Nedavno je nizozemska uprava za zaštitu podataka (AP) izrekla veliku novčanu kaznu, točnije 725,000 eura, tvrtki koja je skenirala otiske otisaka zaposlenika radi posjeta i registracije na vrijeme. Biometrijski podaci, kao što je otisak prsta, posebni su osobni podaci u smislu članka 9. GDPR. Ovo su jedinstvene karakteristike koje se mogu pratiti do jedne konkretne osobe. Međutim, ti podaci često sadrže više podataka nego što je potrebno za, na primjer, identifikaciju. Stoga njihova obrada predstavlja velike rizike u području temeljnih prava i sloboda ljudi. Ako ti podaci dođu u pogrešne ruke, to bi potencijalno moglo dovesti do nepopravljive štete. Biometrijski podaci su stoga dobro zaštićeni i njihova obrada je zabranjena člankom 9. GDPR-a, osim ako za to ne postoji pravna iznimka. U ovom slučaju, AP je zaključio da predmetna tvrtka nema pravo na izuzetak za obradu posebnih osobnih podataka.
Otisak prsta
O otisku prsta u kontekstu GDPR-a i jednoj iznimci, naime nužnost, prethodno smo na jednom našem blogu napisali: 'Otisak prsta koji krši GDPR'. Ovaj se blog fokusira na drugi alternativni osnov za izuzeće: dopuštenje, Kada poslodavac koristi biometrijske podatke kao što su otisci prstiju u svojoj tvrtki, može li, s obzirom na privatnost, biti dovoljno dopuštenja zaposlenika?
Pod dozvolom se misli na specifična, informirana i nedvosmislena izraz volje s kojim netko prihvaća obradu njegovih osobnih podataka izjavom ili nedvosmislenom aktivnom radnjom, u skladu s člankom 4., odjeljkom 11., GDPR. U kontekstu ove iznimke, poslodavac mora ne samo pokazati da su mu zaposlenici dali dozvolu, nego i da je to nedvosmisleno, konkretno i informirano. Potpisivanje ugovora o radu ili primanje priručnika za osoblje u koji je poslodavac samo zabilježio namjeru da se u potpunosti ukloni s otiskom prsta, u ovom je kontekstu nedovoljno, zaključio je AP. Kao dokaz, poslodavac mora, na primjer, podnijeti politiku, postupke ili drugu dokumentaciju iz koje je vidljivo da su njegovi zaposlenici dovoljno informirani o obradi biometrijskih podataka i da su također dali (izričito) dopuštenje za njihovu obradu.
Ako zaposlenik daje dozvolu, mora biti ne samoeksplicitan'ali i'slobodno dano', navodi AP. "Izričito" je, na primjer, pismeno dopuštenje, potpis, slanje e-pošte za davanje dopuštenja ili dozvola s provjerom u dva koraka. "Slobodno dano" znači da iza njega ne smije biti prisile (kao što je to bio slučaj u dotičnom slučaju: kada odbijaju skeniranje otiska, slijedi razgovor s direktorom / upravnim odborom) ili je dopuštenje možda uvjet za nešto drugačiji. Uvjet „koji se slobodno daje“ poslodavac ni u kojem slučaju ne ispunjava kada su zaposleni dužni ili, kao u dotičnom slučaju, doživljavaju to kao obvezu da im se otisak prsta evidentira. Općenito, u skladu s ovim zahtjevom, AP je smatrao da s obzirom na ovisnost koja proizlazi iz odnosa poslodavca i zaposlenika nije vjerojatno da radnik može slobodno dati svoj pristanak. Poslodavac će morati dokazati suprotno.
Zahtijeva li zaposlenik dopuštenje od svojih zaposlenika da obrade njihov otisak prsta? Tada AP u kontekstu ovog slučaja saznaje da to u principu nije dopušteno. Uostalom, zaposlenici ovise o svom poslodavcu i stoga često nisu u mogućnosti odbiti. To ne znači da se poslodavac nikada ne može uspješno osloniti na osnovu dozvole. Međutim, poslodavac mora imati dovoljno dokaza kako bi žalba na temelju pristanka bila uspješna, kako bi se mogli obraditi biometrijski podaci njegovih zaposlenika, poput otisaka prstiju. Namjeravate li koristiti biometrijske podatke u svojoj tvrtki ili vas poslodavac traži, primjerice, dopuštenje za korištenje vašeg otiska prsta? U tom je slučaju važno ne djelovati odmah i dati dozvolu, već se prvo ispravno obavijestiti. Law & More pravnici su stručnjaci na polju privatnosti i mogu vam pružiti informacije. Imate li još kakvih pitanja o ovom blogu? Molimo kontaktirajte Law & More.