Lietuvos vyriausiasis administracinis teismas (toliau – LVAT), š.m. balandžio 6 d. nutartyje pasisakė dėl darbuotojų biometrinių duomenų naudojimo.
Nagrinėjamoje byloje LVAT nustatė, kad bendrovės naudojo darbuotojų pirštų antspaudus tam, jog būtų pasiektas darbuotojų darbo laiko apskaitos ir darbo drausmės kontrolės tikslas. LVAT pabrėžė, jog „biometrinių duomenų tvarkymo priemonės galėtų būti taikomos siekiant tam tikrų labai reikšmingų tikslų ir tik išskirtinėmis aplinkybėmis”, o darbdavys visada privalo ieškoti „mažiausiai privatumą pažeidžiančių priemonių ir, jeigu įmanoma, pasirinkti su biometrinių duomenų tvarkymu nesusijusias priemones”. LVAT konstatavo, kad pirštų antspaudų naudojimas šiuo konkrečiu atveju neturi teisinio pagrindo ir yra nepagrįsta bei neproporcinga priemonė.
Biometrinių duomenų tvarkymą reglamentuoja Europos Parlamento ir Tarybos Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR). Biometriniai duomenys yra gaunami po specialaus techninio apdorojimo ir yra susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, pavyzdžiui, veido atvaizdai arba daktiloskopiniai duomenys.
Pagrindiniai biometrinių duomenų tvarkymo principai
Žemiau pateikiame pagrindinius principus, susijusius su biometrinių duomenų tvarkymu, siekiant užtikrinti jo teisėtumą:
- Biometriniai duomenys yra priskiriami specialių asmens duomenų kategorijai, kurių tvarkymui yra keliami griežtesni reikalavimai. Pagal BDAR 9 str. tokių duomenų tvarkymas yra draudžiamas, nebent yra remiamasi viena iš BDAR 9 str. 2 d. įtvirtintų sąlygų.
- Prieš pradedant tvarkyti biometrinius duomenis, kiekvienas duomenų valdytojas turi išnagrinėti, ar nustatyti tikslai gali būti įgyvendinti kitais būdais, t.y. naudojant kitus adekvačius ir tinkamus duomenis, bei kritiškai įvertinti, ar biometrinių duomenų tvarkymo priemonės yra tinkamos, adekvačios bei būtinos konkrečiam tikslui pasiekti. Nustačius, kad tą patį rezultatą galima pasiekti tvarkant kitus negu biometrinius duomenis, duomenų valdytojas turėtų atsisakyti biometrinių duomenų tvarkymo, tokiu būdu užtikrindamas duomenų kiekio mažinimo principą.
- Prieš pradedant tvarkyti biometrinius duomenis, duomenų valdytojas privalo įsivertinti galinčius kilti didelius pavojus pagrindinėms duomenų subjekto teisėms ir laisvėms bei turi pareigą atlikti poveikio duomenų apsaugai vertinimą (BDAR 35 str. 3 d. b) punktas).
- Duomenų valdytojas, atsižvelgdamas į BDAR 9 str. 2 d., privalo įsivertinti, ar apskritai turi teisinį pagrindą tvarkyti biometrinius asmens duomenis.
Biometrinių duomenų tvarkymo pagrindas darbo santykiuose
- Darbo santykiuose biometrinių duomenų tvarkymas galėtų būti laikomas teisėtu, jeigu darbuotojas aiškiai sutiktų, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais (BDAR 9 str. 2 d. a) punktas).
- Sutikimas tvarkyti biometrinius duomenis turėtų būti aiškus, duodamas laisva valia, konkretus bei vienareikšmis. Taip pat turi būti įvertinta, kad atsižvelgiant į darbo sutarties pobūdį bei darbuotojo kaip silpnesnės darbo santykių šalies poziciją, darbuotojo sutikimas tvarkyti jo asmens duomenis nėra pilnai savanoriškas ir duodamas laisva valia.
- Darbdavys privalo užtikrinti biometrinių duomenų naudojimo alternatyvą (pavyzdžiui, magnetines korteles, slaptažodžių įvedimus) bei tinkamai informuoti darbuotoją apie jam priklausančias teises vidinėse asmens duomenų tvarkymo taisyklėse nustatyta tvarka.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su biometrinių duomenų tvarkymu, tinkamo duomenų subjekto sutikimo rinkimu ar poveikio duomenų apsaugai vertinimu, siekiant užtikrinti tinkamą asmens duomenų apsaugą, kviečiame kreiptis į ECOVIS ProventusLaw komandą.