Je li GDPR "ubio" biometriju?
Gledajući danas, dvije godine od početka primjene GDPR-a (General Data Protection Regulation), može se reći da jednostavno ne postoji djelatnost, odnosno dio poslovanja na koji GDPR nije imao ili nema utjecaj. Iznimka nisu ni radni odnosi kao niti sustavi tehničke zaštite. Razvojem tehnologije, mnoge su tvrtke počele uvoditi biometriju u svoje poslovanje kako bi zaštitile radne prostorije i/ili kako bi uvele pravednije praćenje radnog vremena. Najpoznatije metode koje se oslanjaju na sustav biometrije su otisak prsta, sken rožnice i sken lica. U ovom tekstu bavimo se biometrijskim sustavom koji za prepoznavanje koristi otisak prsta. Na koji način funkcionira sustav za evidenciju radnog vremena temeljen na otisku prsta? Sustav ne skenira, odnosno ne uzima cijeli otisak prsta kao takav (papilarne linije) već snima i pohranjuje u sustavu pojedine točke prsta. Na temelju toga, sustav prepoznaje o kojem je djelatniku ili ovlaštenoj osobi riječ i tada se evidentira radno vrijeme ili se dozvoljava ulazak u pojedine zaštićene objekte ili sobe. Na taj način postiže se visoka razina sigurnosti i mogućnost zloupotrebe, kako evidencije radnog vremena tako i kontrole pristupa, smanjuje se na minimum. Ipak, nužno je u tom slučaju poštivati sve zakonske propise, a kada govorimo o biometriji (posebno u segmentu evidencije radnog vremena), najvažniji je GDPR, ali i Zakon o provedbi Opće uredbe o zaštiti podataka.
Utjecaj GDPR-a na biometrijsku obradu podataka
25.05.2018. počela je s promjenom Uredba o zaštiti osobnih podataka (GDPR) koja se primjenjuje u svim državama članicama Europske unije. GDPR je uveo promjene u način zaštite osobnih podataka, a jedan od ciljeva je bio ujednačiti praksu vezano za zaštitu osobnih podataka na razini Europske unije - za početak, donošenjem Uredbe koja je obvezujući zakonodavni akt koji se mora u cijelosti primjenjivati u Europskoj uniji, za razliku od Direktive koja je zakonodavni akt kojom se utvrđuje cilj koji sve države članice EU moraju ostvariti pri čemu države članice samostalno odlučuju o načinu na koji će taj cilj ostvariti. Ranije je zaštita osobnih podataka bila regulirana Direktivom 95/46/EZ koja je svakako doprinijela zaštiti osobnih podataka, ali i dalje je ostao problem fragmentirane (neujednačene) pravne prakse i primjene na razini Europske unije. GDPR ima za cilj to promijeniti. Osim toga, ostavljena je mogućnost državama članicama da, na neki način, dopune GDPR tako da donesu zakone koji će jasnije definirati pojedine odredbe GDPR-a. Republika Hrvatska iskoristila je tu mogućnost i donijela Zakon o provedbi Opće uredbe o zaštiti podataka u kojem je definirala niz pojedinosti koji se odnose na primjenu samog GDPR-a, posebno u kontekstu biometrije i videonadzora na radnom mjestu. GDPR biometrijske podatke definira kao posebne kategorije osobnih podataka. Posebne kategorije osobnih podataka traže veći oprez prilikom obrade i potrebno je upotrijebiti značajnije tehničke i organizacijske mjere zaštite kako bi se obrada takvih vrsta podataka učinila sigurnijom i mogućnost povrede osobnih podataka svela na minimum. Što to konkretno Zakon o provedbi Opće uredbe o zaštiti podataka govori o korištenju biometrije. Naime, omogućeno je korištenje biometrije u svrhu evidencije radnog vremena, ali samo uz postojanje privole zaposlenika. Pritom se mora voditi računa o tome da ta privola mora biti dobrovoljni, posebni, informirani i nedvosmisleni pristanak pojedinog zaposlenika da se koristi biometrija u svrhe evidencije radnog vremena. Dakle, biometrija nije zabranjena, ali je potrebno voditi računa da se osigura pravno utemeljena privola zaposlenika te da se zaposlenicima objasni u koje će se svrhe takav osobni podatak koristiti, koja su prava zaposlenika koja po GDPR-u imaju kada daju privolu te ih se nikako ne smije prisiljavati na davanje privole (potrebno je osigurati i navesti da zaposlenik može koristiti i drugi način evidencije radnog vremena umjesto biometrije, primjerice, registraciju radnog vremena putem kartice). Na taj način se postiže zakonska usklađenost i osigurava pravni okvir za primjenu biometrije. Zato je pravo pitanje je li GDPR "ubio" biometriju, koje će to posljedice izazvati i hoće li se poduzeća okretati drugim metodama evidencije radnog vremena i na taj način odustajati od biometrije kao jednog od načina za registraciju radnog vremena.
Zaključno, možemo reći da su GDPR i vezani zakoni u svakom slučaju stavili još veći naglasak na poštivanje prava na zaštitu osobnih podataka i osigurali kvalitetnije provođenje takvih pravila. Na nama svima je da naučimo biti oprezni s obradom osobnih podataka, da se odnosimo olako prema tuđim osobnim podacima i da uskladimo naše poslovanje kako bismo, prije svega, osigurali zaštitu pojedinaca, a onda i sami osigurali zakonsku usklađenost što je danas iznimno važno za ugled bilo koje organizacije. Na kraju, to će znati prepoznati i cijeniti i naši klijenti, odnosno kupci i korisnici naših usluga, od kojih na kraju i - živimo.
Zanima Vas više ova tema? Želite li saznati detaljnije na koji način bi se trebala provoditi zaštita osobnih podataka kada je riječ o biometriji općenito? Pozivamo Vas da nam se pridružite na edukaciji koju organiziramo zajedno s tvrtkom Presido d.o.o. koja ima za cilj detaljno Vas upoznati s različitim aspektima GDPR-a u području ljudskih potencijala. Prijaviti se možete ovdje.
