Počet stránek ve webu: 43.166

GDPR - otisk prstu při vstupu do budovy, ochrana biometrických údajů zákonem

Kategorie: Nezařazené, GDPR
1 1 1 1 1 Hodnocení 5.00 (1 hlas)

Zvažujeme různé možnosti, jak zabránit vstupu do budovy podniku cizím osobám. Jednou z možností je koupě kliky, která se otevře až po zadání předem nahraného otisku prstu zaměstnance. Je takovéto opatření v souladu s GDPR? Otisk prstu je nahraný jen v softwaru kliky, společnost ho nebude jinak používat, nebude se ani sledovat kdo a kdy do budovy vstoupil.

ODPOVĚĎ:
Otisky prstů spadají do kategorie biometrických údajů (čl. 4/14 GDPR) a jako takové podléhají zvýšené právní ochraně (jedná se o tzv. zvláštní kategorii osobních údajů).
Na zpracování zvláštní kategorie osobních údajů se vztahuje především čl. 9 GDPR, dle jehož prvního odstavce platí, že:
„Zakazuje se … zpracování … biometrických údajů za účelem jedinečné identifikace fyzické osoby …“
Z tohoto plošného zákazu však existují výjimky. Konkrétně dle čl. 9/2 písm. a) GDPR se (výše citovaný) zákaz zpracování biometrických údajů nepoužije, pokud:
„subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů …“
Pakliže by tedy zaměstnavatel hodlal zavést bezpečnostní systém založený na otiscích prstů svých zaměstnanců, musel by předem získat výslovné souhlasy všech zaměstnanců (přičemž tyto souhlasy by musely obsahovat všechny předepsané náležitosti). Potíží tohoto řešení je fakt, že a/ zaměstnanci nejsou povinni zaměstnavateli tento souhlas udělit (vše musí být naprosto dobrovolné), b/ kterýkoli zaměstnanec může tento souhlas v budoucnu odvolat (získáním souhlasů všech zaměstnanců proto nemusí mít zaměstnavatel definitivně „vyhráno“).
K tomu, aby bylo udělení souhlasu zcela dobrovolné, by měl zaměstnavatel nabídnout zaměstnancům i jiný (alternativní) způsob, jak se při vstupu do budovy identifikovat (tedy nabídnout i takovou variantu, která nebude založena na zpracování biometrických údajů). Pokud by totiž zaměstnanec v budoucnu svůj souhlas odvolal (k čemuž je oprávněn a nemůže za to být nikterak sankcionován), nesmí se dostat do situace, že by se do budovy svého zaměstnavatele nedostal.
K tomuto tématu se více dočtete například zde:
https://www.gdpr.cz/otisk-prstu-a-dalsi-biometrika-v-dochazkovych-systemech
či zde:
https://www.akskp.cz/l/dochazkovy-system-s-pouzitim-biometriky-otisky-prstu-zamestnancu-co-na-to-gdpr/
(oba tyto články se sice zabývají především docházkovými systémy založenými na otiscích prstů, tam uvedené informace však lze vztáhnout rovněž na případ Vašeho zaměstnavatele).
V této věci se můžete s dotazem obrátit rovněž na dozorový orgán, kterým je Úřad pro ochranu osobních údajů:
https://uoou.gov.cz
_____________________________
Právní předpisy zmiňované v odpovědi:
nařízení Evropského parlamentu a Rady č. (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

Nenašli jste odpověď na váš dotaz? Zeptejte se našich právníků za drobný poplatek 79 Kč. Odpověď obdržíte do 3 dnů. Poradit se s právníkem.

Štítky: