Docházkový systém s použitím biometriky - otisky prstů zaměstnanců. Co na to GDPR?
Autor: Mgr. Ing. Petra Lupieńská, advokátka
Stále častěji zaměstnavatelé přecházejí na elektronickou docházku, která využívá otisky prstů zaměstnanců. Tyto "chytré" produkty pro firmy nabízí spolehlivou kontrolu, kterou není jednoduché obejít. Není divu, že docházkové systému tohoto typu získávají velkou oblibu a zaměstnavatelé je instalují na svá pracoviště. Nejedná se však o příliš velký zásah do "soukromí" zaměstnanců? Co na to GDPR [1]?
Na úvod je vhodné poznamenat, že otisk prstu může být pořízen dvěma způsoby - buď je pořízen kompletní otisk prstu, nebo tzv. šablona otisku prstů. Zjednodušeně se jedná o situaci, kdy čtečka vybere určité množství charakteristických bodů, ze kterých následně vytvoří šablonu. Šablona je poté prostřednictvím matematických operací (např. pomocí tzv. hashování) zpracována do číselného vzorce. Samotný otisk prstu není možné znovu rekonstruovat do původní a úplné podoby.
Jelikož otisk prstu dokáže identifikovat konkrétní fyzickou osobu, jedná se o osobní údaj [2]. Před účinnosti GDPR byl ÚOOÚ [3] názoru, že šablona otisku prstu je běžný osobní údaj, neboť při pořízení šablony z původního otisku prstu zbyde jen číselné vyjádření a zpětná rekonstrukce na biometrický údaj není možná. Po nabytí účinnosti GDPR řadí ÚOOÚ šablony otisku prstů mezi "citlivé" osobní údaje (zvláštní kategorie osobních údajů). Jako důvod ÚOOÚ uvedl následující: "Z pohledu nové právní regulace i rychlého vývoje technologií je totiž nutno systémy s biometrickými údaji považovat za systémy s citlivými údaji, které vyžadují zvláštní, resp. přísnější systém ochrany."[4] Kompletní otisk prstu i šablonu otisku prstu tak ÚOOÚ aktuálně považuje za biometrický údaj[5], přičemž podle čl. 9 odst. 1 GDPR se "zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby".
Identifikace a autentizace
Jak bylo uvedeno výše, GDPR stanovuje zákaz zpracování "biometrických údajů za účelem jedinečné identifikace fyzické osoby". Výkladem je možné dospět k názoru, že nebudou-li biometrické údaje zpracovávány za účelem jedinečné identifikace fyzické osoby, pak se zjevně na ně tento zákaz nevztahuje - např. při autentizaci. "Modelovým případem tedy bude situace, kdy osoba před ověřením její identity otiskem prstu zadá své jméno či jiný jednoznačný identifikátor do systému (tím dojde k identifikaci) a otiskem prstu bude osoba autentizována, aniž by tyto biometrické údaje byly k identifikaci použity." [6]
Jak se k uvedenému "staví" ÚOOÚ?
ÚOOÚ nyní zastává názor, že zpracování biometrických údajů v docházkových systémech lze posuzovat jako nepřiměřené ve vztahu k rozsahu a účelu zpracovávání, a to i v případě existence výslovného souhlasu zaměstnance. Vyžadování souhlasu zaměstnance je nepřijatelné, neboť takovýto souhlas by nebyl svobodný. ÚOOÚ dále doplňuje, že je také problematická možnost odvolatelnosti souhlasu. "(...) Technologie založené na biometrické autentizaci, jejíž nedílnou součástí je identifikace nositele biometrického údaje, jsou zaměstnavateli v České republice hojně používány. Zaměstnavatelé přitom zakládají zpracování některých biometrických údajů zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů na souhlasech zaměstnanců. Takové používání souhlasu ve vztahu zaměstnavatel - zaměstnanec je však nepřijatelné, a to s ohledem na článek 4 bod 11 a článek 7 GDPR, který mj. stanoví jako podmínku sine qua non odvolatelnost souhlasu zaměstnance. (...)" [7]
Souhlas ke zpracování osobních údajů, alternativní možnost
Evropský sbor pro ochranu osobních údajů na svém plenárním zasedání schválil vydání dokumentu "Pokyny 3/2019 o zpracování osobních údajů prostřednictvím videozařízení"[8] Z hlediska problematiky Šablon otisků prstů a souhlasu uvedl následující:
74. Aby bylo zpracování považováno za zpracování zvláštních kategorií osobních údajů (článek 9), je vyžadováno, aby byly biometrické údaje zpracovávány "za účelem jedinečné identifikace fyzické osoby".
75. Lze tedy shrnout, ve světle článku 4 bod 14 a článku 9, že musí být posouzena tři kritéria: Povaha údajů: údaje vztahující se k fyzickým, fyziologickým nebo behaviorálním charakteristikám fyzické osoby, Prostředky a způsob zpracování: údaje, které jsou výsledkem specifického technického zpracování, Účel zpracování: údaje musejí být použity za účelem jedinečné identifikace fyzické osoby.
V příkladu v bodu 77. předmětného pokynu se pak výslovně uvádí: K zajištění zákonnosti zpracování musí správce vždy nabídnout alternativní způsob přístupu do budovy bez biometrického zpracování, jako jsou průkazky nebo klíče.
Alternativní možnost je základní podmínkou skutečně svobodného souhlasu. Otázkou tak je, zda by byl souhlas dle GDPR k uchovávání biometrických údajů platný a akceptovatelný v případě, kdyby zaměstnavatel umožnil zaměstnancům i jiné způsoby evidence docházky, které by nezahrnovaly zpracování zvláštní kategorie osobních údajů - např. pin kód, RFID čip/kartu. V případě, že by zaměstnanec chtěl svůj souhlas odvolat, pak by mohl jednoduše přejít na druhý (méně invazivní) způsob zaznamenávání docházky.
Zaměstnavatelé by neměli zapomenout na plnění dalších povinností, které jim GDPR, jako správcům osobních údajů, stanovuje - plnit vůči zaměstnancům informační povinnost dle čl. 13 GDPR (informace by měly být dostupné jak v sídle společnosti, tak ideálně na webových stránkách), vést záznamy o činnostech zpracování, zajišťovat dostatečnou bezpečnost zpracovávaných osobních údajů (fyzické zabezpečení úložišť, zálohování, logování a přístupová oprávnění atd.) a plnit další povinnosti stanovené GDPR.
Jelikož se jedná o stále diskutované téma, doporučuji sledovat aktuální stanoviska jak ÚOOÚ, tak i příslušných orgánů na úrovni EU. Lze předpokládat, že ÚOOÚ k této problematice vydá další pokyny, ve kterých se vypořádá s aktuálními trendy a připomínkami jak zaměstnavatelů, tak poskytovatelů docházkových systémů.
Tento článek byl publikován dne 16. 3. 2020 na portálu Právní Prostor.cz
Zdroje:
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[2] Podle čl. 4 odst. 1 GDPR se osobními údaji rozumí "veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby".
[3] Úřad pro ochranu osobních údajů
[4] Úřad pro ochranu osobních údajů. Upozornění na změnu v posuzování systémů využívajících biometrické údaje (dříve "Stanovisko č. 1/2017 - Biometrická identifikace nebo autentizace zaměstnanců"). Dostupné zde: https://www.uoou.cz/upozorneni-na-zmenu-v-nbsp-posuzovani-systemu-vyuzivajicich-biometricke-udaje-drive-quot-stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizace-zamestnancu-quot/d-29048
[5] Podle čl. 4 odst. 14 GDPR se biometrickými údaji rozumí "osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje".
[6] Smejkal V. Je používání dynamického biometrického podpisu v rozporu s GDPR? - část II. Právní prostor. Dostupné zde: https://www.pravniprostor.cz/clanky/pravo-it/je-pouzivani-dynamickeho-biometrickeho-podpisu-v-rozporu-s-gdpr-cast-ii
[7] Úřad pro ochranu osobních údajů. PŘIPOMÍNKA k návrhu zákona, kterým se mění zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, a zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů. Dostupné zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=35418
[8] Evropský sbor pro ochranu osobních údajů. Guidelines 3/2019 on processing of personal data through video devices. Dostupné zde: https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_cs