Objašnjena obrada biometrijskih podataka
Nedavno je holandsko tijelo za zaštitu podataka (AP) izreklo veliku kaznu, odnosno 725,000 eura, kompaniji koja je skenirala otiske prstiju zaposlenih radi prisustva i registracije vremena. Biometrijski podaci, kao što je otisak prsta, su posebni lični podaci u smislu člana 9 GDPR. Ovo su jedinstvene karakteristike koje se mogu pratiti do jedne određene osobe. Međutim, ovi podaci često sadrže više informacija nego što je potrebno za, na primjer, identifikaciju.
Njihova obrada stoga predstavlja velike rizike u oblasti temeljnih prava i sloboda ljudi. Ako ovi podaci dođu u pogrešne ruke, to bi potencijalno moglo dovesti do nepopravljive štete. Biometrijski podaci su stoga dobro zaštićeni, a njihova obrada je zabranjena prema članu 9 GDPR-a, osim ako za to postoji zakonski izuzetak. U ovom slučaju, AP je zaključio da predmetna kompanija nema pravo na izuzetak za obradu posebnih ličnih podataka.
otisak prsta
O otisku prsta u kontekstu GDPR-a i jednoj od iznimki, naime nužnost, prethodno smo u jednom od naših blogova napisali: 'Otisak prsta krši GDPR'. Ovaj se blog fokusira na drugi alternativni osnov za izuzeće: dozvolu. Kada poslodavac koristi biometrijske podatke, kao što su otisci prstiju u svojoj tvrtki, može li, s obzirom na privatnost, biti dovoljno sa dozvolom svoga zaposlenika?
Pod dozvolom se misli na specifične, informisane i nedvosmislene izraz volje kojim neko prihvata obradu njegovih ličnih podataka izjavom ili nedvosmislenom aktivnom radnjom, u skladu sa članom 4. stav 11. GDPR. U kontekstu ovog izuzetka, poslodavac stoga mora dokazati ne samo da su njegovi zaposlenici dali dozvolu, već i da je ona bila nedvosmislena, specifična i obaviještena.
Potpisivanje ugovora o radu ili dobijanje kadrovskog priručnika u kojem je poslodavac samo zabilježio namjeru da se u potpunosti unese otiskom prsta, u ovom kontekstu je nedovoljno, zaključuje AP. Kao dokaz, poslodavac mora, na primjer, dostaviti politiku, procedure ili drugu dokumentaciju koja pokazuje da su njegovi zaposleni dovoljno informirani o obradi biometrijskih podataka i da su dali (izričitu) dozvolu za njihovu obradu.
Ako odobrenje daje zaposlenik, to mora biti ne samoeksplicitno' ali takođe 'slobodno dati', navodi AP. 'Explicit' je, na primjer, pismena dozvola, potpis, slanje e-pošte za davanje dozvole ili dozvola s verifikacijom u dva koraka. 'Slobodno dato' znači da iza toga ne smije stajati prisila (kao što je bio slučaj u predmetnom slučaju: kada se odbije skeniranje otiska prsta, uslijedio je razgovor s direktorom/odborom) ili da dozvola može biti uvjet za nešto drugačije.
Uslov 'slobodno dato' poslodavac ni u kom slučaju ne ispunjava kada su zaposleni u obavezi ili, kao u predmetnom slučaju, doživljavaju kao obavezu da im se evidentira otisak prsta. Generalno, prema ovom zahtjevu, AP smatra da je, s obzirom na zavisnost koja proizilazi iz odnosa između poslodavca i zaposlenog, malo vjerovatno da zaposleni može slobodno dati svoj pristanak. Suprotno će morati da dokaže poslodavac.
Da li zaposleni traži dozvolu od svojih zaposlenika za obradu njihovog otiska prsta? Tada AP saznaje u kontekstu ovog slučaja da to u principu nije dozvoljeno. Uostalom, zaposleni ovise o svom poslodavcu i stoga često nisu u poziciji da odbiju. Ovo ne znači da se poslodavac nikada ne može uspješno osloniti na osnovu dozvole.
Međutim, poslodavac mora imati dovoljno dokaza da bi njegova žalba na osnovu pristanka bila uspješna, kako bi obradio biometrijske podatke svojih zaposlenika, kao što su otisci prstiju. Da li namjeravate koristiti biometrijske podatke u svojoj kompaniji ili vaš poslodavac traži od vas dozvolu za korištenje vašeg otiska prsta, na primjer? U tom slučaju važno je ne djelovati odmah i dati dozvolu, već se prvo pravilno informirati. zakon Advokati & More su stručnjaci u oblasti privatnosti i mogu vam pružiti informacije. Imate li još pitanja o ovom blogu? Molimo kontaktirajte Law & More.