Biometria: Znamená GDPR palec dolu za snímače odtlačkov prstov na pracovisku?

Keď sa postupne opäť otvoria všetky kancelárie, poskytovanie bezpečného prístupu na pracoviská sa stane súčasťou mnohých organizácií. Niekto môže mať pocit, že švihadlo a šnúrky patria k starej škole. Možno kompetentní uvažujú o inovácii na biometrickú technológiu, ako sú skenery odtlačkov prstov, o spôsobe, ako zvýšiť bezpečnosť a pohodlie. Manažéri a majitelia firiem si však nemusia uvedomovať, že biometria prináša starosti s ochranou údajov.

Tento blog sa bude zaoberať problémom súvisiacim s údajmi zamestnancov. Na konci príspevku prinášame aj  opatrenia, ktoré je potrebné vykonať, ak plánujete spracovávať údaje zamestnancov týmto spôsobom.

Čo hovorí GDPR o biometrii

Po prvé, čo hovorí všeobecné nariadenie o ochrane údajov (GDPR) o biometrických údajoch? Nariadenie má špecifické záruky pri spracúvaní osobných údajov osobitnej kategórie. Ako vysvetľuje článok 9, táto kategória zahŕňa biometrické údaje, ako sú odtlačky prstov. Podľa článku 9 zamestnávatelia, ktorí chcú spracovať odtlačky prstov svojich zamestnancov alebo iné biometrické údaje, potrebujú nasledujúci právny základ:

  1. Dotknutá osoba udelila výslovný súhlas
  2. Spracúvanie je nevyhnutné na plnenie povinností a uplatňovanie konkrétnych práv prevádzkovateľa alebo dotknutej osoby v oblasti zamestnanosti a sociálneho zabezpečenia a práva sociálnej ochrany
  3. Je to v životnom záujme dotknutej osoby
  4. Je to nevyhnutné pre právne nároky alebo obhajobu
  5. Spracovanie sa vykonáva v rámci legitímnych činností organizácie s primeranými zárukami nadácie, združenia alebo akéhokoľvek iného neziskového orgánu s politickým, filozofickým, náboženským alebo odborovým cieľom a za predpokladu, že sa spracovanie týka výlučne členov alebo bývalým členov orgánu alebo osôb, ktoré s ním majú pravidelný kontakt
  6. Dôvody verejného záujmu
  7. Dotknutá osoba už zverejňuje osobné údaje
  8. Spracovanie je nevyhnutné na účely archivácie
  9. Je to potrebné na lekárske posúdenie.

Aby bolo spracovanie týchto údajov vyňaté z článku 9, musí byť zamestnávateľ schopný predložiť legitímny a rozumný argument, že spracovanie biometrických údajov je v životných záujmoch jeho zamestnanca alebo sa spracúva vo veci verejného záujmu. V súčasnosti nie je k dispozícii žiadny iný alternatívny základ. Dôkaz o preukázaní tejto legitímnosti spočíva na zamestnávateľovi.

Zabezpečenie práv dotknutých osôb

Keď sa pozrieme konkrétne na Írsko, zákon o ochrane údajov 2018 (DPA), oddiel 46, popisuje spracovanie citlivých osobných údajov v súvislosti s právom v oblasti zamestnania a sociálneho zabezpečenia. V § 45 DPA sa uvádza, že organizácie musia prijať vhodné a konkrétne opatrenia na ochranu základných práv a slobôd dotknutých osôb.

Spracúvanie osobitných kategórií osobných údajov je zákonné vtedy, ak je nevyhnutné na výkon akéhokoľvek práva alebo povinnosti, ktoré sú v súlade s pracovným právom alebo právom sociálneho zabezpečenia prevádzkovateľovi alebo dotknutej osobe uložené zákonom.

Perspektíva EÚ

V roku 2020 holandský úrad na ochranu údajov (Autoriteit Persoonsgegevens) udelil spoločnosti pokutu vo výške 725 000 EUR za nezákonné spracovanie odtlačkov prstov jej zamestnancov pre potreby dochádzky a registrácie pracovného času. V tomto prípade sa organizácia snažila spoliehať na to, že zamestnanci dajú slobodný súhlas. Holandská DPA však zdôraznila, že súhlas zamestnancov v zásade nie je platný, pretože zamestnanci sú závislí od svojho zamestnávateľa a často nebudú môcť odmietnuť.

Alternatívou k tejto dileme je zabezpečiť, aby boli k dispozícii možnosti, ktoré umožnia zamestnancom slobodný súhlas. Tento súhlas zamestnávateľa so zamestnancom je dôležité si v írskom kontexte všimnúť. Dať zamestnancom na výber je jedným z našich odporúčaní (pozri nižšie). To pomáha eliminovať dynamiku moci, ktorá môže byť prítomná v niektorých vzťahoch zamestnávateľov, a vyhýbať sa tak problémom tohto charakteru.

V súčasnosti neexistuje žiadne konkrétne usmernenie DPC o odtlačkoch prstov, ale údaje z minulých prípadov tiež naznačujú, že spracovanie biometrických údajov skenovaním odtlačkov prstov alebo odtlačkov prstov zamestnancov nespĺňa súčasné ustanovenia stanovené v GDPR.

Ďalšie kroky v oblasti biometrie na pracovisku

Čo to teda znamená pre organizácie, ktoré by mohli chcieť spracovávať biometriu zamestnancov? Odporúčame zvážiť tieto body ako prvé.

  • Vykonajte hodnotenie vplyvu na ochranu údajov (DPIA) na zvolenom bezpečnostnom systéme (napr. snímač odtlačkov prstov)
  • Zaistite, aby boli zásady ochrany osobných údajov organizácie aktuálne s relevantnými, jasnými a presnými informáciami pre zamestnancov a ich právami na ochranu údajov.
  • Zahrňte do zásad ochrany osobných údajov pre subjekty údajov sekciu transparentnosti
  • Majte k dispozícii konkrétne upozornenie o ochrane osobných údajov o používaní odtlačkov prstov na všetkých platformách
  • Na požiadanie sprístupnite dotknutým osobám zmluvu o spracovaní údajov (DPA)
  • Aktualizujte záznam o spracovaní (ROPA), ak bol dohodnutý účel a právny základ
  • Na zaistenie právneho základu získajte od zamestnanca súhlas so spracovaním jeho osobných údajov podľa článku 6 GDPR
  • Na spracovanie biometrických údajov osobitnej kategórie by mali organizácie získať výslovný súhlas zamestnanca podľa článku 9 GDPR
  • Poskytnite zamestnancom alternatívu ku skenovaniu odtlačkov prstov, napríklad potiahnutím prstom z karty alebo kľúčenky, alebo zadaním kódu PIN. Ponuka výberu pomôže eliminovať problém nespravodlivého zaobchádzania a energetickej nerovnováhy medzi zamestnávateľom a zamestnancom. Alternatívne možnosti zaisťujú slobodný a presný súhlas
  • Dodržiavajte práva sťažovateľov na články 1 až 21 GDPR, pričom osobitnú pozornosť venujte článku 18 o práve na obmedzenie spracúvania.