Vai drīkst ieiet birojā, izmantojot pirksta nospiedumu?

Mūsdienās arvien vairāk uzņēmumu ievieš modernās tehnoloģijas, lai uzlabotu drošības un piekļuves kontroles mehānismus. Viens no risinājumiem ir darbinieku autentifikācija, izmantojot biometriskos datus, piemēram, pirksta nospiedumus vai acu skenēšanu. Lai gan šādas tehnoloģijas var palielināt efektivitāti un drošību, tās rada nopietnus jautājumus saistībā ar datu aizsardzību un darbinieku tiesībām, īpaši Vispārējās datu aizsardzības regulas kontekstā. Vai šādu datu pieprasīšana ir pieļaujama?

Saskaņā ar Vispārējo datu aizsardzības regulu biometriskie dati tiek klasificēti kā īpašu kategoriju personas dati jeb sensitīvi dati, jo tie identificē personu pēc unikālām fiziskajām, fizioloģiskajām vai uzvedības pazīmēm. Regulas 9.pantā noteikts, ka šādu datu apstrāde ir aizliegta, izņemot gadījumus, kad pastāv skaidri noteikts juridiskais pamats, piemēram, darbinieka piekrišana, vai apstrāde ir nepieciešama leģitīmām darba devēja interesēm, kas nav pretrunā ar darbinieka tiesībām.

Priekšnoteikumi biometrisko datu izmantošanai

Lai noteiktu, vai darba devējam ir tiesības pieprasīt biometriskos datus, nepieciešams izvērtēt vairākus aspektus. Pirmkārt, darba devējam jāpierāda, ka biometrisko datu apstrāde ir objektīvi nepieciešama, piemēram, augstu drošības prasību dēļ – piekļuvei laboratorijām vai konfidenciālu datu glabāšanas telpām. Vienkāršota administratīvā efektivitāte pati par sevi nav pietiekams pamatojums.

Otrkārt, saskaņā ar regulas 5.panta 1.punkta c) apakšpunktu dati jāapstrādā tādā veidā, kas atbilst datu minimizēšanas principam un mazāk ietekmē privātumu. Ja to pašu mērķi var sasniegt, izmantojot kodu kartes vai paroles, biometriskās sistēmas izmantošana var nebūt attaisnojama. Tāpat darbinieka piekrišanai jābūt pilnībā brīvai un piekrišanas atteikuma gadījumā nedrīkst būt negatīvas sekas. Situācijas, kur piekrišana ir šķietami brīvprātīga, bet patiesībā nav alternatīvas, ir pretrunā Vispārējās datu aizsardzības regulas principiem. Darba devējam jābūt gatavam darbiniekus skaidri informēt par datu apstrādes mērķi, uzglabāšanas ilgumu, drošības pasākumiem un to, kam šie dati tiks nodoti.

Reālā darba vidē šīs prasības bieži vien ir grūti izpildāmas, jo darbinieku attiecībās nepastāv varas līdzsvars. Pirms biometrisko datu apstrādes ieviešanas jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu riskus un nodrošinātu atbilstību regulas prasībām. Tas ir īpaši svarīgi, ja biometrisko datu apstrāde ietver automatizētu personas identificēšanu.

Piemērotie sodi citu valstu praksē

Pēdējie piemēri Eiropas Savienībā liecina par būtiskiem riskiem, kas saistīti ar Vispārējās datu aizsardzības regulas pārkāpumiem biometrisko datu apstrādē. 2024.gadā Beļģijā uzņēmumam tika piemērots sods 45 000 eiro apmērā par darbinieku pirkstu nospiedumu izmantošanu darba laika reģistrācijai. Izmeklēšanā tika atklāts, ka darbinieku piekrišana nebija derīga, jo tā nebija brīvprātīga, kā arī darba devējs nesniedza pietiekamu informāciju par datu apstrādes mērķiem, uzglabāšanas ilgumu un to, kas tiks darīts ar datiem. Turklāt tika secināts, ka biometrisko datu izmantošana šim mērķim nebija proporcionāla, jo varēja izmantot alternatīvas, piemēram, darbinieku kartes.

Savukārt Nīderlandē 2020.gadā organizācija tika sodīta ar 725 000 eiro naudassodu par darbinieku pirkstu nospiedumu izmantošanu, lai kontrolētu piekļuvi darba vietai. Šajā gadījumā pārkāpumi ietvēra novērtējuma par ietekmi uz datu aizsardzību neveikšanu, kas ir obligāta prasība, apstrādājot sensitīvus datus. Papildus tam organizācija nepiedāvāja alternatīvas mazāk privātumu ietekmējošas metodes un nespēja pierādīt, ka datu apstrāde bija objektīvi nepieciešama.

Šie gadījumi skaidri demonstrē, cik būtiski ir ievērot caurspīdības, datu minimizēšanas un piekrišanas principus, kā arī obligāti veikt risku novērtējumu pirms biometrisko datu izmantošanas. Tie uzsver, ka neatbilstība regulai ne tikai apdraud darbinieku privātumu, bet arī rada nopietnus juridiskus un finansiālus riskus darba devējiem.

Publicēts: iTiesibas.lv. 28.01.2025.