Heimild sem undantekning fyrir vinnslu líffræðilegra gagna

Nýlega lagði hollenska Persónuverndin (AP) stóra sekt, nefnilega 725,000 evrur, á fyrirtæki sem skannaði fingraför starfsmanna vegna mætingar og tímaskráningar. Líffræðileg tölfræði gögn, svo sem fingrafar, eru sérstök persónuleg gögn í skilningi 9. gr. GDPR. Þetta eru einstök einkenni sem rekja má til eins ákveðins aðila. Hins vegar innihalda þessi gögn oft meiri upplýsingar en nauðsynlegar eru til dæmis til að bera kennsl á. Afgreiðsla þeirra felur því í sér mikla áhættu á sviði grundvallarréttinda og frelsis fólks. Ef þessi gögn komast í rangar hendur gæti það hugsanlega leitt til óbætanlegs tjóns. Líffræðileg tölfræðileg gögn eru því vel varin og vinnsla þeirra er bönnuð samkvæmt 9. gr. GDPR, nema löglegur undantekning sé fyrir hendi. Í þessu tilfelli komst AP að þeirri niðurstöðu að viðkomandi fyrirtæki ætti ekki rétt á undantekning til vinnslu sérstakra persónuupplýsinga.

Um fingrafar í tengslum við GDPR og eina undantekninguna, þ.e. nauðsyn, skrifuðum við áður í eitt af bloggsíðunum okkar: „Fingrafar í bága við GDPR“. Þetta blogg fjallar um aðrar aðrar undantekningargrundir: leyfi. Þegar vinnuveitandi notar líffræðileg tölfræði gögn eins og fingraför í fyrirtæki sínu, getur hann, hvað varðar friðhelgi einkalífsins, látið nægja með leyfi starfsmanns síns?

Heimild sem undantekning fyrir vinnslu líffræðilegra gagna

Með leyfi er átt við a sértæk, upplýst og ótvíræð tjáning vilja sem einhver samþykkir vinnslu persónuupplýsinga sinna með yfirlýsingu eða ótvíræðum virkum aðgerðum, skv. 4. gr., lið 11, GDPR. Í tengslum við þessa undantekningu verður vinnuveitandinn því ekki aðeins að sýna fram á að starfsmenn hans hafi veitt leyfi, heldur einnig að þetta hafi verið ótvírætt, sértækt og upplýst. Að undirrita ráðningarsamninginn eða fá starfsmannahandbókina þar sem vinnuveitandinn hefur aðeins skráð áform um að klukka alveg inn með fingrafarinu, er ekki nægjanlegt í þessu samhengi. Sem sönnunargögn verður vinnuveitandinn til dæmis að leggja fram stefnu, verklag eða önnur gögn sem sýna að starfsmenn hans séu nægjanlega upplýstir um vinnslu líffræðilegra gagna og að þeir hafi einnig gefið (skýrt) leyfi til vinnslu þeirra.

Ef leyfi er veitt af starfsmanni verður það ennfremur ekki aðeins að vera „skýrt' en einnig 'frjálst gefiðsamkvæmt upplýsingum AP. „Skýrt“ er til dæmis skriflegt leyfi, undirskrift, senda tölvupóst til að veita leyfi eða leyfi með tveggja þrepa staðfestingu. „Frjálst gefið“ þýðir að það má ekki vera nein þvingun á bak við það (eins og raunin var í málinu sem um ræðir: þegar neitað er að skanna fingrafar, samtali við leikstjórann / stjórnina fylgt) eða að leyfi getur verið skilyrði fyrir einhverju öðruvísi. Skilyrðið „frjálst gefið“ er í öllum tilvikum ekki fullnægt af vinnuveitandanum þegar starfsmönnum er skylt eða, eins og í viðkomandi tilviki, upplifa það sem skyldu að láta taka fingrafar sitt á skrá. Almennt, samkvæmt þessari kröfu, taldi AP að í ljósi þess háðs sem stafar af tengslum vinnuveitanda og starfsmanns, er ólíklegt að starfsmaðurinn geti veitt samþykki sitt frjálst. Atvinnurekandinn verður að sanna hið gagnstæða.

Óskar starfsmaður eftir leyfi starfsmanna sinna til að vinna úr fingrafarinu? Þá lærir AP í samhengi þessa máls að í grundvallaratriðum er þetta ekki leyfilegt. Þegar öllu er á botninn hvolft eru starfsmenn háðir vinnuveitanda sínum og eru því oft ekki í stakk búnir til að neita. Það er ekki þar með sagt að vinnuveitandinn geti aldrei reitt sig vel á leyfisgrundvöllinn. Vinnuveitandinn verður þó að hafa nægar sannanir til að áfrýjun hans á grundvelli samþykkis takist til að vinna úr líffræðilegum gögnum starfsmanna sinna, svo sem fingraförum. Ætlar þú að nota líffræðileg tölfræðigögn innan fyrirtækisins þíns eða biður vinnuveitandi þig um leyfi til að nota fingrafar þitt, til dæmis? Í því tilfelli er mikilvægt að bregðast ekki við strax og veita leyfi heldur að vera fyrst upplýstur rétt. Law & More lögfræðingar eru sérfræðingar á sviði persónuverndar og geta veitt þér upplýsingar. Hefur þú einhverjar aðrar spurningar varðandi þetta blogg? Vinsamlegast hafðu samband Law & More.

Deila