Son zamanlarda, Hollanda Veri Koruma Kurumu (AP), çalışanların parmak izlerini devam ve zaman kaydı için tarayan bir şirkete büyük bir para cezası, yani 725,000 Euro para cezası verdi. Parmak izi gibi biyometrik veriler, 9. Madde GDPR anlamı dahilindeki özel kişisel verilerdir. Bunlar, belirli bir kişiye kadar izlenebilen benzersiz özelliklerdir. Ancak, bu veriler genellikle tanımlama için gerekenden daha fazla bilgi içerir. Bu nedenle bunların işlenmesi, insanların temel hak ve özgürlükleri alanında büyük riskler oluşturmaktadır. Bu veriler yanlış ellere geçerse, bu potansiyel olarak onarılamaz hasara yol açabilir. Bu nedenle biyometrik veriler iyi korunmaktadır ve bunun yasal bir istisnası olmadıkça, Madde 9 GDPR uyarınca işlenmesi yasaktır. Bu durumda AP, söz konusu şirketin bir şirket hakkına sahip olmadığı sonucuna varmıştır. istisna özel kişisel verilerin işlenmesi için.
Parmak izi
GSYİH bağlamındaki parmak izi ve istisnalardan biri, yani zorunluluk, daha önce bloglarımızdan birinde şunları yazmıştık: 'GDPR'yi ihlal eden parmak izi'. Bu blog, istisna için diğer alternatif zemine odaklanmaktadır: izin. Bir işveren, şirketinde parmak izi gibi biyometrik veriler kullandığında, mahremiyet açısından çalışanının izniyle yeterli olabilir mi?
İzni ile bir spesifik, bilgili ve açık irade ifadesi GDPR Madde 4, bölüm 11'e göre, birisinin kişisel verilerinin işlenmesini bir beyan veya açık aktif eylemle kabul ettiği. Bu istisna bağlamında, işveren bu nedenle sadece çalışanlarının izin verdiğini göstermekle kalmamalı, aynı zamanda açık, spesifik ve bilgilendirilmiş olduğunu da göstermelidir. AP, iş sözleşmesini imzalamak veya işverenin sadece parmak izi ile tamamen saat içinde çalışma niyetini kaydettiği personel elkitabının bu bağlamda yetersiz kaldığı sonucuna varmıştır. Kanıt olarak, işveren, örneğin, çalışanlarının biyometrik verilerin işlenmesi hakkında yeterince bilgilendirildiğini ve aynı zamanda işlenmesi için (açık) izin verdiklerini gösteren politika, prosedürler veya diğer belgeleri sunmalıdır.
Eğer izin çalışan tarafından verilirse, sadece 'açık' Ayrıca 'serbestçe verildiAP'ye göre. 'Açık', örneğin, yazılı izin, imza, izin vermek için bir e-posta göndermek veya iki aşamalı doğrulama ile izin vermektir. 'Serbestçe verilmiş', arkasında hiçbir zorlama olmaması gerektiği anlamına gelir (söz konusu durumda olduğu gibi: parmak izinin taranmasını reddederken, yönetim kurulu / yönetim kurulu ile görüşmeyi takip ederken) veya bu izin, bir şeyin koşulu olabilir. farklı. Çalışanların zorunlu olması veya söz konusu durumda olduğu gibi bunu parmak izlerinin kaydedilmesi zorunluluğu olarak deneyimlenmesi durumunda 'serbestçe verilen' koşulu, her durumda işveren tarafından karşılanmaz. Genel olarak, AP, işveren ile çalışan arasındaki ilişkiden kaynaklanan bağımlılık göz önüne alındığında, çalışanın serbestçe rızasını vermesinin olası olmadığını değerlendirmiştir. Bunun tersi işveren tarafından kanıtlanmalıdır.
Bir çalışan, parmak izlerini işlemek için çalışanlarından izin istiyor mu? Daha sonra AP bu dava bağlamında prensipte buna izin verilmediğini öğrenir. Sonuçta, çalışanlar işverenlerine bağımlıdır ve bu nedenle çoğu zaman reddedilecek durumda değildir. Bu, işverenin izin alanına asla başarılı bir şekilde güvenemeyeceği anlamına gelmez. Bununla birlikte, işveren, çalışanlarının parmak izleri gibi biyometrik verilerini işlemek için, rızaya dayalı olarak itirazını başarılı kılmak için yeterli kanıtlara sahip olmalıdır. Biyometrik verileri şirketinizde kullanmayı mı düşünüyorsunuz, yoksa işvereniniz örneğin parmak izinizi kullanmak için sizden izin istiyor mu? Bu durumda, hemen harekete geçmemek ve izin vermek önemlidir, ancak önce doğru şekilde bilgilendirilmelidir. Law & More avukatlar gizlilik alanında uzmandır ve size bilgi sağlayabilir. Bu blog hakkında başka sorunuz var mı? Lütfen iletişime geçin Law & More.