Dozvola kao izuzetak za obradu biometrijskih podataka

Nedavno je holandska uprava za zaštitu podataka (AP) izrekla veliku novčanu kaznu, točnije 725,000 eura, kompaniji koja je skenirala otiske otisaka zaposlenih radi prisustva i registracije radnog vremena. Biometrijski podaci, kao što je otisak prsta, posebni su osobni podaci u smislu članka 9. GDPR. Ovo su jedinstvene karakteristike koje se mogu pratiti kod jedne konkretne osobe. Međutim, ti podaci često sadrže više podataka nego što je potrebno za, na primjer, identifikaciju. Njihova obrada stoga predstavlja velike rizike u području osnovnih prava i sloboda ljudi. Ukoliko ti podaci dođu u pogrešne ruke, to bi potencijalno moglo dovesti do nepopravljive štete. Biometrijski podaci su stoga dobro zaštićeni i njihova obrada je zabranjena člankom 9. GDPR-a, osim ako za to ne postoji zakonski izuzetak. U ovom slučaju, AP je zaključio da predmetna kompanija nema pravo na an izuzetak za obradu posebnih ličnih podataka.

O otisku prsta u kontekstu GDPR-a i jednoj od iznimki, naime nužnost, prethodno smo na jednom od naših blogova napisali: 'Otisak prsta koji krši GDPR'. Ovaj se blog fokusira na drugi alternativni osnov za izuzeće: dozvolu. Kada poslodavac koristi biometrijske podatke, kao što su otisci prstiju u svojoj tvrtki, može li, s obzirom na privatnost, biti dovoljno sa dozvolom svoga zaposlenika?

Dozvola kao izuzetak za obradu biometrijskih podataka

Pod dozvolom se misli na specifične, informisane i nedvosmislene izraz volje s kojom neko prihvaća obradu njegovih osobnih podataka izjavom ili nedvosmislenom aktivnom radnjom, u skladu s člankom 4. odjeljkom 11. GDPR. U kontekstu ove iznimke, poslodavac mora ne samo pokazati da su mu zaposleni dali dozvolu, nego i da je to bilo nedvosmisleno, konkretno i informirano. Potpisivanje ugovora o radu ili primanje priručnika za osoblje u koji je poslodavac samo zabilježio namjeru da se u potpunosti ukloni s otiskom prsta, u ovom je kontekstu nedovoljno, zaključio je AP. Kao dokaz, poslodavac mora, na primjer, podnijeti politiku, postupke ili drugu dokumentaciju, iz koje je vidljivo da su njegovi zaposlenici dovoljno informirani o obradi biometrijskih podataka i da su dali (izričito) dozvolu za njihovu obradu.

Ako odobrenje daje zaposlenik, to mora biti ne samoeksplicitno' ali takođe 'slobodno dati', navodi AP. „Izričito“ je, na primer, pismeno odobrenje, potpis, slanje e-pošte za davanje odobrenja ili dozvola sa verifikacijom u dva koraka. „Slobodno dano“ znači da iza njega ne smije biti prisile (kao što je to bio slučaj u dotičnom slučaju: prilikom odbijanja skeniranja otisaka uslijedio je razgovor s direktorom / upravnim odborom) ili je dopuštenje možda uvjet za nešto različito. Uvjet „koji se daje slobodno“ poslodavac u svakom slučaju ne ispunjava kada su zaposleni dužni ili, kao u dotičnom slučaju, doživljavaju to kao obvezu da im se otisak prsta evidentira. Općenito, pod ovim zahtjevom AP je smatrao da s obzirom na ovisnost koja proizlazi iz odnosa poslodavca i zaposlenika nije vjerovatno da zaposlenik može slobodno dati svoj pristanak. Poslodavac će morati dokazati suprotno.

Da li zaposleni traži dozvolu svojih zaposlenih da obrađuju otisak prsta? Tada AP u kontekstu ovog slučaja saznaje da to u principu nije dozvoljeno. Uostalom, zaposlenici ovise o svom poslodavcu i zbog toga često nisu u mogućnosti odbiti. To ne znači da se poslodavac nikada ne može uspješno osloniti na osnovu dozvole. Međutim, poslodavac mora imati dovoljno dokaza kako bi žalba na temelju pristanka bila uspješna, kako bi se mogli obraditi biometrijski podaci njegovih zaposlenika, poput otisaka prstiju. Da li namjeravate koristiti biometrijske podatke u svojoj kompaniji ili vas poslodavac traži, primjerice, dozvolu za korištenje otiska prsta? U tom slučaju važno je ne djelovati odmah i dati dozvolu, već o tome biti pravilno informiran. Law & More pravnici su stručnjaci na polju privatnosti i mogu vam pružiti informacije. Imate li još kakvih pitanja o ovom blogu? Molimo kontaktirajte Law & More.

Udio