30.000 EUR je iznos kazne izrečen javnoj zdravstvenoj ustanovi u Italiji koja je koristila biometrijske sustave za praćenje prisutnosti svojih zaposlenika na radnom mjestu.
Biometrijski podaci prikupljali su se putem otiska prsta zaposlenika i oznake zaposlenika koju je nosio na sebi, temeljem privole zaposlenika koji su bili unaprijed informirani o ovoj obradi posebnih kategorija osobnih podataka.
Da ponovimo, prema članku 9. GDPR-a, za vođenje evidencija o prisutnosti na radnom mjestu nužna je izričita privola zaposlenika, koja moram biti rezultatom slobodne volje zaposlenika.
Isto je u Hrvatskoj regulirano i člankom 23. Zakona o provedbi Opće uredbe o zaštiti podataka (NN42/18) koji određuje da je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija dozvoljena ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka.
No, talijansko je nadzorno tijelo vrlo oštro reagiralo na postupanje javno-zdravstvene ustanove u Italiji, naglasivši da su se ogriješili jer nisu dovoljno transparentno upoznali zaposlenike o svim informacijama iz članka 13. GDPR-a i da privola zaposlenika NIJE predmetom slobodne volje zaposlenika i NIJE primjenjiva s obzirom na disbalans snaga između zaposlenika i poslodavca.
Ključ leži u ovim točkama:
1. Izuzetno je važno svojim zaposlenicima komunicirati da organizacija vodi evidenciju prisutnosti na radnom mjestu sukladno zakonskim obvezama i u da je u te svrhe osigurala praćenje ulazaka i izlazaka manje invazivnim metodama, kao npr. RFID karticama ili zapisivanjem u evidencije.
2. Izutetno je važno svojim zaposlenicima jasno komunicirati da NE MORAJU privolu za korištenje biometrijskih podataka u svrhe vođenja evidencija prisutnosti na radnom mjestu.
3. Ako želimo da nam skupo plaćeni sustav postane opravdana investicija, tada moramo motivirati zaposlenike da ga koriste u svrhe praćenja prisutnosti na radnom mjestu na način da im jasno i transparentno objasnimo da im korištenje biometrijskih podataka omogućava brži i jednostavniji ulazak ili izlazak iz poslovnih prostora i preciznost vođenja evidencija radnog vremena.
4. Svojim dokazivim postupanjem organizacija mora moći dokazati da je svojim zaposlenicima dala puno pravo odabira hoće li dati prikupljanje svojih biometrijskih podataka i njihovo korištenje za svrhe ulaska i izlaska iz poslovnih prostora, i da ,u slučaju da zaposlenik odbije ili naknadno odustane od primjene obrade njegovih biometrijskih podataka, nema apsolutno nikakvih posljedica za zaposlenika.
Samo takvim pristupom moguće je osigurati valjanost i zakonitost izričite privole zaposlenika koja prema članku 7. mora biti:
- informirama, odnosno, da uključuje sve jasne informacije zaposlenicima uključujući i njihova prava iz GDPR-a
- posebna za svaku svrhu za koju se koristi
- izraz potpuno slobodne volje zaposlenika
- mora se moći povući na jednako jednostavan način u svakom trenutku kako je i dana
- odbijanjem davanja privole ili njenim naknadnim povlačenjem ne smiju nastati nikakve negativne posljedice za zaposlenika
Više o slučaju iz Italije:
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_-_9542071&mtc=today