Pred kratkim je nizozemska uprava za varstvo podatkov (AP) podjetju, ki je skeniralo prstne odtise zaposlenih, prisodila veliko globo, in sicer 725,000 evrov, zaradi udeležbe in registracije. Biometrični podatki, kot je prstni odtis, so posebni osebni podatki v smislu člena 9 GDPR. To so edinstvene lastnosti, ki jih je mogoče zaslediti do ene posebne osebe. Vendar ti podatki pogosto vsebujejo več informacij, kot je potrebno za na primer identifikacijo. Njihova obdelava zato predstavlja velika tveganja na področju temeljnih pravic in svoboščin ljudi. Če ti podatki pridejo v napačne roke, bi to lahko povzročilo nepopravljivo škodo. Biometrični podatki so zato dobro zaščiteni, njihova obdelava pa je v skladu s členom 9 GDPR prepovedana, razen če za to obstaja pravna izjema. V tem primeru je AP ugotovil, da zadevno podjetje ni upravičeno do izjema za obdelavo posebnih osebnih podatkov.
Prstni odtis
Glede prstnega odtisa v kontekstu GDPR in ene od izjem, namreč nujnost, smo že v enem od naših spletnih dnevnikov zapisali: „Prstni odtis v nasprotju z GDPR“. Ta blog se osredotoča na drugo alternativno podlago za izjemo: Dovoljenje. Če delodajalec v svojem podjetju uporablja biometrične podatke, kot so prstni odtisi, ali lahko, kar zadeva zasebnost, zadostuje z dovoljenjem zaposlenega?
Z dovoljenjem se misli na specifična, informirana in nedvoumna izražanje volje s katerim nekdo sprejme obdelavo njegovih osebnih podatkov z izjavo ali nedvoumnim aktivnim dejanjem, v skladu s členom 4, odstavek 11, GDPR. Delodajalec mora v okviru te izjeme ne samo dokazati, da so njegovi zaposleni odobrili dovoljenje, ampak tudi, da je bilo to nedvoumno, konkretno in informirano. V tem okviru je nezadostno podpisovanje pogodbe o zaposlitvi ali prejem osebnega priročnika, v katerem je delodajalec zabeležil le namero, da se v celoti drži s prstnim odtisom. Kot dokaz mora delodajalec na primer predložiti pravilnike, postopke ali drugo dokumentacijo, iz katere je razvidno, da so njegovi zaposleni dovolj obveščeni o obdelavi biometričnih podatkov in da so dali tudi (izrecno) dovoljenje za njihovo obdelavo.
Če dovoljenje odobri zaposleni, mora biti tudi ne samo „eksplicitno' ampak tudi 'prosto dano", navaja AP. „Izrecno“ je na primer pisno dovoljenje, podpis, pošiljanje e-pošte z dovoljenjem ali dovoljenje z dvostopenjskim preverjanjem. „Prosto dano“ pomeni, da za tem ne sme biti prisile (kot v zadevnem primeru: kadar zavrne skeniranje prstnega odtisa, sledi pogovor z direktorjem / upravnim odborom) ali da je dovoljenje pogoj za nekaj drugačen. Pogoj „prosto dani“ delodajalec v nobenem primeru ne izpolni, kadar so zaposleni dolžni ali, kot v zadevnem primeru, to doživljajo kot obveznost snemanja njihovih prstnih odtisov. Na splošno je AP v skladu s to zahtevo menil, da glede na odvisnost, ki izhaja iz razmerja med delodajalcem in zaposlenim, ni verjetno, da bi delavec lahko prosto dal svoje soglasje. Nasprotno bo moral dokazati delodajalec.
Ali zaposleni zahteva dovoljenje svojih zaposlenih za obdelavo prstnega odtisa? Nato AP v okviru tega primera izve, da to načeloma ni dovoljeno. Navsezadnje so zaposleni odvisni od delodajalca in jih zato pogosto ne morejo zavrniti. To ne pomeni, da se delodajalec nikoli ne more uspešno sklicevati na dovoljenje. Vendar mora delodajalec imeti dovolj dokazov, da lahko pritožba na podlagi privolitve postane uspešna za obdelavo biometričnih podatkov zaposlenih, kot so prstni odtisi. Ali nameravate v svojem podjetju uporabljati biometrične podatke ali vas delodajalec na primer prosi za dovoljenje za uporabo prstnega odtisa? V tem primeru je pomembno, da ne ukrepate takoj in izdate dovoljenja, ampak da je treba najprej biti pravilno obveščen. Law & More Odvetniki so strokovnjaki na področju zasebnosti in vam lahko posredujejo informacije. Imate še kakšna vprašanja o tem blogu? Prosim kontaktirajte Law & More.