70.000 EUR je kazna izrečena poslodavcu u Italiji koji se sjetio iskoristiti biometrijski sustav prepoznavanja lica da bi provjeravao tko je od zaposlenika na radnom mjestu.
Nadamo se da takvih slučajeva nema u Hrvatskoj, mi ih nismo do sada vidjeli.
Stoga se nadamo da će ovaj post pročitati svi poslodavci koji imaju ovakve namjere.
Posebice kad smo prije par dana čuli od jednog rečenicu „GDPR je kao Jeti – svi pričaju o njemu a nitko ga nije vidio.“
Poslodavac se dosjetio koristiti sustav 'Face Deep 3 - Smart Face Recognition System' tvrtke Anviz Global za praćenje prisutnosti zaposlenika na radnom mjestu.
Temeljio se na obradi biometrijskih podataka u svrhe identifikacije pojedinca.
Ne znamo bi li se plakali ili smijali, ali proizvođač tog sustava obade biometrijskih podataka je tvrdio da je sustav u skladu s GDPR-om jer ima "declaration and certification of conformity."
Takvi su nam najdraži 😉
Slučaj je prijavljen nadzornom tijelu za zaštitu podataka od strane nezadovoljnog zaposlenika.
Obrada biometrijskih podataka odvijala se u dvije aktivnosti: prilikom stvaranja biometrijskih profila zaposlenika temeljem fotografija i naknadno za biometrijsko prepoznavanje lica prisutnih zaposlenika.
GDPR u članku 9. jasno kaže da je obrada biometrijskih podataka u svrhu identifikacije pojedinca općenito zabranjena, a dopuštena je samo iznimno kad god je to predviđeno pravom EU ili pravom RH i podložno odgovarajućim zaštitnim mjerama radi zaštite osobnih podataka i drugih temeljnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade osobnih podataka u području radnog prava, prava u vezi socijalnom zaštitom, uključujući mirovine te u svrhu zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih opasnosti za zdravlje. Izuzećem od zabrane bi se također trebala omogućiti obrada takvih osobnih podataka ako su nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva, neovisno je li to u sudskom ili upravnom postupku ili bilo kojem izvansudskom postupku.
Talijanski nacionalni zakoni, kao i hrvatski, ni na koji način ne uključuju mogućnost korištenja biometrijskih podataka u svrhe praćenja prisutnosti na radnom mjestu. Uvijek se takva svrha mora moći postići manje invazivnim metodama. Hrvatski Zakon o provedbi Opće uredbe o zaštiti podataka dozvoljava korištenje biometrijskih sustava identifikacije za vođenje evidencije radnog vremena i ulaska i izlaska iz poslovnih prostora, kao alternativom drugim manje invazivnim načinima provođenja takvih svrha, a sve temeljem izričite i potpuno slobodne privole svakog zaposlenika.
Također, bez obzira što je proizvođač takvog sustava rekao da ima sve certifikate i da je sve u skladu s GDPR-om 😉 poslodavac je odgovoran za usklađenost s GDOPR-om.
Možemo samo zaključiti da GDPR nije poznavao ni poslodavac ni tvrtka koja mu je prodala sustav biometrije.
Više o slučaju iz Italije:
Image from FreePik
#gdprcroatia