[:en]The most basic rules on data protection issues in the European Union, and thus in Hungary, have been laid down in the General Data Protection Regulation (GDPR) since May 2018, thus defining the legal requirements for biometric identification systems (fingerprint, retina, vein scanner, face recognition). According to the GDPR, the processing of biometric data relating to natural persons (including employees) is prohibited, but it allows EU and Member State law to create exceptions to this general ban, subject to appropriate safeguards.

With the advent of new technical tools, new demands have emerged, such as the need for many companies to digitize records previously kept on paper. There is also a need for the use of biometric identification systems (fingerprint, retina, vein scanner, face recognition) for security purposes or employee verification.

The most basic rules on data protection issues in the European Union, including Hungary, have been laid down in the General Data Protection Regulation (GDPR) since May 2018, thus defining the legal requirements for biometric identification systems. Of course, biometrics are personal data.

According to the GDPR, biometric data are any personal data obtained by specific technical procedures on a physical person’s physical, physiological or behavioral characteristics that allows or confirms the individual’s unique identification, such as fingerprint, retinal, vein scanner or facial recognition. and stored data.

Biometric data enjoy increased protection because they can be used to identify persons who hold such data in a very specific way over a long period of time.

Biometric identification in the workplace

According to the GDPR, the processing of biometric data relating to natural persons (including employees) is prohibited, but it allows EU and Member State law to create exceptions to this general ban, subject to sufficient guarantees.

While complying with the above, Hungary will provide employers in the Labor Code with the ability to record, store and manage employee biometrics, but will also provide a thorough definition of when biometric data can be processed to identify a natural person.

Employer may process biometric data for the purpose of identifying a natural person “if this is necessary to prevent unauthorized access to any thing or data that could result in a serious or massive, irreversible harm to the life, physical or health of the employee or others or a significant interest protected by law. ”

For the clear interpretation of the above wording, the Labor Code itself states that it requires the protection of classified information of at least “Confidential!”, The protection of firearms, ammunition, explosives, the storage of toxic or dangerous chemicals or biologicals, or interest in the protection of property values ​​over fifty million forints is sufficient justification for the processing of biometric data of natural persons.

As can be seen, the employee’s biometric data may be processed without his or her consent only for the purposes specified in the Labor Code, but in this case too the employer has to carry out an interest test.

In carrying out the test, the employer should examine, inter alia, whether the use of biometric data processing cannot be replaced by another means of identification or which of the biometric identification systems, where appropriate, least restricts the rights of the data subject.

Legal issues of employee consent

Both the GDPR and the Hungarian data protection rules allow for personal data, including biometric data, to be processed with the consent of the data subject. However, the consent of the data subject must be voluntary, ie free from any outside influence.

The National Data Protection and Freedom of Information Authority (NAIH) has addressed several resolutions and considered that consent as a legal basis for data processing is only appropriate if there is a real choice for the data subject and there is no risk of negative consequences if the consent is denied .

However, the required volunteering is not, according to NAIH, in the employment relationship because there is a relationship of subordination between the employer and the employee and the employee may reasonably be afraid of being materially deprived of their consent, or even dismissed.

 

Important: Employers must exercise due diligence in introducing biometric identification systems, on the one hand, and possible penalties, on the other, in order to respect workers’ rights.[:hu]Az Európai Unióban és így Magyarországon is adatvédelmi kérdésekben a legalapvetőbb szabályokat az Áltatalános Adatvédelmi Rendelet (GDPR) adja meg 2018. májusa óta, így a biometrikus azonosító rendszerekre (ujjlenyomat, retina-, vénaszkenner, arcfelismerés) vonatkozó jogi előírásokat is meghatározza. A GDPR szerint természetes személyekre (így a munkavállalókra is) vonatkozó biometrikus adatok kezelése tilos, azonban lehetőséget teremt az uniós és a tagállami jognak arra, hogy ez alól az általános tiltás alól – kellő garanciák mellett – kivételeket hozhassanak létre.

Új technikai eszközök megjelenésével új igények is megjelentek, például számos vállalkozásnál annak az igénye, hogy digitalizálják azokat a nyilvántartásokat, amelyeket korábban papír alapon vezettek. Felmerül annak is az igénye, hogy vagyonvédelmi, vagy a munkavállaló ellenőrzésének okán alkalmazni lehessen a biometrikus azonosító rendszereket (ujjlenyomat, retina-, vénaszkenner, arcfelismerés).

Az Európai Unióban és így Magyarországon is adatvédelmi kérdésekben a legalapvetőbb szabályokat az Áltatalános Adatvédelmi Rendelet (GDPR) adja meg 2018. májusa óta, így a biometrikus azonosító rendszerekre vonatkozó jogi előírásokat is meghatározza. A biometrikus adatok természetesen személyes adatoknak minősülnek.

A GDPR szerint biometrikus adatnak minősül egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi, vagy megerősíti a természetes személy egyedi azonosítását, ilyen például ujjlenyomat olvasó, retina-, vénaszkenner vagy arcfelismerés útján nyert és tárolt adat.

A biometrikus adatok fokozott védelmet élveznek, mert ezen adatok alapján hosszú időn át teljesen konkrétan meghatározhatók az ilyen adatokat hordozó személyek.

Biometrikus azonosítás a munkahelyen

A GDPR szerint természetes személyekre (így a munkavállalókra is) vonatkozó biometrikus adatok kezelése tilos, azonban lehetőséget teremt az uniós és a tagállami jognak arra, hogy ez alól az általános tiltás alól kellő garanciák mellett kivételeket hozzhassanak létre.

Magyarország a fentiek betartása mellett a Munka Törvénykönyvében ad a munkáltatók részére lehetőséget a munkavállalók biometrikus adatainak felvételére, tárolására és kezelésére, azonban emellett kellő alapossággal meghatározza azt is, hogy biometrikus adat természetes személy azonosítása céljából milyen esetben kezelhető.

Munkáltató biometrikus adatot természetes személy azonosítása céljából akkor kezelhet „ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége, avagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.”

Fenti megfogalmazás egyértelmű értelmezéséhez maga a Munka Törvénykönyve ad pontosítást, amikor is kimondja, hogy legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez, lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, nukleáris anyagok őrzéséhez, vagy legalább ötvenmillió forint feletti vagyoni érték védelméhez fűződő érdek ad kellő indokot természetes személyek biometrikus adatainak kezeléséhez.

Mint a kifejtettekből látható, munkavállaló biometrikus adata a hozzájárulása nélkül csak Munka Törvénykönyvében meghatározott célokból kezelhető, azonban ebben az esetben is érdekmérlegelési tesztet kell végeznie a munkáltatónak.

A teszt elvégzése során pedig a munkáltatónak többek között meg kell vizsgálnia, hogy a biometrikus adatkezelés alkalmazása nem váltható-e ki más azonosítási módszerrel, vagy azt is, hogy a biometrikus azonosító rendszerek közt adott esetben melyik korlátozza legkevésbé az érintett jogait.

A munkavállaló hozzájárulásának jogi kérdései

Mind a GDPR, mind a magyar adatvédelmi szabályok lehetővé teszik, hogy az érintett hozzájárulásával kezelhetők legyenek a rá vonatkozó személyes adatokat, így a biometrikus adatok is. Az érintett hozzájárulásának azonban annak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie.

A Nemzeti Adatvédelmi- és Információszabadság Hatóság (NAIH) több állásfoglalásában is foglalkozott és úgy ítélte meg, hogy a hozzájárulás adatkezelés jogalapként csak abban az esetben megfelelő, ha valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn negatív következmény veszélye a hozzájárulás megtagadása esetén.

A megkövetelt önkéntesség azonban a NAIH álláspontja szerint a munkaviszonyban nem értelmezhető, mivel a munkáltató és a munkavállaló között alá-fölé rendeltségi viszony van, és a munkavállaló alappal tarthat attól, hogy vagyoni következményei lennének a hozzájárulása megtagadásának, akár el is bocsáthatnák.

Fontos: A munkáltatóknak kellő körültekintéssel kell eljárniuk a biometrikus azonosító rendszerek bevezetése okán, egyrészt az esetleges büntetések másrészt pedig a munkavállalók jogainak tiszteletben tartása érdekében.

 

Forrás: Origo[:]

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.