Biometrické údaje v docházce: Jaká jsou práva zaměstnanců?
K přístupu do chytrých telefonů, počítačů nebo jiné identifikaci uživatele lze využít biometrických údajů – například otisk prstu, rozpoznání obličeje nebo hlasu. Biometrie je tak vlastně způsob zpracování osobních údajů.
Využívání biometrických údajů k identifikaci a autentizaci je zpracováním osobních údajů. Z tohoto důvodu je regulováno především nařízením GDPR a na dodržování pravidel dohlíží Úřad pro ochranu osobních údajů.
„Biometrické údaje řadí GDPR mezi údaje v tzv. zvláštní kategorii osobních údajů (dříve známé jako citlivé osobní údaje). Při nakládání s biometrickými údaji musí společnosti dodržovat poměrně přísná pravidla,“ říká advokát Jiří Hradský z advokátní kanceláře Sedlakova Legal.
Evropský inspektor pro ochranu osobních údajů (EDPS) vydal v roce 2020 dokument s názvem Čtrnáct nedorozumění ohledně biometrické identifikace a autentizace. Evropský inspektor vysvětluje, že na rozdíl od hesla nebo certifikátu biometrické údaje mohou odhalit více informací o subjektech údajů. Například rasu nebo pohlaví, duševní stav, nemoci a další.
Jedním z častých omylů veřejnosti je domněnka, že biometrické údaje nelze obejít. Například kopírování otisku prstů ale ani nevyžaduje rozsáhlé technické znalosti a lze jej provést poměrně snadno.
„V každém z mnoha systémů, v nichž jsou zpracovávány naše biometrické údaje, může dojít k porušení zabezpečení. Neoprávněný systém k biometrickým údajům v systému by umožnil nebo ulehčil (v případě více autentizačních faktorů) přístup k dalším systémům užívajícím tytéž biometrické údaje,“ upozorňuje EDPS.
Dopad je pak stejný jako únik hesla, které uživatele používá ve více odlišných systémech. U biometriky se ale vyskytuje ještě jeden problém – na rozdíl od hesla již nelze jednou kompromitované údaje změnit nebo zrušit.
„Pravidla nastavená v GDPR platí i pro technologické giganty jako je například Apple. Musí zajistit, že zpracování biometrických údajů je prováděno v souladu s GDPR,“ doplňuje Jiří Hradský. Při úniku dat je stanoveno, jak má správce osobních údajů postupovat.
„Pokud pravidla poruší, dozorové orgány mohou zahájit řízení a udělit sankci,“ dodává advokát. Právě na nadnárodní společnosti provádějící rozsáhlé zpracování osobních údajů uživatelů jsou namířeny vysoké pokuty v nařízení zakotvené.
Docházkové systémy založené na biometrii
Zavedení biometrie do docházkových systémů umožňuje zaměstnavateli jednoznačnou identifikaci zaměstnanců. Advokát Jiří Hradský ale zavedení docházkového systému založeného na biometrii příliš nedoporučuje.
„Jelikož zpracování biometrických údajů představuje zpracování zvláštní kategorie osobních údajů, je takové zpracování svázáno velmi přísnými pravidly. Konkrétně pro takové zpracování potřebuje zaměstnavatel nějakou z výjimek stanovených v čl. 9 odst. 2 GDPR,“ uvádí Hradský.
Z výjimek přichází v úvahu pouze souhlas zaměstnance. Jak uvádí Evropský sbor pro ochranu osobních údajů, v pracovněprávních vztazích je souhlas zaměstnance vždy problematický. Podmínkou podle GDPR je totiž, aby byl souhlas vždy svobodný, což u zaměstnance jako slabší smluvní strany bude obtížné prokázat, a také kdykoliv odvolatelný.
„Zároveň, pokud by zaměstnanec tento souhlas neudělil, měl by dostat alternativu a nebýt nucen vyžívat daný docházkový systém,“ uzavírá Hradský.
Případ týkající se biometrického docházkového systému řešil letos v září belgický dozorový úřad. Zaměstnavatel, který zavedl docházkový systém založený na otiscích prstů, dostal pokutu ve výši 45 tisíc eur.
VIDEO: V práci se dokážeme plně soustředit jen čtyři až šest hodin, tvrdí podnikatelka Aneta Martinek v pořadu FLOW
FLOW balance: Zakladatelka Holky z marketingu Aneta Martinek radí, jak si zorganizovat čas • e15