Neseniai Nyderlandų duomenų apsaugos tarnyba (AP) paskyrė didelę baudą, būtent 725,000 9 eurų, įmonei, nuskaitytai darbuotojų pirštų atspaudams dėl lankymo ir laiko registravimo. Biometriniai duomenys, tokie kaip pirštų atspaudai, yra specialūs asmens duomenys, kaip apibrėžta GDPR 9 straipsnyje. Tai yra unikalios savybės, kurias galima atsekti vienam konkrečiam asmeniui. Tačiau šiuose duomenyse dažnai yra daugiau informacijos, nei reikia, pavyzdžiui, identifikavimui. Todėl jų tvarkymas kelia didelę riziką pagrindinių žmogaus teisių ir laisvių srityje. Jei šie duomenys pateks į netinkamas rankas, tai gali padaryti nepataisomą žalą. Taigi biometriniai duomenys yra gerai apsaugoti, o juos tvarkyti draudžiama pagal GDPR XNUMX straipsnį, nebent tam būtų numatyta teisinė išimtis. Šiuo atveju AP padarė išvadą, kad nagrinėjama įmonė neturėjo teisės į išimtis specialiems asmens duomenims tvarkyti.
pirštų atspaudas
Apie pirštų atspaudus GDPR kontekste ir apie vieną išimčių, būtent būtinybė, anksčiau viename iš savo tinklaraščių rašėme: „Pirštų atspaudai pažeidžia GDPR“. Šiame tinklaraštyje daugiausia dėmesio skiriama kitam alternatyviam išimties pagrindui: leidimas. Jei darbdavys savo įmonėje naudoja biometrinius duomenis, pvz., Pirštų atspaudus, ar privatumo srityje jo gali pakakti gavus darbuotojo leidimą?
Leidimas reiškia: konkretus, informuotas ir nedviprasmiškas valios išraiška su kuriuo kažkas sutinka, kad jo asmens duomenys būtų tvarkomi su pareiškimu ar nedviprasmiškai aktyviais veiksmais, remiantis GDPR 4 straipsnio 11 dalimi. Taigi, taikydamas šią išimtį, darbdavys turi ne tik įrodyti, kad jo darbuotojai išdavė leidimą, bet ir tai, kad jis buvo nedviprasmiškas, konkretus ir informuotas. Šiuo atveju nepakanka pasirašyti darbo sutartį arba gauti personalo vadovą, kuriame darbdavys tik užfiksavo ketinimą laikrodžio tikrinimas pirštų atspaudu. Kaip įrodymą darbdavys turi pateikti, pavyzdžiui, politiką, procedūras ar kitus dokumentus, kurie parodo, kad jo darbuotojai yra pakankamai informuoti apie biometrinių duomenų tvarkymą ir kad jie taip pat yra davę (aiškų) leidimą juos tvarkyti.
Jei leidimą išduoda darbuotojas, jis turi būti ne tik „aiškus'bet ir'laisvai duota“, teigia AP. „Aiškus“ yra, pavyzdžiui, rašytinis leidimas, parašas, el. Laiško siuntimas duoti leidimą arba leidimas patvirtinant dviem veiksmais. „Laisvai duota“ reiškia, kad už jo neturi būti jokios prievartos (kaip buvo nagrinėjamu atveju: atsisakius nuskaityti pirštų atspaudus, sekė pokalbis su direktoriumi / valdyba) arba kad leidimas gali būti kažko sąlyga skirtingi. Sąlygos „laisvai duota“ darbdavys bet kuriuo atveju netenkina, kai darbuotojai yra įpareigoti arba, kaip nagrinėjamu atveju, patiria prievolę registruoti savo pirštų atspaudus. Paprastai pagal šį reikalavimą AP manė, kad atsižvelgiant į priklausomybę, atsirandančią dėl darbdavio ir darbuotojo santykių, mažai tikėtina, kad darbuotojas gali laisvai duoti savo sutikimą. Priešingai turės įrodyti darbdavys.
Ar darbuotojas prašo leidimo darbuotojams apdoroti jų pirštų atspaudus? Tada AP šioje byloje sužino, kad iš principo tai neleidžiama. Pagaliau darbuotojai priklauso nuo darbdavio, todėl jie dažnai neturi galimybės atsisakyti. Tai nereiškia, kad darbdavys niekada negali sėkmingai pasikliauti leidimo pagrindu. Tačiau darbdavys turi turėti pakankamai įrodymų, kad apeliacija remiantis sutikimu būtų sėkminga, kad būtų galima tvarkyti savo darbuotojų biometrinius duomenis, pavyzdžiui, pirštų atspaudus. Ar ketinate savo biure naudoti biometrinius duomenis, ar, pavyzdžiui, darbdavys prašo jūsų leidimo naudoti jūsų pirštų atspaudus? Tokiu atveju svarbu nesielgti nedelsiant ir nesuteikti leidimo, bet pirmiausia būti tinkamai informuotam. Law & More teisininkai yra ekspertai privatumo srityje ir gali suteikti jums informacijos. Ar turite kitų klausimų apie šį tinklaraštį? Prašau susisiekti Law & More.