Autor: Tambet Toomela, Erika Tuvike, Marja Stina Saaliste • 16. aprill 2024

Mida tuleb teada töötaja biomeetriliste andmete töötlemisest?

Tööandjad soovivad sageli kontrollida töötajaid biomeetriliste andmete kaudu, näiteks sõrmejälgede abil. Kuigi töötajate biomeetriliste andmete kogumine võib isikuandmete kaitse üldmääruse 2016/679 (edaspidi „GDPR“) vaates olla mõnel juhul lubatud, on Ühendkuningriigi andmekaitseasutus ICO teinud seda praktikat oluliselt piirava otsuse. See omakorda võib mõjutada ka praktika edasist kujunemist Eestis.
Eversheds Sutherland Ots & Co advokaadid Marja Sina Saaliste, Tambet Toomela ja Erika Tuvike.Foto: Eversheds Sutherland

Kuigi pärast Brexitit ei kohaldata Ühendkuningriigis enam Euroopa Liidu õigust, sh GDPR-i, on GDPR väga sarnane Ühendkuningriigi enda andmekaitset reguleeriva aktiga. See annab meile hea võimaluse vaadelda Ühendkuningriigi juhtumeid hoiatuslike näidetena.

ICO andis selle aasta veebruaris ettevõttele Serco Leisure Operating Limited (Serco) korralduse lõpetada näotuvastustehnoloogia ja sõrmejälgede skaneerimise kasutamine. Ettevõte opereerib mitmesuguseid vaba aja veetmise rajatisi ja mainitud biomeetriliste andmete kasutamise abil jälgiti töötajate kohalolekut ja töötajatele makstavaid tasusid arvestati kohaloleku alusel.

Biomeetriliste andmete puhul on tegu eriliigiliste isikuandmetega, mille töötlemine pole lubatav, v.a siis, kui on täidetud erilised tingimused, mh tehtud õigustatud huvi hindamine.

Serco oli kasutanud biomeetrilisi andmeid töötajate tuvastamise hõlbustamiseks viimase seitsme aasta jooksul. Andmete kasutamise põhjuseks toodi, et varasemad kohaloleku jälgimise süsteemid olid lihtsasti manipuleeritavad, nt käsitsi täidetavad registreerimislehed võimaldasid inimlikke eksimusi. Serco tõi välja ka mõne kuritarvitamisjuhuse. Nende asjaolude tõttu leidis Serco, et biomeetrilise tehnoloogia kasutamine oli põhjendatud.

Serco koostas nii andmekaitsealase mõjuhinnangu kui ka õigustatud huvi hinnangu, kus leidis järgmist:

* kohalviibimise jälgimise süsteemi kasutamine on töötajate töölepingute täitmise jälgimiseks vajalik;

* andmeid on vaja töödelda te mitmesuguste töösuhet ja tööaega puudutavate seaduste ja õigusaktide järgmiseks.

Kaaluda tuleb muidki meetodeid

ICO juhtis aga ettevõtte tähelepanu olulisele nüansile, et biomeetriliste andmete töötlemist ei saa pidada „vajalikuks“, kui sama eesmärgi saavutamiseks saab kasutada muid meetodeid, mis on vähem sekkuvat laadi. Tööandjal ei ole töötaja kohalolu jälgimiseks enamasti vaja biomeetrilisi andmeid töödelda. Seega Serco põhjendus, et teisi vähem sekkuvaid meetodeid saavad töötajad manipuleerida, ei olnud andmekaitseasutuse jaoks piisav, et õigustada biomeetriliste andmete kasutamist.

ICO leidis, et Serco rikkus isikuandmete töötlemise nõudeid. Olles vastutav töötleja, ei suutnud Serco esitada biomeetriliste andmete töötlemiseks sobivat ja mõjuvat seaduslikku alust. Ettevõte jäi hätta ka eriliigiliste isikuandmete töötlemise lubatavuse tingimuste täitmisega.

ICO tõi välja, mis juhtudel ei peeta õigustatud huvi sobivaks seaduslikuks aluseks:

* kui andmete töötlemisel on oluline mõju isiku privaatsusele. Serco juhtumis oli tegu töötajate biomeetriliste andmete regulaarse ja süstemaatilise töötlemisega, mis võimaldaks sekkumist nende privaatsusse, mille üle töötajatel endil puudub või oleks minimaalne kontroll;

* töötajatel puudub selge teave, kuidas nad saaksid esitada oma vastuväiteid, ja ei pakuta ka alternatiivseid jälgimismeetodeid, mis ei hõlma nende privaatsuse sellist riivet;

* tasakaalu puudumisel tööandja ja töötajate vahel ei pruugi töötajad olla võimelised vastuväiteid esitama, isegi kui neid on teavitatud sellisest võimalusest.

Põhjendamine ei olnud piisav

ICO seisukoht oli, et Serco ei esitanud piisavalt teavet, et toetada oma väidet, mille kohaselt on kohalviibimise jälgimise süsteemi kuritarvitamise kõrvaldamine olulisem kui Serco täiendava kasu saamine lihtsama süsteemi kasutamisest. Puudusid tõendid ka selle kohta, et oleks kaalutud alternatiivsete vahendite kasutamist, mis aitaksid ära hoida selliseid kuritarvitamisjuhtumeid, nt distsiplinaarkaristus vastutavate isikute suhtes. Andmekaitseasutus jõudis järeldusele, et biomeetriliste andmete töötlemine ei olnud sihipärane ja proportsionaalne viis kohalviibimise kontrollimise eesmärgi saavutamiseks. ICO märkis ka, et oma õigustatud huvile kui seaduslikule alusele tuginedes ei kaalunud Serco biomeetriliste isikuandmete töötlemise mõju suurust töötajatele.

ICO leidis, et kuigi seadusest tulenevad tööandjale kohustused tööaja ja kohaloleku andmete fikseerimiseks, töötervishoiu ja tööohutuse osas ning nõuded töösuhte korraldamiseks, puuduvad konkreetsed seadusest tulenevad kohustused, mis vajaksid biomeetriliste andmete töötlemist kohaoleku fikseerimiseks. Nii on tööandjal oluline enne isikuandmete töötlemise algust tuvastada asjaomase seadusega antud kohustus või õigus. Kui tööandja soovib toetuda oma juriidilistele kohustustele töötlemise seadusliku alusena, peab vastutav töötleja suutma tõendada, et töötlemist on vaja nende nõuete täitmiseks. Selleks peab koguma tõendeid laialt levinud kuritarvitamise kohta. Tõendada tuleb ka, et vähem sekkuvate meetodite kasutamine on ebaõnnestunud.

Seega annab kõnealune otsus võimaluse väita, et biomeetriliste andmete kasutamine kohalviibimise jälgimiseks on võimalik, kui seda on tõepoolest vaja ja see on sihipärane ning proportsionaalne. Kuid nagu eespool mainitud, oleneb see alati asjaoludest ja põhjendamiskohustuse täitmisest. Tavajuhul ei ole töötajate biomeetriliste andmete töötlemine lubatud ega ka vajalik.

Artikkel on ilmunud teemaveebis Personaliuudised.

Liitu Sekretäri uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Liitu Sekretäri uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Cätlin PuhkanSekretär.ee turunduslahenduste müügijuhtTel: 53 315 700