Biyometrik verilerin işlenmesinde istisna olarak izin

Son zamanlarda, Hollanda Veri Koruma Kurumu (AP), çalışanların parmak izlerini devam ve zaman kaydı için tarayan bir şirkete büyük bir para cezası, yani 725,000 Euro para cezası verdi. Parmak izi gibi biyometrik veriler, 9. Madde GDPR anlamı dahilindeki özel kişisel verilerdir. Bunlar, belirli bir kişiye kadar izlenebilen benzersiz özelliklerdir. Ancak, bu veriler genellikle tanımlama için gerekenden daha fazla bilgi içerir. Bu nedenle bunların işlenmesi, insanların temel hak ve özgürlükleri alanında büyük riskler oluşturmaktadır. Bu veriler yanlış ellere geçerse, bu potansiyel olarak onarılamaz hasara yol açabilir. Bu nedenle biyometrik veriler iyi korunmaktadır ve bunun yasal bir istisnası olmadıkça, Madde 9 GDPR uyarınca işlenmesi yasaktır. Bu durumda AP, söz konusu şirketin bir şirket hakkına sahip olmadığı sonucuna varmıştır. istisna özel kişisel verilerin işlenmesi için.

GSYİH bağlamındaki parmak izi ve istisnalardan biri, yani zorunluluk, daha önce bloglarımızdan birinde yazdık: 'GDPR'yi ihlal eden parmak izi'. Bu blog, istisna için diğer alternatif zemine odaklanmaktadır: izin. Bir işveren, şirketinde parmak izi gibi biyometrik veriler kullandığında, mahremiyet açısından çalışanının izniyle yeterli olabilir mi?

Biyometrik verilerin işlenmesinde istisna olarak izin

İzni ile bir spesifik, bilgili ve açık irade ifadesi GDPR Madde 4, bölüm 11'e göre, birisinin kişisel verilerinin işlenmesini bir beyan veya açık aktif eylemle kabul ettiği. Bu istisna bağlamında, işveren bu nedenle sadece çalışanlarının izin verdiğini göstermekle kalmamalı, aynı zamanda açık, spesifik ve bilgilendirilmiş olduğunu da göstermelidir. AP, iş sözleşmesini imzalamak veya işverenin sadece parmak izi ile tamamen saat içinde çalışma niyetini kaydettiği personel elkitabının bu bağlamda yetersiz kaldığı sonucuna varmıştır. Kanıt olarak, işveren, örneğin, çalışanlarının biyometrik verilerin işlenmesi hakkında yeterince bilgilendirildiğini ve aynı zamanda işlenmesi için (açık) izin verdiklerini gösteren politika, prosedürler veya diğer belgeleri sunmalıdır.

Eğer izin çalışan tarafından verilirse, sadece 'açık' Ayrıca 'serbestçe verildiAP'ye göre. 'Açık', örneğin, yazılı izin, imza, izin vermek için bir e-posta gönderme veya iki adımlı doğrulamayla izintir. 'Serbestçe verilmesi', arkasında herhangi bir zorlama olmaması gerektiği anlamına gelir (söz konusu durumda olduğu gibi: parmak izinin taranmasını reddettiğinizde, yönetmen / yönetim kurulu ile bir görüşmenin takip edilmesi) veya bu iznin bir şey için koşul olabileceği anlamına gelir. farklı. 'Serbestçe verilen' durum, çalışanların yükümlü olduğu veya söz konusu durumda olduğu gibi, parmak izlerini kaydettirme zorunluluğu olarak işveren tarafından hiçbir şekilde karşılanmaz. Genel olarak, bu gereklilik kapsamında AP, işveren ve çalışan arasındaki ilişkiden kaynaklanan bağımlılık göz önüne alındığında, çalışanın kendi rızasını serbestçe vermesi olası değildir. Bunun tersi işveren tarafından kanıtlanmalıdır.

Bir çalışan, parmak izlerini işlemek için çalışanlarından izin istiyor mu? Daha sonra AP bu dava bağlamında prensipte buna izin verilmediğini öğrenir. Sonuçta, çalışanlar işverenlerine bağımlıdır ve bu nedenle çoğu zaman reddedilecek durumda değildir. Bu, işverenin izin alanına asla başarılı bir şekilde güvenemeyeceği anlamına gelmez. Bununla birlikte, işveren, çalışanlarının parmak izleri gibi biyometrik verilerini işlemek için, rızaya dayalı olarak itirazını başarılı kılmak için yeterli kanıtlara sahip olmalıdır. Biyometrik verileri şirketinizde kullanmayı mı düşünüyorsunuz, yoksa işvereniniz örneğin parmak izinizi kullanmak için sizden izin istiyor mu? Bu durumda, hemen harekete geçmemek ve izin vermek önemlidir, ancak önce doğru şekilde bilgilendirilmelidir. Law & More avukatlar gizlilik alanında uzmandır ve size bilgi sağlayabilir. Bu blog hakkında başka sorunuz var mı? Lütfen iletişime geçin Law & More.

paylaş