Biometrisko datu izmantošana darba vidē: vai tas atbilst VDAR prasībām?
Mūsdienās arvien vairāk uzņēmumu ievieš modernās tehnoloģijas, lai uzlabotu drošības un piekļuves kontroles mehānismus. Viens no šim risinājumiem ir darbinieku autentifikācija, izmantojot biometriskos datus, piemēram, pirksta nospiedumus vai acu skenēšanu. Lai gan šādas tehnoloģijas var palielināt efektivitāti un drošību, tās rada nopietnus jautājumus saistībā ar datu aizsardzību un darbinieku tiesībām, īpaši Vispārējās datu aizsardzības regulas (VDAR) kontekstā.
Biometriskie dati un to aizsardzības nozīme
Saskaņā ar VDAR, biometriskie dati tiek klasificēti kā īpašu kategoriju personas dati jeb sensitīvi dati, jo tie identificē personu pēc unikālām fiziskajām, fizioloģiskajām vai uzvedības pazīmēm. VDAR 9. pantā noteikts, ka šādu datu apstrāde ir aizliegta, izņemot gadījumus, kad pastāv skaidri noteikts juridiskais pamats, piemēram, darbinieka piekrišana vai apstrāde ir nepieciešama leģitīmām darba devēja interesēm, kuras nav pretrunā ar darbinieka tiesībām.
Vai darbiniekiem var pieprasīt biometriskos datus?
Lai noteiktu, vai darba devējam ir tiesības pieprasīt biometriskos datus, nepieciešams izvērtēt vairākus aspektus. Pirmkārt, darba devējam ir jāpierāda, ka biometrisko datu apstrāde ir objektīvi nepieciešama, piemēram, augstu drošības prasību dēļ, piemēram, piekļuvei laboratorijām vai konfidenciālu datu glabāšanas telpām. Vienkāršota administratīvā efektivitāte pati par sevi nevar būt pietiekams pamatojums.
Otrkārt, saskaņā ar VDAR 5. panta 1. punkta c) apakšpunktu, dati ir jāapstrādā tādā veidā, kas atbilst datu minimizēšanas principam un ir mazāk privātumu ietekmējošs. Ja to pašu mērķi var sasniegt, izmantojot kodu kartes vai paroles, biometriskās sistēmas izmantošana var nebūt attaisnojama. Treškārt, darbinieka piekrišanai jābūt pilnībā brīvai, un piekrišanas atteikuma gadījumā nedrīkst būt negatīvas sekas. Situācijas, kur piekrišana ir šķietami brīvprātīga, bet patiesībā nav reālas alternatīvas, ir pretrunā VDAR principiem. Ceturtkārt, darba devējam jābūt gatavam skaidri informēt darbiniekus par datu apstrādes mērķi, uzglabāšanas ilgumu, drošības pasākumiem un to, kam šie dati tiks nodoti.
Reālā darba vidē šīs prasības bieži vien ir grūti izpildāmas, jo darbinieku attiecībās nepastāv varas līdzsvars. Pirms biometrisko datu apstrādes ieviešanas ir jāveic NIDA (Novērtējums par ietekmi uz datu aizsardzību), lai izvērtētu riskus un nodrošinātu atbilstību VDAR prasībām. Tas ir īpaši svarīgi, ja biometrisko datu apstrāde ietver automatizētu personas identificēšanu.
Sodi un piemēri no citu valstu prakses
Pēdējie piemēri Eiropas Savienībā liecina par būtiskiem riskiem, kas saistīti ar VDAR pārkāpumiem biometrisko datu apstrādē. 2024. gadā Beļģijā uzņēmumam tika piemērots sods 45 000 eiro apmērā par darbinieku pirkstu nospiedumu izmantošanu darba laika reģistrācijai.[1] Izmeklēšanā tika atklāts, ka darbinieku piekrišana nebija derīga, jo tā nebija brīvprātīga, kā arī darba devējs nesniedza pietiekamu informāciju par datu apstrādes mērķiem, uzglabāšanas ilgumu un to, kas tiks darīts ar datiem. Turklāt tika secināts, ka biometrisko datu izmantošana šim mērķim nebija proporcionāla, jo varēja izmantot alternatīvas, piemēram, darbinieku kartes.
Savukārt Nīderlandē 2020. gadā organizācija tika sodīta ar 725 000 eiro naudassodu par darbinieku pirkstu nospiedumu izmantošanu, lai kontrolētu piekļuvi darba vietai.[2] Šajā gadījumā pārkāpumi ietvēra NIDA neveikšanu, kas ir obligāta prasība, apstrādājot sensitīvus datus. Papildus tam organizācija nepiedāvāja alternatīvas mazāk privātumu ietekmējošas metodes un arī nespēja pierādīt, ka datu apstrāde bija objektīvi nepieciešama.
Šie gadījumi skaidri demonstrē, cik būtiski ir ievērot caurspīdības, datu minimizēšanas un piekrišanas principus, kā arī obligāti veikt risku novērtējumu pirms biometrisko datu izmantošanas. Tie uzsver, ka neatbilstība VDAR ne tikai apdraud darbinieku privātumu, bet arī rada nopietnus juridiskus un finansiālus riskus darba devējiem.
Galvenie secinājumi un ieteikumi
Lai nodrošinātu, ka biometrisko datu apstrāde atbilst VDAR prasībām, darba devējiem jāveic vairāki būtiski pasākumi. Pirmkārt, ir obligāti jāveic novērtējums par ietekmi uz datu aizsardzību, kas palīdz identificēt un samazināt iespējamos riskus, apstrādājot sensitīvus datus. Otrkārt, ir jāievēro datu minimizēšanas princips, apstrādājot tikai tos datus, kas ir absolūti nepieciešami, un ievērojot ierobežotu uzglabāšanas periodu. Treškārt, ir svarīgi nodrošināt augstus drošības standartus, tostarp šifrēšanu un citus tehniskos risinājumus, lai pasargātu datus no noplūdes vai nesankcionētas piekļuves. Tāpat būtiska ir darbinieku apmācība un informēšana par datu aizsardzības principiem un viņu tiesībām.
Citu valstu piemēri uzsver, ka biometrisko datu apstrādes atbilstība VDAR nav tikai juridiska prasība, bet arī svarīgs ētikas un uzticības jautājums. Darba devējiem ir jāizvērtē, vai biometrisko datu izmantošana ir absolūti nepieciešama, un jāizvēlas mazāk privātumu ietekmējošas alternatīvas, kad tas ir iespējams. Šāda pieeja nodrošina ne tikai likuma ievērošanu, bet arī stiprina darbinieku uzticību uzņēmumam.
[2] autoriteitpersoonsgegevens.nl
Publicēts: iTiesības
Saistītie pakalpojumi
