Iznenadili bismo se koliko poslovnih subjekata u RH koristi biometrijske podatke (najčešće otisak prsta i sken lica) za svrhe evidencije vremena dolazaka ili odlazaka s radnog mjesta.
I nema tu ništa sporno ako je sve učinjeno kako to GDPR nalaže:
- Sigurnosne postavke uređaja za obradu i pohranu biometrijskih podataka, uz obveznu enkripciju
- Sigurnosne postavke internih procedura skeniranja i unosa biometrijskih podataka u uređaj
- DPIA – Procjena učinka na zaštitu podataka za takvu obradu podataka
- Postojanje manje invazivnog vođenja evidencije radnog vremena i prisutnosti na radnom mjestu (npr. RFID kartice, zapisivanje rukom i sl.)
- Izričita privola svakog zaposlenika na način da ista može dokazati da je zaposleniku zaista pružena mogućnost slobodnog izbora
- Jasno utvrđena prava pristupa sustavu biometrije, posebno za administratore
- Interni akt kojim se utvrđuju pravila postupanja sa sustavom biometrije i način unosa i brisanja biometrijskih zapisa u i iz uređaja
- Obavijest svim zaposlenicima o postupcima obrade njihovih biometrijskih podataka i o njihovim pravima ispitanika
- Ugovor o obradi podataka s izvršiteljem obrade, ako se radi o vanjskoj tvrtki koja održava biometrijski uređaj
Jedan poslodavac u Belgiji nije imao ispunjene ove preduvjete što ga je koštalo 45.000 EUR kazne.
Naime, nešto manje zadovoljan zaposlenik zatražio je svoje pravo na pristup osobnim podacima, što znači da je morao dobiti niz odgovora u koje svrhe se i kako obrađuju njegovi biometrijski podaci putem otiska prsta, s kime dijele, na koji rok, koje se sigurnosne mjere provode, prenose li se izvan EU/EEA i najvažnije – koji je pravni temelj za takvu obradu.
Odgovori na temu pravnog temelja, rokova zadržavanja i sigurnosnih postavki su izostali.
Poslodavac nikad nije dao zaposlenicima privolu na potpis, niti im je osigurao manje invazivno praćenje radnog vremena.
Zaposlenicima nije ni na koji način opisao u koje svrhe koristi biometriju na koju ih je obvezivao niti da imaju pravo na potpuno slobodni izbor.
Da bude stvar gora, korišten je softver tvrtke za koju nisu provjerene sigurnosne reference. Procjena učinka na zaštitu podataka nije provedena niti je takva obrada zavedena u evidenciju aktivnosti obrada.
O primjeru iz Belgije:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_114/2024&mtc=today
Image by GDPR Croatia
#gdprcroatia