Beléptető rendszer és GDPR – biometrikus adatok kezelése az építőiparban

A biometrikus beléptető rendszer bevezetésekor az egyik leggyakoribb kérdés: hogyan egyeztethető össze a GDPR-ral? Ez a cikk átfogó választ ad az adatvédelmi megfelelőség kérdéseire.

Miért érzékeny a biometrikus adat?

A GDPR 9. cikke szerint a biometrikus adatok – amelyek természetes személyek egyedi azonosítását teszik lehetővé – különleges kategóriájú adatoknak minősülnek. Kezelésük alapértelmezés szerint tilos, kivéve ha valamelyik kivétel fennáll.

Mikor kezelhető jogszerűen biometrikus adat az építőiparban?

1. Explicit hozzájárulás alapján

A munkás írásban hozzájárul a biometrikus adatai kezeléséhez. Fontos: a hozzájárulásnak önkéntesnek kell lennie, és visszavonható.

2. Törvényi kötelezettség alapján

Az Üvegkapu-rendelet (707/2021. Korm. rendelet) törvényi kötelezettséget teremt az elektronikus azonosításra. Ez jogalapot biztosíthat a biometrikus adatkezeléshez, ha az azonosítás szükséges a kötelezettség teljesítéséhez.

Mire kell figyelni az adatkezelésnél?

Adatkezelési tájékoztató – Minden munkásnak kapnia kell egy érthető tájékoztatót arról, milyen adatát, miért, meddig és hogyan kezelik.

Adatminimalizálás – Csak a szükséges adatot szabad rögzíteni. Az arcfelismerő rendszer ideálisan csak egy matematikai sablont tárol, nem a tényleges arcképet.

Tárolási korlát – A biometrikus adatokat a projekt befejezése után törölni kell.

Adatbiztonság – A rendszernek titkosítva kell tárolnia az adatokat, és védekezni kell az illetéktelen hozzáférés ellen.

Hol tárolódjanak az adatok?

A legjobb megoldás a lokális tárolás: az adatok a beléptető konténerben lévő szerveren tárolódnak, nem kerülnek fel felhőbe vagy külső szerverre. Ez minimalizálja az adatszivárgás kockázatát.

A DATRAK felé csak anonimizált adatok kerülnek továbbításra – a munkás egyedi azonosítója, belépési és kilépési időpontja, de nem a biometrikus adat maga.

Milyen NAIH határozatokra érdemes figyelni?

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) több határozatot hozott munkahelyi biometrikus adatkezeléssel kapcsolatban. A legfontosabb elvek:

• A biometrikus azonosítás nem lehet az egyetlen belépési lehetőség, ha kártyás alternatíva is megoldható
• Az adatkezelés arányosságát igazolni kell
• A munkavállalókat előzetesen tájékoztatni kell

Összefoglalás

A GDPR-megfelelő biometrikus beléptető rendszer megvalósítható, ha az adatkezelés jogalapját, az adatminimalizálást és a tájékoztatási kötelezettséget teljesítik. Rendszerünk ezeket a követelményeket gyárilag figyelembe veszi.