Prikupljanje biometrijskih podataka zaposlenika
Kako osigurati pouzdanu evidenciju zaposlenika?
Svi poslodavci imaju gotovo jednak problem, kako pratiti rad zaposlenika i to koristeći sustav koji će biti efikasan te im omogućiti i pružiti ono što oni žele, a nikako ne žele da ih radnici manipuliraju podacima o dolasku i odlasku s posla.
Što prvo naprave - odluče se koristiti sustave koji prikupljaju biometrijske podatke o radnicima.
Koje posljedice to može imati na poslodavca?
Jedan poslodavac kao voditelj obrade kažnjen je od strane nadzornog tijela 725,000 eura iz razloga što je nezakonito prikupljao biometrijske podatke svojih zaposlenika.
Kako izbjeći kažnjavanje?
Kako bi vam bilo jasnije što trebate napraviti da biste izbjegli kaznu sukladno GDPR-u moramo se vratiti na slučaj s početka priče.
U 2018oj godini jedna kompanija je odlučila implementirati sustav evidentiranja zaposlenika prilikom dolaska na posao i to na način da se evidentiraju otiskom prsta. Naravno da je uprava na tu ideju došla radi zlouporabe sustava koji su do sada koristili za evidentiranje i praćenje radnog vremena zaposlenika.
Kompanija je bez obzira na činjenicu uvođenja novog sustava evidentiranja radnika i praćenja njihovog radnog vremena zadržala i stari sustav te je omogućila svakom radniku da izabere na koji način će se evidentirati prilikom dolaska na posao. Jedan od zaposlenika podnio je pritužbu nadzornom tijelu koje je nakon toga pokrenulo postupak sukladno svojoj nadležnosti.
Nadzorno tijelo je utvrdilo:
- Da ne postoji dokaz da su zaposlenici kao ispitanici mogli izričito i slobodno dati privolu kako bi se skenirali njihovi otisci prstiju u svrhu evidentiranja radnog vremena,
- Da poslodavac odnosno kompanija kao voditelj obrade nije pružila informacije zaposlenicima osobito u dijelu kako se koristiti njihovi biometrijski podaci,
- Prekomjernog čuvanja podataka bivših zaposlenika (bili su blokirani u sustavu no njihovi biometrijski podaci nisu bili obrisani).
Dakle, u nedostatku privole koja je trebala biti usklađena sa svim zahtjevima GDPR-a, biometrijski podaci se mogu, iznimno, prikupljati u sigurnosne svrhe što se u ovom slučaju definitivno nije moglo primijeniti. Nadalje, nadzorno tijelo je smatralo kako prikupljanje biometrijskih podataka nije proporcionalno svrsi u koju su se isti prikupljali iz razloga što nije bilo izraženih sigurnosnih rizika u ovom slučaju.
Nadzorno tijelo nije uzelo u obzir argument enkripcije niti je smatralo da je implementacije ISO normi odlučujuća za umanjenje kazne.
Nakon što smo iznijeli okolnosti slučaja moramo reći što da učinite kako biste izbjegli kažnjavanje:
1. Vodite računa kakav sustav i od koga implantirate sustav koji će prikupljati biometrijske podatke (provjerite stupanj implementacije tvrtke za koju ste se odlučili kao i što sve taj sustav može, primjerice kada zaposlenik ode iz firme uništavaju li se trajno biometrijski podaci tog zaposlenika ili ne?)
2. Vodite računa da se vi u tom dijelu morate uskladiti s odredbama GDPR-a. Privola nije samo ˝pristajem na obradu mojih biometrijskih podataka˝. Naime, za prikupljanje biometrijskih podataka o zaposlenicima potrebna je privola i to u skladu s odredbama GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka
3. Provedite prije uvođenja sustava test procjene učinka na zaštitu podataka (DPIA)
4. Sklopite s društvom koje će vam implementirati sustav ugovor o obradi i dijeljenju podataka koji neće imati samo prepisane odredbe GDPR Uredbe
5. Pazite gdje se na koncu pohranjuju biometrijski podaci i u kojem obliku
6. Obratite se svakako i pravnom stručnjaku kako biste eliminirali greške i moguće kazne jer ovo je samo dio popisa vaših obveza. Ostatak ovisi o okolnostima svakog slučaja.
Naravno da je navedeni primjer samo jedan. O svim drugim primjerima iz prakse kao i o tome na koji način koristiti biometrijske podatke, a da ne prekršite propise vezane uz zaštitu podataka prijavite se na edukaciju ˝GDPR u odjelu ljudskih resursa 2020˝.
