Vinnsla líffræðileg tölfræðigögn útskýrð
Nýlega lagði hollenska persónuverndarstofnunin (AP) háa sekt, nefnilega 725,000 evrur, á fyrirtæki sem skannaði fingraför starfsmanna til mætingar og tímaskráningar. Líffræðileg tölfræðigögn, svo sem fingrafar, eru sérstakar persónuupplýsingar í skilningi 9. gr. GDPR. Þetta eru einstök einkenni sem má rekja til einstaks einstaklings. Hins vegar innihalda þessi gögn oft fleiri upplýsingar en nauðsynlegar eru til td auðkenningar.
Vinnsla þeirra hefur því í för með sér mikla áhættu á sviði grundvallarréttinda og frelsis fólks. Ef þessi gögn komast í rangar hendur gæti það hugsanlega leitt til óbætans tjóns. Líffræðileg tölfræðigögn eru því vel varin og vinnsla þeirra bönnuð samkvæmt 9. gr. GDPR, nema lagaleg undantekning sé fyrir því. Í þessu tilviki komst AP að þeirri niðurstöðu að viðkomandi fyrirtæki ætti ekki rétt á a undantekning til vinnslu sérstakra persónuupplýsinga.
fingrafar
Um fingrafar í tengslum við GDPR og eina undantekninguna, þ.e. nauðsyn, skrifuðum við áður í eitt af bloggsíðunum okkar: „Fingrafar í bága við GDPR“. Þetta blogg fjallar um aðrar aðrar undantekningargrundir: leyfi. Þegar vinnuveitandi notar líffræðileg tölfræði gögn eins og fingraför í fyrirtæki sínu, getur hann, hvað varðar friðhelgi einkalífsins, látið nægja með leyfi starfsmanns síns?
Með leyfi er átt við a sértæk, upplýst og ótvíræð tjáning vilja sem einhver samþykkir vinnslu á persónuupplýsingum sínum með yfirlýsingu eða ótvíræðri virkri aðgerð, samkvæmt 4. gr., 11. kafla GDPR. Í tengslum við þessa undanþágu ber vinnuveitanda því ekki aðeins að sýna fram á að starfsmenn hans hafi veitt leyfi, heldur einnig að það hafi verið ótvírætt, sértækt og upplýst.
Að undirrita ráðningarsamninginn eða fá starfsmannahandbókina þar sem vinnuveitandinn hefur aðeins skráð áform um að klukka fullkomlega inn með fingrafarinu er ófullnægjandi í þessu samhengi, segir AP að lokum. Til sönnunar ber vinnuveitanda td að leggja fram stefnu, verklagsreglur eða önnur gögn sem sýna að starfsmenn hans séu nægilega upplýstir um vinnslu líffræðilegra gagna og að þeir hafi jafnframt gefið (skýrt) leyfi fyrir vinnslu þeirra.
Ef leyfi er veitt af starfsmanni verður það ennfremur ekki aðeins að vera „skýrt' en einnig 'frjálst gefið“, að sögn AP. „Greint“ er til dæmis skriflegt leyfi, undirskrift, að senda tölvupóst til að gefa leyfi eða leyfi með tvíþættri staðfestingu. „Frjálslega gefið“ þýðir að ekki megi liggja að baki þvingunum (eins og var í viðkomandi tilviki: þegar neitað var að fingrafarið yrði skannað, fylgt samtali við forstöðumann/stjórn) eða að leyfi gæti verið skilyrði fyrir einhverju. öðruvísi.
Skilyrðið „af frjálsum hætti“ er í öllu falli ekki uppfyllt af vinnuveitanda þegar starfsmönnum er skylt eða eins og í því tilviki sem hér um ræðir upplifa það sem skyldu að láta skrá fingrafar sitt. Almennt séð, samkvæmt þessari kröfu, taldi AP að miðað við það ávanabindi sem stafar af sambandi vinnuveitanda og starfsmanns, er ólíklegt að starfsmaðurinn geti frjálslega veitt samþykki sitt. Hið gagnstæða verður að sanna af vinnuveitanda.
Óskar starfsmaður eftir leyfi frá starfsmönnum sínum til að vinna fingrafar sitt? Þá kemst AP að því í samhengi við þetta mál að þetta er í grundvallaratriðum ekki leyfilegt. Enda eru starfsmenn háðir vinnuveitanda sínum og eru því oft ekki í aðstöðu til að neita. Þetta er ekki þar með sagt að vinnuveitandinn geti aldrei treyst á leyfisgrundvöllinn.
Hins vegar þarf vinnuveitandi að hafa nægar sönnunargögn til að áfrýjun hans á grundvelli samþykkis nái fram að ganga, til að vinna úr líffræðilegum tölfræðiupplýsingum starfsmanna sinna, svo sem fingraför. Ætlar þú að nota líffræðileg tölfræðigögn innan fyrirtækis þíns eða biður vinnuveitandi þinn þig um leyfi til að nota fingrafarið þitt, til dæmis? Í því tilviki er mikilvægt að bregðast ekki strax við og veita leyfi, heldur fyrst að vera rétt upplýstur. Law & Fleiri lögfræðingar eru sérfræðingar á sviði persónuverndar og geta veitt þér upplýsingar. Hefur þú einhverjar aðrar spurningar um þetta blogg? Vinsamlegast hafið samband Law & More.