Kod sve više poslodavaca svjedočimo primjeni tehnologija obrade biometrijskih podataka o zaposlenicima u svrhe vođenja evidencije radnog vremena, odnosno, prisutnosti na radnom mjestu.
Prvenstveno se radi o otiscima prstiju, skenovima lica ili skenu krvnožilnog sustava zapešća ili, vrlo rijetko, skenu rožnice. Ovakvim sustavima jednoznačne identifikacije zaposlenika zaista se može olakšati automatizacija procesa vođenja evidencija ali i ograničiti pristup poslovnim prostorijama ili dijelu njih.
No, poslodavci se ponekad i naljute na nas kad im kažemo da je to "bačen novac".
Zašto?
Biometrijski podaci su podaci koji pripadaju posebnim kategorijama osobnih podataka i čije neovlašteno otkrivanje, krađa, kopiranje, mogu uzrokovati značajne materijalne i nematerijalne štete za kompromitirane pojedince, da ne spominjemo krađu identiteta.
Obrada biometrijskih podataka u RH dozvoljena je u strogo ograničenom okviru prema Zakonu o obradi biometrijskih podataka i to samo od strane nadležnih tijela javne vlasti.
GDPR je odredio da se otisci prstiju, kao vrsta biometrijskih podataka, odnosno, jedna od posebnih kategorija osobnih podataka iz članka 9. GDPR-a, ne smiju prikupljati niti obrađivati, osim ukoliko nije zadovoljen neki od točno 10 uvjeta izuzeća iz članka 9. stavka 2. GDPR-a.
Ako poslodavac želi uvesti obradu biometrijskih podataka, mora u tu svrhu dobiti IZRIČITU PRIVOLU zaposlenika, koja mora biti jasna, specifična, informirana i dana slobodnom voljom pojedinca koji je uvijek može i mora moći povući u svakom trenutku bez posljedica.
Ključ je u obvezi da privola mora biti predmetom slobodne volje zaposlenika i da ima apsolutno pravo u svakom trenutku je povući bez ikakvih posljedica za sebe. To znači da možda u prvom trenutku svi zaposlenici daju svoju privolu za obradu biometrijskih podataka uslijed straha da ih poslodavac ne kazni, a drugi dan pola njih povuče privolu i evidentiranje njihovog radnog vremena mora se voditi "klasičnim" metodama.
Samim time je upitno zašto organizacije investiraju u sustave praćenja dolaska na radno mjesto putem biometrijskih podataka kad svaki od zaposlenika mora moći slobodno odbiti davanje privole i može je u svakom trenutku naknadno povući.
Posebno se tom tematikom bavi i Zakon o provedbi Opće uredbe o zaštiti podataka u člancima 21.-24.
U članku 23. je dana prilično jasna odredba:
"Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka."
Jednostavnije rečeno to znači da je poslodavac primarno dužan osigurati vođenje evidencija radnog vremena i prisutnosti na poslu bitno manje invazivnim metodama, kao npr. upisom u tablicu, vođenjem prisutnosti prijavom u aplikacijama, RFID karticama i sl.
No, osim obveze dobivanja slobodnih i izričitih privola zaposlenika, poslodavac je dužan ispuniti još niz drugih preduvjeta:
- Osigurati punu informiranost zaposlenika o svrhama prikupljanja biometrijskih podataka, rokovima zadržavanja, tko ima pristup istima te pravima zaposlenika, prema članku 13. GDPR-a
- Osigurati najviše standarde informacijske sigurnosti radi zaštite prikupljenih biometrijskih podataka
- Provesti i dokumentirati Procjenu učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment) i osigurati minimiziranje rizika na prava i slobode zaposlenika na prihvatljive, odnosno, niske ili umjerene.
Da poslodavci padaju već na prvoj točki, odnosno, na obvezi potpunog informiranja zaposlenika, pokazuju nam slučajevi iz Španjolske.
U prvom slučaju su se zaposlenici jednog ministarstva požalili nadzornom tijelu da nisu dobili sve potrebne informacije, odnosno, da im je dana samo informacija da se obrada provodi sukladno odredbama GDPR-a:
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00131/2020&mtc=today
U drugom slučaju je Porezna uprava prije uvođenja biometrijskog sustava osigurala sve potpune informacije zaposlenicima prije traženja njihove slobodne privole i pri tom je osigurala i provođenje DPIA postupka:
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00129/2020&mtc=today