatban kiadott WP251. rev.01 iránymutatása III.C. pontjában egyértelműen fogalmaz, amikor az alábbiakat írja:
"Az adatkezelők a személyes adatok különleges kategóriáit csak akkor kezelhetik, ha eleget tesznek a 9. cikk (2) bekezdésében meghatározott feltételek egyikének és a 6. cikk egyik feltételének."
Érdemes hangsúlyozni, hogy az angol adatvédelmi hatóság (ICO) a magyar adatvédelmi hatósággal és a WP29 fent harmadikként idézett iránymutatásában szereplő gondolattal egyező állásponton van.
Fontos tehát annak rögzítése, hogy biometrikus (és például egészségügyi, genetikai) adatok kezelése esetében mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében meghatározott jogalapok közül fenn kell, hogy álljon egy megfelelő jogalap.
A GDPR 6. cikk (1) bekezdésének f) pontjára (adatkezelő vagy harmadik személy jogos érdeke) alapozás esetén az adatkezelő köteles érdekmérlegelési tesztet végezni.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.