Asmens duomenų apsauga: ką turėtumėte žinoti, jei tvarkote darbuotojų biometrinius duomenis?

Niekam ne paslaptis, kad biometrinius duomenis įmonės vis dažniau naudoja norėdamos identifikuoti klientus ar darbuotojus, tačiau, įsigaliojus BDAR, jų naudojimas darbo santykių srityje, kelia problemų.

Biometrinių duomenų (veido atvaizdo, piršto atspaudo, akies rainelės rašto) naudojimas darbuotojų identifikavimo tikslais (patekti į saugomas patalpas, prisijungti prie informacinių sistemų ir pan.) leidžia greitai ir patikimai autentifikuoti darbuotojus. Įsigaliojus BDAR, biometriniai duomenys, tvarkomi siekiant konkrečiai nustatyti fizinio asmens tapatybę, yra priskiriami specialių kategorijų asmens duomenų grupei. Tai reiškia, kad šiuos duomenis tvarkyti draudžiama, nebent yra remiamasi viena iš BDAR 9 str. įtvirtintų sąlygų. Jeigu stebėti vaizdą ar vykdyti patekimo į patalpas kontrolę, naudojant elektronines priemones, galima vadovaujantis teisėtu interesu, šiuo pagrindu negali būti grindžiamas biometrinių duomenų tvarkymas.

Ar galima remtis darbuotojo sutikimu?

Įmonėms, norinčioms naudoti biometrinius duomenis darbuotojų identifikavimui, belieka remtis darbuotojų sutikimu, tačiau sutikimas turi būti duodamas laisva valia ir bet kada gali būti atšauktas. Taigi pagal dabartinį reglamentavimą darbuotojas, kuris kaskart patekdamas į savo darbo vietą (pavyzdžiui, pavojingų cheminių medžiagų laboratoriją) yra atpažįstamas pagal piršto atspaudą, bet kurią dieną gali pranešti, kad toliau nebesutinka būti identifikuojamas šiuo būdu.

Be to, tiek Valstybinė duomenų apsaugos inspekcija, tiek kitų ES valstybių priežiūros institucijos laikosi pozicijos, jog darbuotojo kaip silpnesnės šalies darbo santykiuose sutikimas apskritai nelaikytinas laisvu ir savanorišku.

Siekiant užtikrinti sutikimo savanoriškumą, pabrėžiama alternatyvos biometrinių duomenų naudojimui būtinybė. Valstybinė duomenų apsaugos inspekcija Sporto klubuose atliekamo biometrinių duomenų tvarkymo teisėtumo tikrinimų apibendrinime nurodė, jog tuo atveju, kai klientams nėra pasiūloma lygiavertė, laisvai pasirenkama identifikavimosi alternatyva, klientų duodamas sutikimas tvarkyti jų pirštų atspaudų modelius nėra laisvas, todėl tokių duomenų tvarkymas yra neteisėtas.

Problemas išspręstų papildomas reglamentavimas

Toks problemos sprendimo būdas, kai asmeniui pasiūloma alternatyvi identifikavimo priemonė, įmanomas, jeigu tvarkomi įmonės klientų, pavyzdžiui, sporto klubo lankytojų biometriniai duomenys. Tačiau jeigu biometriniai duomenys yra naudojami identifikuoti darbuotoją, siekiant užtikrinti įmonės turto, duomenų saugumą ar patekimo į objektą, kuriame vykdoma pavojinga veikla, kontrolę, alternatyvių priemonių darbuotojui identifikuoti naudojimas (pavyzdžiui, leidžiant pasirinkti, nuskaityti piršto atspaudą arba įvesti slaptažodį) paneigia patį saugumo užtikrinimo tikslą. Todėl įmonė, siekianti užtikrinti saugumą ir kartu tinkamai vykdyti asmens duomenų apsaugos reikalavimus, atsiduria aklavietėje.

Šiuo atveju reikalingas sprendimas įstatymų lygiu. Remiantis BDAR 9 str. 4 d., ES narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, biometrinių duomenų tvarkymui. Be to, BDAR 88 str. įtvirtinta valstybių narių teisė numatyti konkretesnes taisykles, susijusias su darbuotojų asmens duomenų tvarkymu, be kita ko, įskaitant ir siekį užtikrinti darbdavio ar kliento turto apsaugą. Šiuo metu galiojančiame Asmens duomenų teisinės apsaugos įstatyme jokių nuostatų dėl biometrinių duomenų tvarkymo nėra.

Užsienio praktika

Sektinu minėtos problemos sprendimo pavyzdžiu galėtų būti Prancūzija. Prancūzijos naujos redakcijos asmens duomenų apsaugą reglamentuojantis įstatymas nustato, jog darbdaviai turi teisę tvarkyti biometrinius duomenis, jei tai būtina siekiant vykdyti patekimo į darbo vietas kontrolę, taip pat kontroliuoti prieigą prie įrangos ir programų, naudojamų atliekant užduotis, patikėtas darbuotojams, agentams, praktikantams ar paslaugų teikėjams. Tvarkant biometrinius duomenis turi būti vadovaujamasi priežiūros institucijos (CNIL) patvirtintomis taisyklėmis. Šiose taisyklėse nustatyta, kokius konkrečius asmens duomenis galima tvarkyti nurodytais tikslais, reglamentuoti duomenų saugojimo terminai, nurodytos  techninės ir organizacinės priemonės, kurios privalo būti įgyvendintos užtikrinant duomenų saugumą. Minėtose taisyklėse taip pat reikalaujama atlikti poveikio duomenų apsaugai vertinimą, kuris turi būti atnaujinamas ne rečiau kaip kartą per trejus metus.

Nustatytos priemonės nereiškia, jog biometriniai duomenys darbo santykių kontekste gali būti tvarkomi visais atvejais. Minėtos Prancūzijos priežiūros institucijos (CNIL) patvirtintos taisyklės reikalauja, jog darbdavys nuodugniai pagrįstų, kodėl jo vykdomoje veikloje būtina užtikrinti aukšto lygio saugumą, nurodytų priežastis naudoti biometrinius duomenis, o ne kitas technologijas.

Kadangi teisinis reguliavimas įprastai vejasi gyvenimo realijas ir neretai nuo jų atsilieka, belieka tikėtis, kad biometrinių duomenų naudojimo darbo santykiuose klausimas artimiausiu metu bus reglamentuotas ir Lietuvoje. Svarbu nepamiršti, kad biometriniai duomenys yra priskirtini jautrių duomenų kategorijai, todėl gali būti naudojami tik tuomet, kai kitos priemonės yra nepakankamos siekiant duomenų valdytojo nustatytų tikslų. Visais atvejais naudojant biometrinius duomenis reikalinga įdiegti patikimas saugumo priemones, nustatyti duomenų saugojimo terminus ir atlikti poveikio duomenų apsaugai vertinimą.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.