20.000 EUR je iznos kazne izrečen tvrtki u Španjolskoj koja je koristila biometrijske sustave za praćenje prisutnosti svojih zaposlenika na radnom mjestu, bez prethodno izvršenog i dokumentiranog postupka Procjene učinka na zaštitu podataka (Data Protection Impact Assessment, DPIA).
 
DPIA je kompleksan postupak i MORA se provesti za obrade koje mogu prouzročiti visok rizik za prava i slobode pojedinca, posebice ako se obrađuju posebne kategorije osobnih podataka (zdravstveni, biometrijski, vjerska ili politička uvjerenja, genetski, seksualna orijentacija i sl.) u velikom opsegu ili o kaznenim osudama ili kažnjivim dijelima u velikom opsegu, ako se sustavno prati javno dostupno područje u velikoj mjeri (npr. video nadzor oko objekta sportske dvorane) ili se radi o sustavnoj automatiziranoj i opsežnoj procjeni osobnih aspekata pojedinca i izradi njegovih profila.
 
AZOP je donio i obvezujući popis obrada podataka za koje se mora provesti DPIA:
 
https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/
 
i valja ga dobro proučiti. Taj popis nije konačan.
 
Radili smo DPIA već za niz organizacija za različite vrste obrada osobnih podataka, i znamo da to nije šala.
 
 
Vratimo se na španjolski slučaj, kakvog bismo u Hrvatskoj mogli lako pronaći.
 
Biometrijski podaci prikupljali su se putem otiska prsta zaposlenika, temeljem privole zaposlenika koja nije bila predmetom slobodne volje.

Prema članku 9. GDPR-a, za vođenje evidencija o prisutnosti na radnom mjestu nužna je izričita privola zaposlenika, koja mora biti rezultatom slobodne volje zaposlenika.

Isto je u Hrvatskoj regulirano i člankom 23. Zakona o provedbi Opće uredbe o zaštiti podataka (NN42/18) koji određuje da je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija dozvoljena ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka.

 

Ključ leži u ovim točkama:

 

  1. Izuzetno je važno svojim zaposlenicima komunicirati da organizacija vodi evidenciju prisutnosti na radnom mjestu sukladno zakonskim obvezama i u da je u te svrhe osigurala praćenje ulazaka i izlazaka manje invazivnim metodama, kao npr. RFID karticama ili zapisivanjem u evidencije.

 

  1. Izutetno je važno svojim zaposlenicima jasno komunicirati da NE MORAJU dati svoju privolu za korištenje biometrijskih podataka u svrhe vođenja evidencija prisutnosti na radnom mjestu.

 

  1. Ako želimo da nam skupo plaćeni sustav postane opravdana investicija, tada moramo motivirati zaposlenike da ga koriste u svrhe praćenja prisutnosti na radnom mjestu na način da im jasno i transparentno objasnimo da im korištenje biometrijskih podataka omogućava brži i jednostavniji ulazak ili izlazak iz poslovnih prostora i preciznost vođenja evidencija radnog vremena.

 

  1. Svojim dokazivim postupanjem organizacija mora moći dokazati da je svojim zaposlenicima dala puno pravo odabira hoće li dati prikupljanje svojih biometrijskih podataka i njihovo korištenje za svrhe ulaska i izlaska iz poslovnih prostora, i da, u slučaju da zaposlenik odbije ili naknadno odustane od primjene obrade njegovih biometrijskih podataka, nema apsolutno nikakvih posljedica za zaposlenika.

 

Samo takvim pristupom moguće je osigurati valjanost i zakonitost izričite privole zaposlenika.

 

A kakve to veze ima s DPIA obvezom?

Upravo pravilnim provođenjem DPIA postupka organizacija će utvrditi ima li uopće temelja postavljati biometrijske sustave kao vrlo invazivne s obzirom na privatnost i kao nužne s obzirom na svrhu, te kako se osiguravaju GDPR prava i slobode zaposlenika u tom slučaju i kakvi su s tim povezani rizici.

 

Više o slučaju iz Španjolske:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00050/2021&mtc=today