GDPR je odredio da se otisci prstiju, kao vrsta biometrijskih podataka, odnosno, jedna od posebnih kategorija osobnih podataka iz članka 9. GDPR-a, ne smiju prikupljati niti obrađivati, osim ukoliko nije zadovoljen neki od točno 9 uvjeta izuzeća iz članka 9. stavak 2. GDPR-a.

Jedan od mogućih uvjeta izuzeća je i IZRIČITA PRIVOLA pojedinca, koja mora biti jasna, specifična, informirana i dana slobodnom voljom pojedinca koji je uvijek može i mora moći povući u svakom trenutku.

Samim time je upitno zašto organizacije investiraju u sustave praćenja dolaska na radno mjesto putem biometrijskih podataka kad svaki od zaposlenika mora moći slobodno odbiti davanje privole i može je u svakom trenutku naknadno povući.

Posebno se tom tematikom bavi i Zakon o provedbi Opće uredbe o zaštiti podataka u člancima 21.-24. U članku 23. je dana prilično jasna odredba:

"Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka."

Jednostavno, to znači da je poslodavac dužan osigurati vođenje evidencija radnog vremena i prisutnosti na poslu osjetno manje invazivnim metodama, kao npr. upisom u tablicu, vođenje prisutnosti prijavom u aplikacijama, RFID karticama i sl.

A što je IZRIČITA PRIVOLA?

GDPR-om se propisuje da je „izjava ili jasna potvrdna radnja” preduvjet za „redovitu” privolu. S obzirom na to da je zahtjev „redovite” privole u GDPR-u već podignut na viši standard, potrebno je objasniti koje bi dodatne napore voditelj obrade trebao uložiti za dobivanje izričite privole ispitanika u skladu s navedenom uredbom.

Izraz izričita odnosi se na način kojim ispitanik izražava privolu.
To znači da ispitanik mora dati izričitu izjavu privole.

Očit način za osiguravanje izričite privole bio bi izričito potvrđivanje privole pisanom izjavom. Ako je potrebno, voditelj obrade mogao bi provjeriti je li ispitanik potpisa opisanu izjavu kako bi otklonio svaku moguću sumnju i potencijalni nedostatak dokaza u budućnosti.

Na primjer, u digitalnom ili internetskom kontekstu ispitanik bi mogao dati traženu izjavu ispunjavanjem elektroničkog obrasca, slanjem poruke e-pošte, učitavanjem skeniranog dokumenta s potpisom ispitanika ili upotrebom elektroničkog potpisa.

Teoretski, i upotreba usmenih izjava može biti dovoljno izričita za dobivanje valjane izričite privole, ali će voditelj obrade možda teško moći dokazati da su u trenutku snimanja izjave bili ispunjeni svi uvjeti za valjanu izričitu privolu.

Provjerom privole u dvije faze također se može osigurati valjanost izričite privole. Na primjer, ispitanik e-poštom prima obavijest o namjeri voditelja obrade da obradi dokumentaciju koja sadržava medicinske podatke. Voditelj obrade u obavijesti objašnjava da traži privolu za upotrebu posebnog skupa podataka u posebnu svrhu. Ako ispitanik pristane na upotrebu tih podataka, voditelj obrade od njega traži da e-poštom pošalje odgovor koji sadržava izjavu „Pristajem”. Nakon slanja odgovora ispitanik prima poveznicu za provjeru na koju mora kliknuti ili SMS poruku s verifikacijskom šifrom za potvrdu pristanka.