Нещодавно Голландська влада захисту даних (AP) наклала великий штраф, а саме 725,000 9 євро, на компанію, яка сканувала відбитки пальців співробітників на відвідування та реєстрацію часу. Біометричні дані, такі як відбиток пальців, - це спеціальні персональні дані у значенні статті 9 GDPR. Це унікальні характеристики, які можна простежити в одній конкретній людині. Однак ці дані часто містять більше інформації, ніж потрібно для, наприклад, ідентифікації. Тому їх обробка становить великі ризики у сфері основних прав і свобод людей. Якщо ці дані потраплять в чужі руки, це може призвести до непоправної шкоди. Тому біометричні дані є добре захищеними, і їх обробка забороняється згідно зі статтею XNUMX GDPR, за винятком випадків, коли для цього є юридичний виняток. У цьому випадку AP прийшов до висновку, що компанія, про яку йдеться, не має права на виняток для обробки спеціальних персональних даних.
відбиток пальця
Про відбиток пальців у контексті GDPR та один із винятків, а саме необхідності, ми раніше писали в одному з наших блогів: "Відбитки пальців порушують GDPR". Цей блог зосереджений на іншій альтернативній підставі для виключення: дозвіл. Коли роботодавець використовує біометричні дані, такі як відбитки пальців у своїй компанії, чи може він, щодо конфіденційності, вистачити дозволу свого працівника?
Під дозволом мається на увазі конкретні, поінформовані та однозначні волевиявлення з якою хтось приймає обробку його персональних даних із заявою або однозначною активною дією, відповідно до статті 4 розділу 11 GDPR. У контексті цього винятку роботодавець повинен не лише продемонструвати, що його працівники дали дозвіл, але і що це було однозначно, конкретно та поінформовано. Підписання трудового договору або отримання посібника з персоналу, в якому роботодавець лише зафіксував намір повністю відбитися відбитків пальців, в цьому контексті недостатньо, підсумовує АП. В якості доказів роботодавець повинен, наприклад, подати політику, процедури чи іншу документацію, яка свідчить про те, що його працівники достатньо поінформовані про обробку біометричних даних і що вони також дали (явний) дозвіл на їх обробку.
Якщо дозвіл надається працівником, він також повинен бути "явний' але також 'вільно дається', повідомляє AP. "Явний" - це, наприклад, письмовий дозвіл, підпис, надсилання електронного листа для надання дозволу або дозвіл із двохетапною перевіркою. "Безкоштовно передано" означає, що за цим не повинно бути примусу (як це було у випадку, про який йде мова: при відмові сканувати відбиток пальця, подальша розмова з директором / правлінням) або що дозвіл може бути умовою чогось інший. Умова „вільно дане” в будь-якому випадку не виконується роботодавцем, коли працівники зобов’язані або, як у розглянутому випадку, сприймають це як обов’язок реєструвати відбитки своїх пальців. Як правило, згідно з цією вимогою, АП вважав, що з огляду на залежність, яка виникає в результаті відносин між роботодавцем та працівником, малоймовірно, що працівник може вільно надати свою згоду. Роботодавцю доведеться довести протилежне.
Чи вимагає працівник дозвіл у своїх працівників на обробку їх відбитків пальців? Тоді AP в контексті цієї справи дізнається, що в принципі це заборонено. Зрештою, працівники залежать від свого роботодавця і тому часто не в змозі відмовити. Це не означає, що роботодавець ніколи не може успішно покладатися на підставу дозволу. Однак роботодавець повинен мати достатні докази, щоб зробити його апеляцію на основі згоди успішною, щоб обробляти біометричні дані своїх працівників, такі як відбитки пальців. Чи маєте ви намір використовувати біометричні дані у вашій компанії, чи роботодавець просить у вас дозволу на використання відбитків пальців, наприклад? У такому випадку важливо не діяти негайно і надати дозвіл, а спочатку бути належним чином проінформованим. Law & More Адвокати є експертами в галузі приватного життя і можуть надати вам інформацію. Чи є у вас інші запитання щодо цього блогу? Будь ласка зв'яжіться Law & More.