Selgitustaotlus
| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2539-1 |
| Registreeritud | 07.10.2024 |
| Sünkroonitud | 08.10.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Begin OÜ |
| Saabumis/saatmisviis | Begin OÜ |
| Vastutaja | Urmo Parm (Andmekaitse Inspektsioon, Tehnoloogia valdkond) |
| Originaal | Ava uues aknas |
Failid
Andmekaitse Inspektsioon 07.10.2024
Selgitustaotlus
Lugupeetud Andmekaitse Inspektsioon
Soovime selgitusi seoses biomeetria kasutamisega töösuhetes. Esmalt selgitame Begin OÜ tausta ning
seejärel soovime aru saada, mis tingimustel on biomeetria kasutamine töösuhetes lubatud.
Oleme loonud tööajaarvestuse tarkvara, et tööandjatel oleks võimalik täpsemini ja mugavamalt pidada
kohustuslikku tööaja arvestust. Tööaja registreerimiseks on meil loodud mitmeid võimalusi, nii terminalis
(näopõhine identifitseerimine, sõrmejälg, kiipkaart, PIN kood), mobiiltelefonirakenduses kui ka töötajate
iseteeninduses (tööaja sisestamine jooksvalt või tagajärgi).
Meie biomeetriline lahendus on loodud selliselt, et olukorras, kus kasutaja esmakordselt biomeetrilist
lahendust kasutab, võetakse tema biomeetriline andmestik ja sellest genereeritakse spetsiaalse algoritmi
abil unikaalne matemaatiline väärtus (kood). See kood on krüpteeritud ning salvestatakse turvaliselt
kesksesse andmebaasi. See omakorda tähendab, et algseid biomeetrilisi kujutisi ei salvestata ning
genereeritud koodi on võimalik kasutada üksnes meie terminalis tööaja registreerimiseks.
Saame aru, et sõltumata sellest, et kasutusele on võetud kaitsemeetmed selleks, et eriliigiliste andmete
edaspidist kasutust vältida (st ei salvestata biomeetrilist jäljendit vaid genereeritakse kood, mis toimib
ainult konkreetse terminaliga), tuleb lähtuda sellise registreerimisviisi kasutamisel isikuandmete kaitse
üldmääruse (GDPR) artikli 9 reeglitest (ehk sõltumata kaitsemeetmetest, loetakse see biomeetriliseks
lahenduseks).
Kui see nii on, siis arusaadavalt on võimalik sellist registreerimisviisi kasutada üksnes juhul, kui töötaja on
andnud selleks GDPR-le vastava nõusoleku. Selle tagamiseks peab töötajal olema registreerimiseks ka
alternatiivne (mittebiomeetriline) registreerimisvõimalus. Ehk kui võtta meie registreerimisvõimalused,
siis terminali puhul on võimalik tööaega registreerida nii biomeetrilise tuvastusega kui ka kiipkaardi või
PIN koodiga, samuti täiendavad alternatiivsed mittebiomeetrilised registreerimisviisid. Kas me saame
õigesti aru, et olukorras, kus tööandja võtab töötajalt GDPR-le vastava nõusoleku ning biomeetriline
tööaja registreerimine on töötaja enda vabatahtlik otsus (sh on alternatiivina võimalik kasutada muid
registreerimisviise), siis on biomeetriline tööaja registreerimine töösuhetes lubatud. Ehk meie
terminali puhul peab saama töötaja valida, millist registreerimisviisi (kas biomeetrilist või
mittebiomeetrilist) ta eelistab.
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Andmekaitse Inspektsioon 07.10.2024
Selgitustaotlus
Lugupeetud Andmekaitse Inspektsioon
Soovime selgitusi seoses biomeetria kasutamisega töösuhetes. Esmalt selgitame Begin OÜ tausta ning
seejärel soovime aru saada, mis tingimustel on biomeetria kasutamine töösuhetes lubatud.
Oleme loonud tööajaarvestuse tarkvara, et tööandjatel oleks võimalik täpsemini ja mugavamalt pidada
kohustuslikku tööaja arvestust. Tööaja registreerimiseks on meil loodud mitmeid võimalusi, nii terminalis
(näopõhine identifitseerimine, sõrmejälg, kiipkaart, PIN kood), mobiiltelefonirakenduses kui ka töötajate
iseteeninduses (tööaja sisestamine jooksvalt või tagajärgi).
Meie biomeetriline lahendus on loodud selliselt, et olukorras, kus kasutaja esmakordselt biomeetrilist
lahendust kasutab, võetakse tema biomeetriline andmestik ja sellest genereeritakse spetsiaalse algoritmi
abil unikaalne matemaatiline väärtus (kood). See kood on krüpteeritud ning salvestatakse turvaliselt
kesksesse andmebaasi. See omakorda tähendab, et algseid biomeetrilisi kujutisi ei salvestata ning
genereeritud koodi on võimalik kasutada üksnes meie terminalis tööaja registreerimiseks.
Saame aru, et sõltumata sellest, et kasutusele on võetud kaitsemeetmed selleks, et eriliigiliste andmete
edaspidist kasutust vältida (st ei salvestata biomeetrilist jäljendit vaid genereeritakse kood, mis toimib
ainult konkreetse terminaliga), tuleb lähtuda sellise registreerimisviisi kasutamisel isikuandmete kaitse
üldmääruse (GDPR) artikli 9 reeglitest (ehk sõltumata kaitsemeetmetest, loetakse see biomeetriliseks
lahenduseks).
Kui see nii on, siis arusaadavalt on võimalik sellist registreerimisviisi kasutada üksnes juhul, kui töötaja on
andnud selleks GDPR-le vastava nõusoleku. Selle tagamiseks peab töötajal olema registreerimiseks ka
alternatiivne (mittebiomeetriline) registreerimisvõimalus. Ehk kui võtta meie registreerimisvõimalused,
siis terminali puhul on võimalik tööaega registreerida nii biomeetrilise tuvastusega kui ka kiipkaardi või
PIN koodiga, samuti täiendavad alternatiivsed mittebiomeetrilised registreerimisviisid. Kas me saame
õigesti aru, et olukorras, kus tööandja võtab töötajalt GDPR-le vastava nõusoleku ning biomeetriline
tööaja registreerimine on töötaja enda vabatahtlik otsus (sh on alternatiivina võimalik kasutada muid
registreerimisviise), siis on biomeetriline tööaja registreerimine töösuhetes lubatud. Ehk meie
terminali puhul peab saama töötaja valida, millist registreerimisviisi (kas biomeetrilist või
mittebiomeetrilist) ta eelistab.