Andmekaitseuudised

GDPRNäotuvastustehnoloogia töösuhetes – õigusvastane ka Eestis.

Näotuvastustehnoloogia töösuhetes – õigusvastane ka Eestis.

Postitatud

Itaalia andmekaitse järelevalveasutus Garante per la protezione dei dati personali trahvis 06.06.2024 tööandjat 120 000 euroga.

Tööandja võttis 2018. aastal oma töötajate kohaloleku kontrollimiseks, töökohale juurdepääsu võimaldamiseks ja tööülesannete registreerimiseks kasutusele näotuvastustarkvara. 2021.a. esitas üks töötaja kaebuse andmekaitse järelevalveasutusele väitega, et tegu on GDPR nõuete rikkumisega.

Vastutav töötleja väitis, et töötajatele esitleti privaatsuspoliitikat ning lisaks  võeti neilt kõigilt nõusolek isikuandmete töötlemiseks. Eesmärgina tõi vastutav töötleja välja tööviljakuse ja toodete kvaliteedi parandamise. Samuti viis vastutav töötleja läbi mõjuhinnangu.

Andmekaitse järelevalveasutus juhtis tähelepanu kõigepealt sellele, et näotuvastustarkvara  abil töödeldavad andmed on biomeetrilised andmed ning nende töötlemine on GDPR artiklis 9 keelatud. Andmete töötlemistoimingud on nii andmesubjektide biomeetriliste andmete kogumine (nt esmane pildistamine) kui ka näo vastavuse kontrollimine andmekogu abil.

Järelevalveasutus möönis, et GDPR artikli 9 lg 2 p b võimaldab erandit eriliigiliste andmete töötlemise keelust töösuhte ja sotsiaalkindlustuse valdkonnas, kuid üksnes siis kui teatavad tingimused on täidetud: töötlemine peab olema vajalik vastutava töötleja kohustuste või andmesubjekti õiguste tagamiseks ning olema sätestatud liikmesriigi siseriiklikus või EL õigusaktis või kollektiivlepingus, tagamaks andmesubjektile tema õiguste ja huvide kaitse. Järelevalveasutus sedastas, et  ühtegi asjakohast siseriiklikku õigusakti Itaalias ei eksisteeri.

Järelevalveasutus ei nõustunud vastutava töötleja argumendiga nõusolekute kogumise kohta. Töösuhe on olemuslikult tasakaalustamata, seega ei ole nõusolek töösuhete kontekstis asjakohane õiguslik alus. Seetõttu antud juhul on nõusolekule tuginemine vastuolus GDPR artikli 9 lõikega 1.

Järelevalveasutus tõi esile, et vastutav töötleja rikkus andmete minimaalsuse põhimõtet, kuna ei tõestanud sellise töötlemise vajalikkust ning proportsionaalsust, iseäranis arvestades, et kohaloleku registreerimiseks on võimalik kasutada töötajate privaatsust vähem riivavaid meetmeid.

Biomeetriliste andmete säilitusaeg – kuni töösuhte lõpuni – oli järelevalveasutuse arvates liiga pikk, mis samuti kujutab endast GDPR nõuete rikkumist.

Vastutava töötleja GDPR artiklis 13 ette nähtud privaatsusteavituse hindas järelevalveasutus ebapiisavaks ja puudulikuks, mis tähendab läbipaistvuse ja õigluse põhimõtete rikkumist.

Ka ajajuhtimise tarkvara osas leidis järelevalveasutus, et andmesubjektide teavitamine oli ebapiisav ning vastutaval töötlejal puudus asjakohane õiguslik alus.

 

Artikli kirjutamisel kasutatud allikas:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10029500

 

Kategooriad: GDPR