Przetwarzanie danych biometrycznych wyjaśnione
Niedawno holenderski Urząd Ochrony Danych (AP) nałożył wysoką grzywnę, mianowicie 725,000 9 euro, na firmę, która skanowała odciski palców pracowników w celu rejestracji obecności i czasu pracy. Dane biometryczne, takie jak odcisk palca, są szczególnymi danymi osobowymi w rozumieniu artykułu XNUMX RODO. Są to unikalne cechy, które można powiązać z jedną konkretną osobą. Jednak dane te często zawierają więcej informacji, niż jest to konieczne na przykład do identyfikacji.
Ich przetwarzanie stwarza zatem duże ryzyko w obszarze podstawowych praw i wolności osób. Jeśli dane te trafią w niepowołane ręce, może to potencjalnie doprowadzić do nieodwracalnych szkód. Dane biometryczne są zatem dobrze chronione, a ich przetwarzanie jest zabronione na mocy artykułu 9 RODO, chyba że istnieje prawny wyjątek od tej zasady. W tym przypadku AP stwierdził, że dana firma nie miała prawa do wyjątek do przetwarzania specjalnych danych osobowych.
Odcisk palca
O odcisk palca w kontekście RODO i jednym z wyjątków, a mianowicie konieczność, wcześniej pisaliśmy na jednym z naszych blogów: „Odcisk palca narusza RODO”. Ten blog skupia się na innej alternatywnej podstawie wyjątku: pozwolenie. Kiedy pracodawca wykorzystuje dane biometryczne, takie jak odciski palców w swojej firmie, czy może, w odniesieniu do prywatności, wystarczyć za zgodą swojego pracownika?
Przez pozwolenie rozumie się konkretne, świadome i jednoznaczne wyrażenie woli z którym ktoś akceptuje przetwarzanie swoich danych osobowych oświadczeniem lub jednoznacznym aktywnym działaniem, zgodnie z artykułem 4, sekcją 11, RODO. W kontekście tego wyjątku pracodawca musi zatem nie tylko wykazać, że jego pracownicy udzielili zgody, ale także, że była ona jednoznaczna, konkretna i świadoma.
Podpisanie umowy o pracę lub otrzymanie podręcznika personalnego, w którym pracodawca odnotował jedynie zamiar całkowitego odbicia odcisku palca, jest w tym kontekście niewystarczające, stwierdził AP. Jako dowód pracodawca musi na przykład przedstawić politykę, procedury lub inną dokumentację, która pokazuje, że jego pracownicy są wystarczająco poinformowani o przetwarzaniu danych biometrycznych i że również wyrazili (wyraźną) zgodę na ich przetwarzanie.
Jeśli pracownik udziela zezwolenia, musi ono nie tylko oznaczać „wyraźny' ale również 'dobrowolnie podane', podaje AP. 'Wyraźne' to na przykład pisemna zgoda, podpis, wysłanie wiadomości e-mail w celu udzielenia zgody lub zgoda z dwuetapową weryfikacją. 'Dobrowolnie udzielone' oznacza, że nie może za tym kryć się żaden przymus (jak to było w omawianym przypadku: po odmowie zeskanowania odcisków palców następowała rozmowa z dyrektorem/zarządem) lub że zgoda może być warunkiem czegoś innego.
Warunek „dobrowolnie dany” nie jest w żadnym wypadku spełniony przez pracodawcę, gdy pracownicy są zobowiązani lub, jak w omawianym przypadku, odczuwają to jako obowiązek zarejestrowania swojego odcisku palca. Generalnie, w ramach tego wymogu AP uznał, że biorąc pod uwagę zależność wynikającą ze stosunku między pracodawcą a pracownikiem, mało prawdopodobne jest, aby pracownik mógł swobodnie wyrazić swoją zgodę. Przeciwieństwo będzie musiało zostać udowodnione przez pracodawcę.
Czy pracownik prosi swoich pracowników o pozwolenie na przetwarzanie ich odcisków palców? Następnie AP dowiaduje się w kontekście tej sprawy, że w zasadzie nie jest to dozwolone. W końcu pracownicy są zależni od swojego pracodawcy i dlatego często nie są w stanie odmówić. Nie oznacza to, że pracodawca nigdy nie może skutecznie polegać na podstawie pozwolenia.
Pracodawca musi jednak mieć wystarczające dowody, aby jego odwołanie na podstawie zgody zakończyło się sukcesem, aby móc przetwarzać dane biometryczne swoich pracowników, takie jak odciski palców. Czy zamierzasz używać danych biometrycznych w swojej firmie, czy też pracodawca prosi Cię o zgodę na użycie Twojego odcisku palca? W takim przypadku ważne jest, aby nie działać natychmiast i nie udzielać zgody, ale najpierw zostać właściwie poinformowanym. Prawo & More prawnicy są ekspertami w dziedzinie prywatności i mogą udzielić Ci informacji. Masz jakieś pytania dotyczące tego bloga? Skontaktuj się z nami Law & More.