Pēdējā laikā Datu valsts inspekcija saņem arvien vairāk jautājumu par biometrisko datu (pirkstu nospiedumu un sejas attēlu) apstrādi darba vietās, kas liecina par šīs tehnoloģijas pieaugošo popularitāti un tās izplatīšanos uzņēmējdarbības vidē. Kā novērots praksē, tad lielākais “klupšanas akmens” darba devējiem, ieviešot biometrisko datu apstrādes sistēmu, nav drošība, bet gan – kā apstrādāt datus likumīgi?
- Jāsaprot, ja vēlamo mērķi- piemēram, darba laika uzskaiti vai iekļūšanu ofisā- var sasniegt ar mazāku iejaukšanos darbinieka privātumā, tad biometrisko datu izmantošanu var uzskatīt par pārmērīgu no darba devēja puses un neatbilstošu normatīvo aktu prasībām. Piemēram, izmantojot to pašu čipkarti, var panākt minētos mērķus, neapstrādājot darbinieka biometriskos datus. Lai darba devējs ievērotu savu padoto personas datu aizsardzības prasības un respektētu darbinieku tiesības uz privātumu, ir skaidri jādefinē, kamdēļ ir vajadzīga tieši biometrisko datu apstrāde. Piemēram, ja uzņēmumā ir nepieciešams paaugstināt drošības līmeni un nepieļaut nepiederošu personu iekļūšanu telpās.
- Jāatceras, ka biometriskie dati[1] ir īpašās kategorijas dati, kuru apstrāde darba devējiem ir pieļaujama tikai noteiktos gadījumos, kas minēti Datu regulā. Sīkāk par biometriskajiem datiem esam skaidrojuši šeit- https://www.dvi.gov.lv/lv/jaunums/dviskaidro-biometrijas-datu-apstradi-mazumtirdznieciba
- Uzņēmumi, kas iekļūšanai darba vietā plāno izmantot savu darbinieku pirkstu nospiedumu vai sejas skenēšanu, biometrisko datu apstrādi varētu pamatot ar darbinieku piekrišanu. Jāatceras, ka darbinieka piekrišanai ir jābūt brīvi sniegtai, konkrētai un apzinātai[2]. Nedrīkst būt situācija, kad darbiniekam iestājas negatīvas sekas, jo viņš nav sniedzis savu piekrišanu.[3]
Par tiesisko pamatu - “piekrišana” datu apstrādei esam skaidrojuši jau iepriekš- https://www.dvi.gov.lv/lv/jaunums/dviskaidro-09122022
Piekrišana - brīvi sniegta. Tas norāda uz reālu izvēles iespēju un darbinieka kontroli pār saviem datiem.
Nepareizi |
Ieteicams |
AS “X”, kas nodarbina vairāk nekā 200 darbinieku, plāno caurlaides punktā ieviest sejas atpazīšanas sistēmu, līdz ar to darbinieki tikai pēc sejas noskenēšanas katru rītu tiks ielaisti AS “X” teritorijā. |
AS “X” plāno caurlaides punktā ieviest sejas atpazīšanas sistēmu, taču darbinieki iekļūt teritorijā var, arī izmantojot čipkarti. |
Skaidrojums |
|
Darba devējs, ieviešot biometrisko datu apstrādi caurlaides punktā, nepiedāvā izvēles iespēju, respektīvi nav nodrošināta alternatīva tiem darbiniekiem, kuri nepiekrīt biometrisko datu apstrādei. |
Darba devējs, ieviešot biometrisko datu apstrādi caurlaides punktā, saglabā iepriekšējo kārtību vai papildu biometrisko datu apstrādei izstrādā tikpat vienkāršu sistēmu, kurai nav nepieciešama biometrijas datu apstrāde, līdz ar to darbiniekam ir reālās izvēles iespējas. |
Konkrēta. Darba devējs nodrošina darbiniekam kontroli un pārredzamību pār saviem datiem. Darba devējam ir jānosaka konkrēts un likumīgs mērķis, kādēļ nepieciešams apstrādāt darbinieka biometriskos datus.
Nepareizi |
Ieteicams |
SIA “Y” darbiniekiem paziņo, ka visiem nepieciešams izveidot darba devēja sistēmā sejas biometriskos datus. |
SIA “Y” izsūta darbiniekiem informāciju, ka no nākamā mēneša plānota jauna kārtība uzņēmuma caurlaides punktā. Tiek sniegta informācija, ka dati tiks izmantoti tikai darbinieka identifikācijai, lai nodrošinātu piekļuvi telpām. Darba devējs uzsver, ka citiem nolūkiem- piemēram, darba laika uzskaitei- šī informācija izmantota netiks. |
Skaidrojums |
|
Darba devējs nav ar biometrisko datu apstrādes nolūkiem iepazīstinājis savus darbiniekus. |
Darba devējs ir sniedzis saviem darbiniekiem visu informāciju par biometrisko datu izmantošanas nolūkiem. |
Apzināta. Darba devējam skaidri un saprotami jāsniedz precīza informācija par visiem būtiskajiem jautājumiem saistībā ar plānoto datu apstrādi, tostarp biometrisko datu apstrādi. Darbiniekam ir jāzina, kā dati tiks apstrādāti, kādas ir iespējamās sekas no datu apstrādes tieši viņiem. Darba devējam jāsniedz arī cita informācija pārredzamības nodrošināšanai - attiecībā pret darbiniekiem var piemērot līdzīgus principus kā pret klientiem, par kuru informēšanu esam skaidrojuši -https://www.dvi.gov.lv/lv/jaunums/dviskaidro-privatuma-politika.
Nepareizi |
Ieteicams |
AS “Caurlaide” darbiniekiem noklusē informāciju, ka biometrisko matricu plāno izmantot arī darbinieku noskaņojuma analīzes veikšanai, lai prognozētu darbinieku produktivitāti. Pat ja darbinieki varētu būt gatavi piekrist biometrisko datu izmantošanai piekļuvei, būtiski apstrādes elementi no tiem noslēpti, līdz ar to piekrišana nebūs uzskatāma par spēkā esošu. |
AS “Caurlaide” darbinieku pirms izvēles izdarīšanas informē par plānoto personas datu apstrādi. Apzināta piekrišana iespējama, ja sniegts skaidrs un viegli saprotams apraksts par datu apstrādi, kuras veikšanai nepieciešama darbinieka piekrišana. |
Lai izvairītos no nelabvēlīgām sekām, pirms biometrisko datu apstrādes ieviešanas uzņēmumiem būtu lietderīgi veikt datu aizsardzības risku izvērtējumu. Šo procesu zinām kā Novērtējumu par ietekmi uz datu aizsardzību jeb NIDA, ar kura palīdzību uzņēmums var veikt dažādu risku analīzi, kas izriet no konkrētās datu apstrādes. Sīkāk par NIDA lasiet šeit- https://www.dvi.gov.lv/lv/jaunums/dviskaidro-NIDA.
Tāpat aicinām darba devējus, kuri ieviesuši biometrisko datu apstrādi savā uzņēmumā (kontroles sistēma, darba laika uzskaite vai tamlīdzīga biometrisko datu apstrāde), pārskatīt jau ieviestās sistēmas un ar tām saistīto dokumentāciju, lai datu apstrāde atbilstu Datu regulas prasībām.
Informatīvās atsauces:
[1] Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regula Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK
[2] Vispārīgā datu aizsardzības regulas 4. panta 11. punkts
[3] Rokasgrāmata par Eiropas tiesību aktiem datu aizsardzības jomā. 2018. gada izdevums. 125.lpp. Pieejams: https://fra.europa.eu/lv/publication/2022/rokasgramata-par-eiropas-tiesibu-aktiem-datu-aizsardzibas-joma-2018-gada-izdevums