Adatvédelmi kérdések

Részletek

2008. október 01. szerda, 00:00

 

A biometrikus adatok egy adott személy magatartási jellegzetességeire, élettani, fiziológiai ismertetőjegyeire vonatkoznak.

Az ilyen adatok kezelése tehát személyes adatok kezelését jelenti, ezért a biometrikus rendszerek kifejlesztésekor, valamint működtetésekor fi gyelembe kell venni a 95/46/EC Irányelvben meghatározott adatvédelmi alapelveket. A biometrikus rendszerek kapcsán alapvető feltétel, hogy személyes adatok rögzítése nem történhet az érintettek tudomása, tájékoztatása nélkül, és különös fi gyelmet kell fordítani az érintettek hozzájárulásának meglétére.

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (Avtv.) értelmében a beléptető rendszerek személyes adatokat dolgoznak fel és kezelnek. Ezek az adatok, információk az Avtv. személyes adatok védelméről szóló II. fejezetének rendelkezései alapján kezelhetők. A törvény szerint személyes adat felhasználása csak célhoz kötötten lehetséges, amely elv alapján személyes adat kezelésére csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése céljából kerülhet sor. Adatvédelmi szempontból a biometrikus azonosító módszerek legfontosabb eltérése a hagyományos (azonosító + jelszó) módszerektől abban ragadható meg, hogy egy tetszőleges számsor vagy betűösszetétel helyett a felhasználók mérhető testi jellemzőit használják fel azonosításra. Ezek a jellemzők (ujjlenyomat, a retina és az írisz képe, a kéz geometriája, a hang és az arc jellemzői) a jogszabály értelmező rendelkezése szerint személyes adatok, azok az Avtv. alapján védelemben részesülnek.

Az Avtv. 3. § (1) bekezdése szerint személyes adatot csak az érintett beleegyezésével, illetőleg akkor lehet kezelni, ha azt törvény, vagy törvény felhatalmazása alapján önkormányzati rendelet elrendeli. Ha tehát ezen adatok kezelését az adatkezelők számára megfelelő jogszabály nem írja elő, azt kizárólag az érintettek, tehát minden egyes jövőbeli felhasználó előzetes hozzájárulásával tehetik. Ennek a hozzájárulásnak tájékozottnak és önkéntesnek kell lennie.

Az ujjlenyomat azonosító pontjainak távolsága, az arcfelismerés során rögzített információk, valamint az intézménybe érkezés és távozás pontos időpontja személyes adatnak minősülnek. Ezeknek az adatoknak a kezelését a célhoz kötöttség és a szükségesség-arányosság alapelve mentén kell vizsgálni. Ez azt jelenti, hogy az Avtv. 5. § (2) bekezdése alapján csak annyi személyes adat kezelhető, amennyi a cél megvalósulásához elengedhetetlenül szükséges, és csak a célhoz szükséges mértékben és ideig.

Az Avtv.-ben meghatározott célhoz kötöttség elve szerint a rendszer által kezelt személyes adatok csak azon célra használhatók fel, amely célú adatkezeléshez az érintettek hozzájárulásukat adták, tehát – ebben az esetben – kizárólag az adott területre belépő személy, vagy a számítógép felhasználójának azonosítására. A rendszer alkalmazása során az adatkezelőknek kell gondoskodniuk a kezelt személyes adatok biztonságáról is, azokat védeni kell a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal vagy törlés, illetőleg sérülés vagy megsemmisülés ellen.

Egy adott intézmény a beléptető rendszert egyrészt a jogosult személyek intézménybe történő érkezése és távozása regisztrálása, másrészt a személy- és vagyonvédelem (mindenki által hozzáférhető és használatos, nyilvános helyeken elhelyezett tárgyi eszközök) okán kívánja működtetni. A személyes adatok kezelése ezzel összhangban e célok megvalósulását szolgálja. Hangsúlyozandó, hogy a beléptető rendszer az adatvédelem okán nem kifogásolható, de a működési elveit meszszemenően a személyes adatok védelméhez való jog tiszteletben tartása mellett szükséges kialakítani.

Dr. Péterfalvi Attila, korábbi adatvédelmi biztos egy korábbi állásfoglalásában leszögezte, hogy a személyes adatok kezelése csak olyan helyzetben indokolt, amelyben az elérni kívánt célok megvalósulása más, alternatív, személyes adatkezelést nem igénylő intézkedéssel, rendszerrel nem biztosítható. Az intézmény által elérni kívánt célok – többek között – a biometrikus azonosítást kiváltó, vonalkódos azonosítással vagy sorszámmal ellátott mágneses beléptető kártya alkalmazásával, vagy bármely más módon elérhetők, illetve intézményi szabályzatok kialakításával is biztosíthatók.

Az adatkezelés felett az érintettek a hozzájárulásuk megadását követően is maguk rendelkeznek, ez annyit jelent, hogy hozzájárulásukat bármikor visszavonhatják, illetőleg a további adatkezelést megtilthatják, az adatok törlését kérhetik. A személyes adatokat akkor is törölni kell, ha azok kezelésének célja már nem áll fenn, például ha az adott felhasználónak (érintettnek) a munkavégzésre irányuló jogviszonya megszűnt.