Piršto antspaudu atrakinti duris: patogu, bet ar teisėta? - LAWCORPUS.LT

Piršto antspaudu atrakinti duris: patogu, bet ar teisėta?

2021 02 03

Jau nieko nebestebina technologijos, kurios mums leidžia vienu piršto prisilietimu ar veido atvaizdu atrakinti mobilaus telefono ekraną, patalpų duris ar pereiti oro uosto apsaugos tarnybą, taip daug greičiau identifikuojant asmens tapatybę. Šie fiziniai asmens duomenys yra vadinami biometriniais. Kadangi biometrinių sistemų panaudojimo pagrindinis tikslas yra atpažinti asmens tapatybę, todėl plačiausiai biometriniai asmens duomenys taikomi teisėsaugos institucijų veikloje. Verslo subjektai taip pat pasitelkia biometrines sistemas darbuotojų ir klientų administravimui, pavyzdžiui, jų patekimui į patalpas naudojant asmens atpažinimą pagal pirštų antspaudus, būdą. Todėl šiame straipsnyje aptarsime: kas yra biometriniai duomenys, kada juos galima naudoti be apribojimų, o kada griežtai laikantis taisyklių, kur tyko grėsmės ir kaip juos saugoti.

Biometriniai duomenys (specialių kategorijų asmens duomenys)– po specialaus techninio apdorojimo gauti asmens duomenys, susiję su žmogaus fizinėmis, fiziologinėmis arba elgesio savybėmis, leidžiančiomis nustatyti arba patvirtinti to asmens tapatybę. Prie šių duomenų priskiriama: plaštakos geometrija, akies rainelė, akies tinklainė, veidas, kvapas, DNR ir charakteristikos savybės (klavišų paspaudimas, rašysena, balsas ir kt.).

Kai kalbame apie šių biometrinių duomenų naudojimą asmeninėms reikmėms (piršto antspaudu atrakinti patalpas, balsu valdyti namų sistemas ir kt.) jokių apribojimų nėra. Tačiau, jei juridiniai asmenys naudoja darbuotojų ar klientų biometrinius duomenis ūkinėje-komercinėje veikloje, atsiranda griežta atsakomybė dėl tokių duomenų rinkimo ir tvarkymo. Pirmas klausimas, kuris tokiu atveju turėtų kilti verslo subjektui – ar tokie duomenys gali būti tvarkomi ar tokių technologijų naudojimas jiems tikrai yra būtinas ir pagrįstas?

Europos Sąjungos pagrindinių teisių chartijos 2 skyriaus 7 ir 8 straipsniai asmens duomenų apsaugą įvardija kaip vieną iš svarbiausių asmens laisvės sąlygų bei nurodo, kad kiekvienas asmuo turi teisę į privatų gyvenimą, savo asmens duomenų apsaugą, o tokie duomenys turi būti tinkamai tvarkomi ir naudojami tik konkretiems tikslams ir tik atitinkamam asmeniui sutikus ar kitais įstatymo nustatytais teisėtais pagrindais.

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (toliau – ADTAĮ) atskirai neapibrėžia sąvokos ”biometriniai asmens duomenys”, bet ją detaliai reglamentuoja Bendrasis duomenų apsaugos reglamentas (toliau- BDAR), kuris yra taikomas su ES piliečiais susijusių asmens duomenų tvarkymu, kurį atlieka fizinis asmuo, įmonė ar organizacija. BDAR ir ADTAĮ taisyklės netaikomos duomenims, kuriuos asmuo tvarko tik asmeniniais tikslais arba savo namuose vykdomos veiklos tikslais, su sąlyga, kad nėra jokio ryšio su profesine ar komercine veikla. Jeigu asmuo naudojasi asmens duomenimis ne asmeniniais tikslais, o, pavyzdžiui, socialinei, kultūrinei ar finansinei veiklai, privaloma laikytis BDAR ir ADTAĮ. Nors BDAR 9 straipsnio 1 dalyje pabrėžiama, kad draudžiama rinkti biometrinius duomenis, tačiau 2-oje šio straipsnio dalyje nurodomos išimtys, kai nors vienai esant, šiuos duomenis galima rinkti.

Svarbu paminėti, kad tuomet, kai biometriniai duomenys renkami sutikimo pagrindu, remiantis BDAR 9 straipsnio, 2 dalies, a) punktu, tai ne visada bus pripažįstama teisėtu pagrindu juos rinkti, nors ir atitiks šiuos privalomus BDAR 7 straipsnio reikalavimus:

– asmens sutikimas turi būti gautas tokia forma, kad duomenų valdytojas galėtų įrodyti tokio sutikimo gavimą;

– kai sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba;

– asmuo turi galėti bet kuriuo metu atšaukti savo sutikimą. Apie tai asmuo turi būti informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti;

– sutikimas turi būti duotas laisva valia, atsižvelgiant į tai ar sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

BDAR preambulės 43 punkte nurodoma, jog siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas. O taip pat laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais, arba jeigu sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nepaisant to, kad toks sutikimas nėra būtinas tokiam vykdymui.

Visais atvejais planuojant naudoti komercinėje veikloje biometrinius duomenis, turi būti įvertintas tvarkomų asmens biometrinių duomenų proporcingumas ir būtinumas. Proporcingumas yra išlaikomas tuomet, kai siekiama užtikrinti visuomenės saugumą, pavyzdžiui, patenkant į įvairias pavojingas chemines laboratorijas, atomines elektrines ir pan., nes tai yra didelio pavojaus šaltinis, kurį būtina apsaugoti taikant aukščiausio lygio saugumo reikalavimus. Ir tokiu atveju vietoje piršto antspaudo negalima naudoti alternatyvių būdų, pavyzdžiui, naudoti magnetinių kortelių. Tačiau rinkti biometrinius duomenis (piršto antspaudus ir kt.), kad patekti į darbo vietą (biurą, sporto klubą, SPA centrą ir pan.), būtų nei proporcinga, nei būtina. Kadangi tokie pasirinkimai yra veikiami ne svarbių priežasčių, o tik patogumo ar ekonomiškumo poreikiui patenkinti. Taigi, duomenų valdytojo (fizinio ar juridinio asmens) interesai turi būti svarbesni už duomenų subjekto teisę- nenaudoti asmens duomenų biometrinėje sistemoje, kai šio tikslo pagrįstai galima pasiekti kitomis priemonėmis.

Teismų praktika šiuo klausimu taip pat vieninga- juridiniai asmenys turi įrodyti, kad tik biometrinių duomenų tvarkymo priemonėmis jos gali pasiekti norimų vidaus administravimo tikslų, pavyzdžiui, darbo laiko apskaitos ir darbo drausmės kontrolės. Biometrinių duomenų tvarkymo priemonės galėtų būti taikomos tik siekiant tam tikrų labai reikšmingų tikslų ir tik išskirtinėmis aplinkybėmis. Jei yra galimybė pasiekti tikslą naudojant privatumo nepažeidžiančias priemones, tokias, kaip skaitmeniniai kodai, kortelės, darbuotojų registracija apsaugos poste ir pan., tai pirmiausia ir turi būti pasirinktos tokios priemonės. Tai, kad biometrinių duomenų tvarkymas yra pasirinktas dėl patogumo ir ekonomiškumo, o ne esant būtinumui tvarkyti šiuos duomenis, pažeidžia duomenų subjekto teises. Ypatingai, kai kalbame apie darbo santykius, teismų praktika laikosi pozicijos, kad darbuotojų sutikimai rinkti jų biometrinius duomenis nelaikytini savanoriškais, nes darbuotojai yra socialiai priklausomi nuo darbdavio. Darbdavys visada turi ieškoti mažiausiai privatumą pažeidžiančių priemonių ir, jeigu įmanoma, pasirinkti su biometrinių duomenų tvarkymu nesusijusias priemones.

Valstybinė duomenų apsaugos inspekcija taip pat nurodo, kad prieš renkant biometrinius duomenis būtina atlikti poveikio duomenų apsaugai vertinimą ir užtikrinti atitiktis visiems BDAR reikalavimams, įgyvendinant technines ir organizacines duomenų saugumo priemones:

– detaliai nustatyti organizacijos informacijos saugumo valdymą, aiškiai apibrėžti ir dokumentuoti darbuotojų atsakomybes bei vaidmenis, prieigos prie duomenų kontrolės politiką;

– inventorizuoti ir atnaujinti techninę, programinę ir tinklo įrangą;

– nustatyti pagrindines procedūras, kurių reikia laikytis įvykus incidentui ar asmens duomenų saugumo pažeidimui;

– užtikrinti, kad darbuotojai gebėtų konfidencialiai tvarkyti informaciją.

___________