Přemýšlíte jako zaměstnavatelé nad instalací docházkového systému, který využívá otisky prstů zaměstnanců? Oproti čipovým kartám, číselným kódům nebo jiným konzervativnějším systémům jsou biometrické docházkové systémy spolehlivé, na obsluhu jednoduché, a také je lze jen obtížně obejít.
Jak zajistit, aby to bylo v souladu s GDPR?
Není biometrika jako biometrika
Existuje několik typů biometrických docházkových systémů.
Jsou systémy využívající kompletní otisk prstu, a jsou systémy, které vytvoří z otisku prstu pouze šablonu, tedy vyberou se jen některé základní charakteristické body, které jsou zpravidla přetvořeny do následného číselného kódu, tj. hashe. Z hashe zpravidla již nelze zpětně rekonstruovat původní osobní údaj, tedy samotný otisk prstu. Může se tedy jevit, že využití hashovacího systému je více v souladu s GDPR.
V zásadě je ale jedno, jaký systém jste vybrali. Hashovací systémy sice zpracují biometrický otisk prstu jen jednou, ale četnost zpracování nehraje zásadní roli.
V obou případech dochází ke zpracování osobních a citlivých údajů, které musí být v souladu se všemi požadavky GDPR.
Zpracování biometriky představuje vysoké riziko
Otisk prstu je zvláštní kategorií osobního údaje ve smyslu GDPR. Podle otisku prstu nebo třeba sítnice jsme schopni identifikovat konkrétní fyzickou osobu. Biometrické údaje si také jen málokdo z nás dokáže změnit. Zneužití biometriky, nebo třeba neoprávněné zpřístupnění či zveřejnění této skupiny údajů, tak představuje velké riziko pro ochranu práv dotčených lidí.
Pro zpracování těchto „citlivých“ osobních údajů proto GDPR stanovuje přísnější pravidla, než pro „běžné“ osobní údaje. Obecně je totiž zpracování citlivých osobních údajů zakázáno, pokud nelze uplatnit některou z výjimek dle čl. 9 GDPR.
Z možných výjimek lze na docházkové a obdobné systémy aplikovat pouze výslovný souhlas zaměstnance. Oprávněný zájem, tak oblíbený titul pro zpracování osobních údajů týkající se evidence docházky a vstupů do budovy či ochrany majetku, se v případě zpracování citlivých osobních údajů použít nedá. Proč? Jednoduše proto, že oprávněný zájem není podle GDPR titulem pro zpracování zvláštní kategorie osobních údajů, tedy ani biometriky.
Pokud zaměstnavatel zamýšlí provést instalaci biometrické evidence docházky, bez výslovného souhlasu zaměstnanců se, až na výjimky upravené zvláštními právními předpisy, prostě neobejde.
Jak má vypadat souhlas s využitím biometrických údajů?
Souhlas je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají. Souhlas nelze vynutit, například podmínit jím vznik pracovního vztahu, ale ani schovat do pracovní smlouvy či interní směrnice.
Souhlas je možné kdykoliv odvolat.
Zaměstnavatel by v našem případě měl myslet na to, co bude dělat, když někteří zaměstnanci souhlas s využitím svých biometrických údajů neudělí. Nebo jej odvolají Umožňuje zvolený systém náhradní identifikaci? A je náhradní identifikace či autentifikace dostačující, stejně průkazná, nediskriminační?
Ve zvažování alternativního řešení je totiž skryt dost důležitý háček. Pokud identifikace zaměstnanců, například pomocí čipové karty nebo zadáním číselného kódu, vede k naplnění potřeb zaměstnavatele stejně dobře, jako sejmutí otisku prstu, je na pováženou, zda je využití biometriky opravdu nutné a vhodné. Stejného účelu (tedy provedení evidence docházky konkrétního zaměstnance) lze zjevně dosáhnout způsobem, který podstatně méně narušuje soukromí jednotlivce. GDPR totiž pracuje s pojmem minimalizace. Tím se rozumí zpracovávání osobních údajů v co nejmenším rozsahu a intenzitě, aby zároveň bylo dosaženo účelu zpracování (citlivých) osobních údajů.
Vede k naplnění účelu zpracování a potřeb zaměstnavatele i identifikace či autentizace pomocí čipových karet a zadáním číselného kódu? Pokud lze provozovat docházkový systém způsobem, který nezpracovává zvláštní kategorii osobních údajů, a přitom jsou dostatečně naplněny legitimní potřeby zaměstnavatele a alternativní způsob nepředstavuje významně vyšší náklady či nároky, tak zřejmě nebude nutné biometrický docházkový systém implementovat.
Další GDPR povinnosti při využití biometriky
Pokud se i tak rozhodnete pro instalaci biometrického docházkového systému, tak nezapomeňte na splnění infomačních povinností vůči zaměstnancům.
Informační povinnost vůči zákazníků a klientům plní už skoro všichni, ale víte také, že o zpracování osobních údajů musíte informovat i své zaměstnance? To neplatí jen pro implementaci biometrického docházkového systému, ale obecně také pro zpracovávané osobní údaje v obecné zaměstnanecké agendy. Využijte možností intranetu a nebojte se ani nástěnek, kde informace o zpracování osobních údajů mohou být trvale zveřejněny. K seznámení s politikou ochrany osobních údajů můžete využít i pravidelné školicí dny věnované BOZP. Vaši zaměstnanci jsou již naladěni na to, že mají den věnovaný školení, tak lze tento den využít i pro opakování v oblasti ochrany osobních údajů.
Jak se k biometrické identifikaci zaměstnance pro evidenci docházky staví Úřad pro ochranu osobních údajů?
Skepticky.
ÚOOÚ si je totiž dobře vědom, že účelu evidence docházky a identifikace konkrétního zaměstnance lze často dosáhnout i méně invazivními způsoby, než je identifikace či autentizace zaměstnance přes biometrické údaje. Již před několika lety se ÚOOÚ pokusil prosadit novelizaci zákoníku práce tak, aby biometrika pro tyto případy údajů byla zakázána, avšak (dosud) bez úspěchu. Pokud se rozhodnete i tak biometrický docházkový systém implementovat, tak buďte připraveni dokumentovat, zdůvodnit a obhájit své rozhodnutí.
Přemýšlíte nad tím, že byste celou otázku zpracování osobních údajů při implementaci biometrického docházkového systému přenesli na externího dodavatele, a tak se vyhnuli všem problémům, které jsme výše popsali? Prakticky si nepomůžete, protože takovýto dodavatel bude v postavení zpracovatele osobních údajů.
Zpracovatel provádí zpracování jménem správce, podle jeho pokynů a jím stanovenými prostředky. Odpovědnost za splnění podmínek dle GDPR, zákoníku práce a dalších právních předpisů zůstává i nadále primárně na správci, v našem případě na zaměstnavateli. Navíc vám přibude agenda spojená s řádným zasmluvněním a kontrolou zvoleného dodavatele. Otázkou také je, zda chcete předávat citlivé osobní údaje zaměstnanců třetí straně, a to tím spíše za situace, kdyby skoro jistě stačilo evidenci docházky autentizovat jiným, méně invazivním způsobem.
Biometrika: Od docházkových systémů k zajištění informační bezpečnosti
Biometrika navíc není jen problémem docházkových systémů. Zaměstnavatelé mohou uvažovat nad implementací biometrických systémů například i pro moderaci přístupů do informačních systémů pomocí monitoringu biometriky úderů na klávesnici. O tom ale zase někdy příště.
