Наскоро холандският орган за защита на данните (AP) наложи голяма глоба, а именно 725,000 9 евро, на компания, която сканира отпечатъци на служители за присъствие и регистрация на време. Биометричните данни, като пръстов отпечатък, са специални лични данни по смисъла на член 9 GDPR. Това са уникални характеристики, които могат да бъдат проследени до един конкретен човек. Тези данни обаче често съдържат повече информация, отколкото е необходимо, например за идентификация. Следователно обработката им представлява голям риск в областта на основните права и свободи на хората. Ако тези данни попаднат в грешни ръце, това потенциално може да доведе до непоправими щети. Следователно биометричните данни са добре защитени и обработката им е забранена съгласно член XNUMX GDPR, освен ако няма законово изключение за това. В този случай AP заключава, че въпросната компания няма право на изключение за обработка на специални лични данни.
Fingerprint
За пръстовия отпечатък в контекста на GDPR и едно от изключенията, а именно необходимост, по-рано писахме в един от нашите блогове: „Отпечатък в нарушение на GDPR“. Този блог се фокусира върху другото алтернативно основание за изключение: разрешение, Когато работодателят използва биометрични данни, като пръстови отпечатъци в своята компания, може ли той, по отношение на личния живот, да е достатъчен с разрешението на своя служител?
Под разрешение се разбира a конкретни, информирани и недвусмислени воля с която някой приема обработка на личните му данни с изявление или недвусмислено активно действие, съгласно член 4, раздел 11, GDPR. В контекста на това изключение работодателят трябва не само да докаже, че служителите му са дали разрешение, но и че това е било недвусмислено, конкретно и информирано. Подписването на трудовия договор или получаването на ръководството за персонала, в което работодателят е записал само намерението да се придържа изцяло към пръстовия отпечатък, в този контекст е недостатъчно, заключи АП. Като доказателство работодателят трябва например да представи политика, процедури или друга документация, от която е видно, че неговите служители са достатъчно информирани за обработката на биометричните данни и че също са дали (изрично) разрешение за обработката им.
Ако разрешението е дадено от служителя, то трябва да бъде освен това „изричен' но също 'дадено свободно', според АП. „Изрично“ е например писмено разрешение, подпис, изпращане на имейл за даване на разрешение или разрешение с проверка в две стъпки. „Свободно дадено“ означава, че зад него не трябва да има принуда (както беше във въпросния случай: при отказ да се сканира отпечатъка, последва разговор с директора / борда) или това разрешение може да е условие за нещо различно. Условието „свободно дадено“ във всеки случай не е изпълнено от работодателя, когато служителите са длъжни или, както във въпросния случай, го преживяват като задължение да имат отпечатък. Като цяло при това изискване АП счита, че предвид зависимостта, произтичаща от взаимоотношенията между работодателя и служителя, е малко вероятно служителят да може свободно да даде своето съгласие. Обратното ще трябва да бъде доказано от работодателя.
Иска ли служител разрешение от служителите си да обработят пръстовия си отпечатък? Тогава АП научава в контекста на този случай, че по принцип това не е позволено. В крайна сметка служителите зависят от своя работодател и затова често не са в състояние да откажат. Това не означава, че работодателят никога не може успешно да разчита на основанието на разрешението. Работодателят обаче трябва да разполага с достатъчно доказателства, за да направи обжалването си въз основа на съгласието успешно, за да обработва биометрични данни на своите служители, като пръстови отпечатъци. Възнамерявате ли да използвате биометрични данни във вашата компания или работодателят ви иска разрешение за използване на вашия пръстов отпечатък например? В този случай е важно да не се действа незабавно и да се даде разрешение, а първо да бъдете информирани правилно. Law & More юристите са експерти в областта на поверителността и могат да ви предоставят информация. Имате ли други въпроси относно този блог? Моля свържете се Law & More.