Objašnjenje obrade biometrijskih podataka
Nedavno je nizozemska uprava za zaštitu podataka (AP) izrekla visoku kaznu, točnije 725,000 eura, tvrtki koja je skenirala otiske prstiju zaposlenika radi evidencije prisutnosti i vremena. Biometrijski podaci, poput otiska prsta, posebni su osobni podaci u smislu članka 9. GDPR-a. To su jedinstvene karakteristike koje se mogu pratiti do jedne određene osobe. Međutim, ti podaci često sadrže više informacija nego što je potrebno za, primjerice, identifikaciju.
Njihova obrada stoga predstavlja velike rizike u području temeljnih prava i sloboda ljudi. Ako ti podaci dospiju u pogrešne ruke, to bi potencijalno moglo dovesti do nepopravljive štete. Biometrijski podaci stoga su dobro zaštićeni, a njihova je obrada zabranjena prema članku 9. GDPR-a, osim ako za to ne postoji zakonska iznimka. U ovom slučaju AP je zaključio da dotična tvrtka nije imala pravo na izuzetak za obradu posebnih osobnih podataka.
Otisak prsta
O otisku prsta u kontekstu GDPR-a i jednoj iznimci, naime nužnost, prethodno smo na jednom našem blogu napisali: 'Otisak prsta koji krši GDPR'. Ovaj se blog fokusira na drugi alternativni osnov za izuzeće: dopuštenje, Kada poslodavac koristi biometrijske podatke kao što su otisci prstiju u svojoj tvrtki, može li, s obzirom na privatnost, biti dovoljno dopuštenja zaposlenika?
Pod dozvolom se misli na specifična, informirana i nedvosmislena izraz volje kojom netko izjavom ili nedvosmislenom aktivnom radnjom prihvaća obradu svojih osobnih podataka, prema članku 4. stavku 11. GDPR-a. U kontekstu ove iznimke, poslodavac stoga mora ne samo dokazati da su njegovi zaposlenici dali dopuštenje, već i da je to bilo nedvosmisleno, specifično i informirano.
Potpisivanje ugovora o radu ili primanje kadrovskog priručnika u kojem je poslodavac samo otiskom prsta evidentirao namjeru da se u cijelosti evidentira, nedostatno je u ovom kontekstu, zaključuje AP. Poslodavac kao dokaz mora, primjerice, dostaviti politiku, procedure ili drugu dokumentaciju iz koje proizlazi da su njegovi zaposlenici dovoljno informirani o obradi biometrijskih podataka te da su također dali (izričito) dopuštenje za njihovu obradu.
Ako zaposlenik daje dozvolu, mora biti ne samoeksplicitan'ali i'slobodno dano', navodi AP. 'Eksplicitno' je, na primjer, pismeno dopuštenje, potpis, slanje e-pošte za davanje dopuštenja ili dopuštenje uz provjeru u dva koraka. 'Besplatno' znači da iza toga ne smije stajati nikakva prisila (kao što je bio slučaj u konkretnom slučaju: kod odbijanja snimanja otiska slijedio je razgovor s direktorom/upravom) ili da dopuštenje može biti uvjet za nešto drugačiji.
Uvjet 'besplatno dano' poslodavac u svakom slučaju ne ispunjava kada su zaposlenici dužni ili, kao u konkretnom slučaju, to doživljavaju kao obvezu snimanja otiska prsta. Općenito, prema ovom zahtjevu, AP je smatrao da s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i zaposlenika, nije vjerojatno da zaposlenik može slobodno dati svoj pristanak. Suprotno će morati dokazati poslodavac.
Traži li zaposlenik dopuštenje svojih zaposlenika za obradu otiska prsta? Zatim AP u kontekstu ovog slučaja saznaje da to u načelu nije dopušteno. Uostalom, zaposlenici ovise o svom poslodavcu i stoga često nisu u poziciji odbiti. To ne znači da se poslodavac nikada ne može uspješno osloniti na osnovu dopuštenja.
No, poslodavac mora imati dovoljno dokaza da bi njegova žalba temeljem privole bila uspješna, kako bi obrađivao biometrijske podatke svojih zaposlenika, poput otisaka prstiju. Namjeravate li koristiti biometrijske podatke unutar svoje tvrtke ili vas poslodavac traži dopuštenje za korištenje npr. otiska prsta? U tom slučaju važno je ne djelovati odmah i dati dopuštenje, već se prvo dobro informirati. Zakon Odvjetnici & More stručnjaci su u području privatnosti i mogu vam pružiti informacije. Imate li još pitanja o ovom blogu? Molimo kontaktirajte Law & More.