Nedávno nizozemský úřad pro ochranu údajů (AP) uložil společnosti, která skenovala otisky prstů zaměstnanců za účelem účasti a včasné registrace, velkou pokutu, konkrétně 725,000 9 EUR. Biometrické údaje, jako je otisk prstu, jsou zvláštní osobní údaje ve smyslu článku 9 GDPR. To jsou jedinečné vlastnosti, které lze vysledovat zpět k jedné konkrétní osobě. Tato data však často obsahují více informací, než je nezbytné například pro identifikaci. Jejich zpracování tedy představuje velké riziko v oblasti základních práv a svobod lidí. Pokud se tato data dostanou do nesprávných rukou, mohlo by to vést k nenapravitelnému poškození. Biometrické údaje jsou proto dobře chráněny a jejich zpracování je podle článku XNUMX GDPR zakázáno, pokud k tomu není právní výjimka. V tomto případě AP dospěl k závěru, že dotčená společnost neměla nárok na výjimka pro zpracování zvláštních osobních údajů.
otisk prstu
O otisku prstu v kontextu GDPR a jedné z výjimek, konkrétně nutnost, dříve jsme v jednom z našich blogů napsali: „Otisk prstu je v rozporu s GDPR“. Tento blog se zaměřuje na další alternativní důvody pro výjimky: povolení. Pokud zaměstnavatel používá ve své společnosti biometrické údaje, jako jsou otisky prstů, může stačit, pokud jde o soukromí, se souhlasem jeho zaměstnance?
Svolením se rozumí konkrétní, informovaný a jednoznačný vyjádření vůle s nimiž někdo souhlasí se zpracováním svých osobních údajů s prohlášením nebo jednoznačným aktivním opatřením podle čl. 4 odst. 11 GDPR. V rámci této výjimky tedy musí zaměstnavatel nejen prokázat, že jeho zaměstnanci udělili povolení, ale také, že to bylo jednoznačné, konkrétní a informované. Podepsání pracovní smlouvy nebo obdržení personální příručky, ve které zaměstnavatel zaznamenal pouze úmysl úplně otáčet otisk prstu, je v této souvislosti nedostatečné, AP uzavřel. Jako důkaz musí zaměstnavatel například předložit politiku, postupy nebo jinou dokumentaci, která prokazuje, že jeho zaměstnanci jsou dostatečně informováni o zpracování biometrických údajů a že k jejich zpracování rovněž dali (výslovné) povolení.
Je-li povolení uděleno zaměstnancem, musí to být nejen „explicitně' ale také 'volně daný“, uvádí AP. „Explicitní“ je například písemné povolení, podpis, odeslání e-mailu s udělením povolení nebo povolení s dvoustupňovým ověřením. „Volně dané“ znamená, že za tím nesmí být žádný nátlak (jako tomu bylo v daném případě: když odmítnete naskenovat otisk prstu, bude následovat rozhovor s ředitelem / představenstvem) nebo že povolení může být podmínkou něčeho odlišný. Podmínka „svobodně dána“ zaměstnavatel v žádném případě nesplňuje, pokud jsou zaměstnanci povinni, nebo jako v daném případě pociťují povinnost zaznamenat otisky prstů. Obecně se podle tohoto požadavku AP domnívala, že vzhledem k závislosti vyplývající ze vztahu mezi zaměstnavatelem a zaměstnancem je nepravděpodobné, že by zaměstnanec mohl svobodně udělit svůj souhlas. Opak bude muset zaměstnavatel prokázat.
Vyžaduje zaměstnanec svolení zaměstnanců ke zpracování jejich otisků prstů? Pak se AP v souvislosti s tímto případem učí, že to v zásadě není dovoleno. Koneckonců, zaměstnanci jsou závislí na svém zaměstnavateli, a proto často nejsou schopni odmítnout. Neznamená to, že zaměstnavatel se nikdy nemůže spolehnout na důvod povolení. Zaměstnavatel však musí mít dostatečné důkazy, aby jeho odvolání bylo na základě souhlasu úspěšné, aby bylo možné zpracovat biometrická data jeho zaměstnanců, jako jsou otisky prstů. Hodláte používat biometrické údaje ve vaší společnosti nebo vás zaměstnavatel žádá například o povolení k používání otisků prstů? V takovém případě je důležité nejednat okamžitě a udělit svolení, ale nejprve být řádně informováni. Law & More právníci jsou odborníky v oblasti soukromí a mohou vám poskytnout informace. Máte nějaké další dotazy k tomuto blogu? Prosím kontaktujte Law & More.