Az adatvédelmi hatósághoz korábban már érkezett egy megkeresés, hogy az általános adatvédelmi rendelet (GDPR) hatályba lépését követően alkalmazható-e a biometrikus beléptetőrendszer.

A kérdező még azzal kapcsolatosan is érdeklődött, hogy a munkavállaló biometrikus adatainak tárolásához elegendő-e a munkavállaló hozzájárulása. Az adatvédelmi hatóság válaszában egyértelműen kijelentette, hogy függőségi jogviszonyban (így a munkaviszonyban is) az érintett hozzájárulása jogalap (jogcím) nem alkalmazható a személyes adatok, így a biometrikus adatok kezelésére sem. Ezt a szabályt erősíti meg az Adatvédelmi Munkacsoport egyik, az érintetti hozzájárulással foglalkozó iránymutatása.

Az iránymutatás értelmében a munkáltató és a munkavállaló közötti jogviszonyból fakadó függőség miatt valószínűtlen, hogy az érintett meg tudná tagadni a munkáltatójától az adatkezelést anélkül, hogy az elutasításból fakadóan ne tapasztalná a káros hatások bekövetkezésétől való félelmet vagy azok tényleges kockázatát. A hivatkozott dokumentum konklúzióként megjegyzi, hogy a munkahelyi adatkezelés többsége esetében a jogszerű alap – a munkáltató és a munkavállaló közötti jogviszony jellege miatt – nem lehet és nem szabad, hogy a munkavállalók hozzájárulása legyen.

Az adatvédelmi hatóság szerint biometrikus adatkezelésre a megfelelő jogalap a munkáltató jogos érdeke lehet, amelynek jogszerűségét egy megfelelő érdekmérlegelési tesztben kell igazolni. Mindenképp fontos szempont, hogy az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges-e az adatkezelés, továbbá az adatkezelés arányossága fennáll-e, amit a munkáltatónak kell megfelelően bizonyítania és dokumentálnia egy érdekmérlegelési tesztben. Az arányosság elvének egyik központi kérdése, hogy van-e alternatívája a biometrikus rendszer alkalmazásának.

A hamarosan hatályba lépő Munka Törvénykönyve módosításának köszönhetően a jogszabály módosítás egyértelműen meghatározza, hogy a munkavállaló biometrikus adat milyen esetekben lehetséges, mikor jogszerű. A módosítások értelmében a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha
ez valamely dologhoz vagy adathoz történő jogosulatlan hozzáférés megakadályozásához szükséges. Ez a dolog lehet a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben meghatározott érdek, amely súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

A módosítás azt is meghatározza, hogy mi minősül jelentős érdeknek. Jelentős érdek:

  • a legalább “Bizalmas!” minősítési szintű minősített adatok védelméhez
  • a lőfegyver, lőszer, robbanóanyag őrzéséhez
  • a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez
  • a nukleáris anyagok őrzéséhez
  • a Btk. szerint legalább különösen nagy vagyoni érték védelméhez

fűződő érdek. A Büntető Törvénykönyv szerint különösen nagy vagyoni értéknek minősül a legalább ötvenmillió forint.

Tehát amennyiben a munkáltató a biometrikus beléptetőrendszert arra akarja alkalmazni, hogy nyilván tudja tartani a munkavállalók munkaidejét, akkor egyáltalán nem használható ilyen rendszer. Azonban ha olyan helyiségnél akarja beléptetésre használni, ahol pl. lőfegyver alkatrészeket tárolnak, akkor az abba a helyiségbe való belépéshez jogszerűen alkalmazhatja a biometrikus beléptetést.

A módosítást 2019. április 11-én hirdették ki, amely a kihirdetést követő 15. napon lép hatályba.