Kod sve više poslodavaca svjedočimo primjeni tehnologija obrade biometrijskih podataka o zaposlenicima u svrhe vođenja evidencije radnog vremena, odnosno, prisutnosti na radnom mjestu.

Prvenstveno se radi o otiscima prstiju, skenovima lica ili skenu krvnožilnog sustava zapešća ili, vrlo rijetko, skenu rožnice. Ovakvim sustavima jednoznačne identifikacije zaposlenika zaista se može olakšati automatizacija procesa vođenja evidencija ali i ograničiti pristup poslovnim prostorijama ili dijelu njih.

No, poslodavci se ponekad i naljute na nas kad im kažemo da je to "bačen novac".

Zašto?

Biometrijski podaci su podaci koji pripadaju posebnim kategorijama osobnih podataka i čije neovlašteno otkrivanje, krađa, kopiranje, mogu uzrokovati značajne materijalne i nematerijalne štete za kompromitirane pojedince, da ne spominjemo krađu identiteta.

Obrada biometrijskih podataka u RH dozvoljena je u strogo ograničenom okviru prema Zakonu o obradi biometrijskih podataka i to samo od strane nadležnih tijela javne vlasti.

GDPR je odredio da se otisci prstiju, kao vrsta biometrijskih podataka, odnosno, jedna od posebnih kategorija osobnih podataka iz članka 9. GDPR-a, ne smiju prikupljati niti obrađivati, osim ukoliko nije zadovoljen neki od točno 10 uvjeta izuzeća iz članka 9. stavka 2. GDPR-a.

Ako poslodavac želi uvesti obradu biometrijskih podataka, mora u tu svrhu dobiti IZRIČITU PRIVOLU zaposlenika, koja mora biti jasna, specifična, informirana i dana slobodnom voljom pojedinca koji je uvijek može i mora moći povući u svakom trenutku bez posljedica.

Ključ je u obvezi da privola mora biti predmetom slobodne volje zaposlenika i da ima apsolutno pravo u svakom trenutku je povući bez ikakvih posljedica za sebe. To znači da možda u prvom trenutku svi zaposlenici daju svoju privolu za obradu biometrijskih podataka uslijed straha da ih poslodavac ne kazni, a drugi dan pola njih povuče privolu i evidentiranje njihovog radnog vremena mora se voditi "klasičnim" metodama.

Samim time je upitno zašto organizacije investiraju u sustave praćenja dolaska na radno mjesto putem biometrijskih podataka kad svaki od zaposlenika mora moći slobodno odbiti davanje privole i može je u svakom trenutku naknadno povući.

 

Posebno se tom tematikom bavi i Zakon o provedbi Opće uredbe o zaštiti podataka u člancima 21.-24.

U članku 23. je dana prilično jasna odredba:

"Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka."

Jednostavnije rečeno to znači da je poslodavac primarno dužan osigurati vođenje evidencija radnog vremena i prisutnosti na poslu bitno manje invazivnim metodama, kao npr. upisom u tablicu, vođenjem prisutnosti prijavom u aplikacijama, RFID karticama i sl.

No, osim obveze dobivanja slobodnih i izričitih privola zaposlenika, poslodavac je dužan ispuniti još niz drugih preduvjeta:

- Osigurati punu informiranost zaposlenika o svrhama prikupljanja biometrijskih podataka, rokovima zadržavanja, tko ima pristup istima te pravima zaposlenika, prema članku 13. GDPR-a

- Osigurati najviše standarde informacijske sigurnosti radi zaštite prikupljenih biometrijskih podataka

- Provesti i dokumentirati Procjenu učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment) i osigurati minimiziranje rizika na prava i slobode zaposlenika na prihvatljive, odnosno, niske ili umjerene.

 

Da poslodavci padaju na tim preduvjetima pokazuje nam slučaj iz Italije.

Sportski klub je uveo biometrijski sustav putem otiska pristiju za praćenje prisutnosti zaposlenika na radnom mjestu i nije im ponudio istinsku mogućnost povlačenja privole i prijelaza na manje invazivan način vođenja evidencija.

Stoga se takva privola ne može smatrati zakonitom niti valjanom.

Nadzorno tijelo je utvrdilo da sportski klub nije jasno obavijestio zaposlenike o obradi njihovih biometrijskih podataka, niti je evidencija o aktivnostima obrade uključivala biometrijske podatke među kategorijama obrađenih podataka, pa je ovo kršenje sankcionirano kaznom od 20.000 EUR.

 

Više o slučaju:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9832838&mtc=today

Photo from FreePik

#gdprcroatia