Nailazili smo u nekoliko slučajeva na ovakve ideje poslodavaca ili vlasnika tvrtki, koji su htjeli omogućiti automatsko dozvoljavanje ulaska i praćenje ulazaka u prostor biometrijskim sustavima, kroz funkcionalnost prepoznavanja lica svojih zaposlenika ili klijenata.
Kad smo spomenuli da je takva velika investicija zapravo "bačen novac", bilo je i ljutnje na nas.
Zašto je to "bačen novac"?
Jer prema članku 9. stavku 2. točki a. GDPR-a biometrijski sustav u svrhe identifikacije pojedinca može biti korišten samo temeljem izričite privole.
A da bi privola bila valjana, mora pojedincu prije njegovog prava izbora biti omogućen pristup prostoru i drugim načinima (RFID kartice, PIN-ovi, ključevi...) bez ikakvog ometanja ili prepreka, mora mu biti dan potpuno slobodan izbor, pa čak i ako naknadno povuče svoju privolu.
Stoga definitivno neće svi zaposlenici ili klijenti pristati dati privolu na obradu biometrijskih podataka i samim time poslodavac ili tvrtka mora održavati i omogućavati i druge načine i metode prisupa prostoru.
Ako se takav sustav koristi, osim dozvoljavanja ulaska, i za vođenje statistika, praćenje vremena dolaska i odlaska i za evidencije radnog vremena, tada je potrebna dodatna izričita privola za svaku zasebnu svrhu i naravno - osiguranje potpune informiranosti svih pojedinaca o svrhama, načinima, rokovima pohrane i pravima, uključujući i pravo na povlačenje privole i pravo na pritužbu AZOP-u.
Pri tom je važno voditi brigu da se biometrijski podaci prikupljaju i provjeravaju samo i isključivo od osoba koje su izričitom privolom pristale na obradu njihovih biometrijskih podataka.
Zato je potrebno odvojiti ulaze za osobe koje žele biometrijsku provjeru lica i one koje žele ući drugim načinima.
Ili jednostavno omogućiti da osoba koja dolazi na mjesto skeniranja lica sama pritiskom nekog tipkala aktivira skeniranje lica i usporedbu s bazom biometrijskih profila.
Slučaj s takvim uputama nam dolazi iz Danske:
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-431-0145&mtc=today