Keď sa postupne opäť otvoria všetky kancelárie, poskytovanie bezpečného prístupu na pracoviská sa stane súčasťou mnohých organizácií. Niekto môže mať pocit, že švihadlo a šnúrky patria k starej škole. Možno kompetentní uvažujú o inovácii na biometrickú technológiu, ako sú skenery odtlačkov prstov, o spôsobe, ako zvýšiť bezpečnosť a pohodlie. Manažéri a majitelia firiem si však nemusia uvedomovať, že biometria prináša starosti s ochranou údajov.
Tento blog sa bude zaoberať problémom súvisiacim s údajmi zamestnancov. Na konci príspevku prinášame aj opatrenia, ktoré je potrebné vykonať, ak plánujete spracovávať údaje zamestnancov týmto spôsobom.
Čo hovorí GDPR o biometrii
Po prvé, čo hovorí všeobecné nariadenie o ochrane údajov (GDPR) o biometrických údajoch? Nariadenie má špecifické záruky pri spracúvaní osobných údajov osobitnej kategórie. Ako vysvetľuje článok 9, táto kategória zahŕňa biometrické údaje, ako sú odtlačky prstov. Podľa článku 9 zamestnávatelia, ktorí chcú spracovať odtlačky prstov svojich zamestnancov alebo iné biometrické údaje, potrebujú nasledujúci právny základ:
- Dotknutá osoba udelila výslovný súhlas
- Spracúvanie je nevyhnutné na plnenie povinností a uplatňovanie konkrétnych práv prevádzkovateľa alebo dotknutej osoby v oblasti zamestnanosti a sociálneho zabezpečenia a práva sociálnej ochrany
- Je to v životnom záujme dotknutej osoby
- Je to nevyhnutné pre právne nároky alebo obhajobu
- Spracovanie sa vykonáva v rámci legitímnych činností organizácie s primeranými zárukami nadácie, združenia alebo akéhokoľvek iného neziskového orgánu s politickým, filozofickým, náboženským alebo odborovým cieľom a za predpokladu, že sa spracovanie týka výlučne členov alebo bývalým členov orgánu alebo osôb, ktoré s ním majú pravidelný kontakt
- Dôvody verejného záujmu
- Dotknutá osoba už zverejňuje osobné údaje
- Spracovanie je nevyhnutné na účely archivácie
- Je to potrebné na lekárske posúdenie.
Aby bolo spracovanie týchto údajov vyňaté z článku 9, musí byť zamestnávateľ schopný predložiť legitímny a rozumný argument, že spracovanie biometrických údajov je v životných záujmoch jeho zamestnanca alebo sa spracúva vo veci verejného záujmu. V súčasnosti nie je k dispozícii žiadny iný alternatívny základ. Dôkaz o preukázaní tejto legitímnosti spočíva na zamestnávateľovi.
Zabezpečenie práv dotknutých osôb
Keď sa pozrieme konkrétne na Írsko, zákon o ochrane údajov 2018 (DPA), oddiel 46, popisuje spracovanie citlivých osobných údajov v súvislosti s právom v oblasti zamestnania a sociálneho zabezpečenia. V § 45 DPA sa uvádza, že organizácie musia prijať vhodné a konkrétne opatrenia na ochranu základných práv a slobôd dotknutých osôb.
Spracúvanie osobitných kategórií osobných údajov je zákonné vtedy, ak je nevyhnutné na výkon akéhokoľvek práva alebo povinnosti, ktoré sú v súlade s pracovným právom alebo právom sociálneho zabezpečenia prevádzkovateľovi alebo dotknutej osobe uložené zákonom.
Perspektíva EÚ
V roku 2020 holandský úrad na ochranu údajov (Autoriteit Persoonsgegevens) udelil spoločnosti pokutu vo výške 725 000 EUR za nezákonné spracovanie odtlačkov prstov jej zamestnancov pre potreby dochádzky a registrácie pracovného času. V tomto prípade sa organizácia snažila spoliehať na to, že zamestnanci dajú slobodný súhlas. Holandská DPA však zdôraznila, že súhlas zamestnancov v zásade nie je platný, pretože zamestnanci sú závislí od svojho zamestnávateľa a často nebudú môcť odmietnuť.
Alternatívou k tejto dileme je zabezpečiť, aby boli k dispozícii možnosti, ktoré umožnia zamestnancom slobodný súhlas. Tento súhlas zamestnávateľa so zamestnancom je dôležité si v írskom kontexte všimnúť. Dať zamestnancom na výber je jedným z našich odporúčaní (pozri nižšie). To pomáha eliminovať dynamiku moci, ktorá môže byť prítomná v niektorých vzťahoch zamestnávateľov, a vyhýbať sa tak problémom tohto charakteru.
V súčasnosti neexistuje žiadne konkrétne usmernenie DPC o odtlačkoch prstov, ale údaje z minulých prípadov tiež naznačujú, že spracovanie biometrických údajov skenovaním odtlačkov prstov alebo odtlačkov prstov zamestnancov nespĺňa súčasné ustanovenia stanovené v GDPR.
Ďalšie kroky v oblasti biometrie na pracovisku
Čo to teda znamená pre organizácie, ktoré by mohli chcieť spracovávať biometriu zamestnancov? Odporúčame zvážiť tieto body ako prvé.
- Vykonajte hodnotenie vplyvu na ochranu údajov (DPIA) na zvolenom bezpečnostnom systéme (napr. snímač odtlačkov prstov)
- Zaistite, aby boli zásady ochrany osobných údajov organizácie aktuálne s relevantnými, jasnými a presnými informáciami pre zamestnancov a ich právami na ochranu údajov.
- Zahrňte do zásad ochrany osobných údajov pre subjekty údajov sekciu transparentnosti
- Majte k dispozícii konkrétne upozornenie o ochrane osobných údajov o používaní odtlačkov prstov na všetkých platformách
- Na požiadanie sprístupnite dotknutým osobám zmluvu o spracovaní údajov (DPA)
- Aktualizujte záznam o spracovaní (ROPA), ak bol dohodnutý účel a právny základ
- Na zaistenie právneho základu získajte od zamestnanca súhlas so spracovaním jeho osobných údajov podľa článku 6 GDPR
- Na spracovanie biometrických údajov osobitnej kategórie by mali organizácie získať výslovný súhlas zamestnanca podľa článku 9 GDPR
- Poskytnite zamestnancom alternatívu ku skenovaniu odtlačkov prstov, napríklad potiahnutím prstom z karty alebo kľúčenky, alebo zadaním kódu PIN. Ponuka výberu pomôže eliminovať problém nespravodlivého zaobchádzania a energetickej nerovnováhy medzi zamestnávateľom a zamestnancom. Alternatívne možnosti zaisťujú slobodný a presný súhlas
- Dodržiavajte práva sťažovateľov na články 1 až 21 GDPR, pričom osobitnú pozornosť venujte článku 18 o práve na obmedzenie spracúvania.
Zanechať komentár