Temeljem prijave od strane njegovog zaposlenika poslodavac se očitovao na zahtjev španjolskog nadzornog tijela za zaštitu osobnih podataka da on ne pohranjuje otiske prstiju svojih zaposlenika, već ih samo skenira i odmah posebnim čitačem pretvara u brojčanu vrijednost.

Da, tvrdio je da on ne obrađuje otiske prstiju svojih zaposlenika, odnosno, biometrijske podatke, već samo numeričke vrijednosti skeniranih otisaka prstiju iz kojih nije moguće povratno generirati otisak prsta, a skenove prstiju odmah briše.

Upravo takvo obrazloženje smo već čuli i kod nas kod jednog poslodavca nakon što smo ga upozorili da obrađuje biometrijske podatke u svrhu identifikacije zaposlenika, odnosno, posebne kategorije osobnih podataka za što je neophodna dokazivo potpuno slobodna izričita privola zaposlenika, koju zaposlenik ima pravo bez posljedica povući u svakom trenutku.

Naravno, poslodavac iz španjolskog slučaja nije uspio dokazati na koji način osigurava promptno brisanje skenova otisaka prstiju niti je dokazao neophodne sigurnosne mjere zaštite takvih osjetljivih osobnih podataka, uključujući i hashirane numeričke vrijednosti koje predstavljaju skenove otisaka prstiju kao jednoznačne identifikatore zaposlenika.

Posljedice poslodavčevog neprihvaćanja da se radi o obradi biometrijskih podataka bile su očigledne i u izostanku informiranosti zaposlenika i traženoj transparentnosti prema njima o postupanju sa skenovima otisaka prstiju, u primjeni pogrešnog pravnog temelja (umjesto izričite privole smatrali su da se radi o ugovornoj obvezi prema ugovoru o radu) i u izostanku provedene Procjene učinka na zaštitu podataka (DPIA).

Epilog? 360.000 EUR kazne.

Više o slučaju:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202202960&mtc=today

Image from FreePik

#gdprcroatia