Nedavno je holandska uprava za zaštitu podataka (AP) izrekla veliku novčanu kaznu, točnije 725,000 eura, kompaniji koja je skenirala otiske otisaka zaposlenih radi prisustva i registracije radnog vremena. Biometrijski podaci, kao što je otisak prsta, posebni su osobni podaci u smislu članka 9. GDPR. Ovo su jedinstvene karakteristike koje se mogu pratiti kod jedne konkretne osobe. Međutim, ti podaci često sadrže više podataka nego što je potrebno za, na primjer, identifikaciju. Njihova obrada stoga predstavlja velike rizike u području osnovnih prava i sloboda ljudi. Ukoliko ti podaci dođu u pogrešne ruke, to bi potencijalno moglo dovesti do nepopravljive štete. Biometrijski podaci su stoga dobro zaštićeni i njihova obrada je zabranjena člankom 9. GDPR-a, osim ako za to ne postoji zakonski izuzetak. U ovom slučaju, AP je zaključio da predmetna kompanija nema pravo na an izuzetak za obradu posebnih ličnih podataka.
otisak prsta
O otisku prsta u kontekstu GDPR-a i jednoj od iznimki, naime nužnost, prethodno smo u jednom od naših blogova napisali: 'Otisak prsta krši GDPR'. Ovaj se blog fokusira na drugi alternativni osnov za izuzeće: dozvolu. Kada poslodavac koristi biometrijske podatke, kao što su otisci prstiju u svojoj tvrtki, može li, s obzirom na privatnost, biti dovoljno sa dozvolom svoga zaposlenika?
Pod dozvolom se misli na specifične, informisane i nedvosmislene izraz volje s kojom neko prihvaća obradu njegovih osobnih podataka izjavom ili nedvosmislenom aktivnom radnjom, u skladu s člankom 4. odjeljkom 11. GDPR. U kontekstu ove iznimke, poslodavac mora ne samo pokazati da su mu zaposleni dali dozvolu, nego i da je to bilo nedvosmisleno, konkretno i informirano. Potpisivanje ugovora o radu ili primanje priručnika za osoblje u koji je poslodavac samo zabilježio namjeru da se u potpunosti ukloni s otiskom prsta, u ovom je kontekstu nedovoljno, zaključio je AP. Kao dokaz, poslodavac mora, na primjer, podnijeti politiku, postupke ili drugu dokumentaciju, iz koje je vidljivo da su njegovi zaposlenici dovoljno informirani o obradi biometrijskih podataka i da su dali (izričito) dozvolu za njihovu obradu.
Ako odobrenje daje zaposlenik, to mora biti ne samoeksplicitno' ali takođe 'slobodno dati', navodi AP. 'Eksplicitno' je, na primjer, pismena dozvola, potpis, slanje e-pošte za davanje dozvole ili dozvola s provjerom u dva koraka. 'Slobodno dano' znači da iza toga ne smije biti prisile (kao što je to bio slučaj u dotičnom slučaju: kada se odbija skeniranje otiska prsta, slijedi razgovor s direktorom / upravnim odborom) ili da dozvola može biti uvjet za nešto drugačiji. Poslodavac u svakom slučaju ne ispunjava uvjet „slobodno davanje“ kada su zaposlenici dužni ili ga, kao u predmetnom slučaju, doživljavaju kao obavezu evidentiranja njihovog otiska prsta. Generalno, prema ovom zahtjevu, AP je smatrao da s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i zaposlenika, malo je vjerojatno da zaposlenik može slobodno dati svoj pristanak. Poslodavac će morati dokazati suprotno.
Da li zaposleni traži dozvolu svojih zaposlenih da obrađuju otisak prsta? Tada AP u kontekstu ovog slučaja saznaje da to u principu nije dozvoljeno. Uostalom, zaposlenici ovise o svom poslodavcu i zbog toga često nisu u mogućnosti odbiti. To ne znači da se poslodavac nikada ne može uspješno osloniti na osnovu dozvole. Međutim, poslodavac mora imati dovoljno dokaza kako bi žalba na temelju pristanka bila uspješna, kako bi se mogli obraditi biometrijski podaci njegovih zaposlenika, poput otisaka prstiju. Da li namjeravate koristiti biometrijske podatke u svojoj kompaniji ili vas poslodavac traži, primjerice, dozvolu za korištenje otiska prsta? U tom slučaju važno je ne djelovati odmah i dati dozvolu, već o tome biti pravilno informiran. Law & More pravnici su stručnjaci na polju privatnosti i mogu vam pružiti informacije. Imate li još kakvih pitanja o ovom blogu? Molimo kontaktirajte Law & More.