procesarea amprentelor

Ce facem cu procesarea datelor biometrice ale angajaților (amprentelor) în contextul GDPR

10 minute • Miruna Bercariu • 23 septembrie 2020


Autoritatea pentru protecția datelor din Olanda (DDPA) a amendat o companie cu €750.000 pentru procesarea necorespunzătoare a datelor biometrice ale angajaților, una dintre cele mai mari amenzi pentru GDPR din Olanda. Compania în cauză folosea amprenta angajaților ca modalitate de accesa și de a părăsi sediul. Conform firmei, scopul introducerii acestei măsuri era înlesnirea modalității de a urmări precis timpul petrecut la muncă de fiecare angajat. DDPA-ul olandez a decis, însă, că folosirea datelor biometrice nu era necesară pentru autentificare sau securitate și, având în vedere lipsa acordului angajaților, procesarea amprentelor a fost ilegală.

Datele biometrice, amprentele și GDPR

În cadrul Regulamentului General privind Protecția Datelor (GDPR), datele biometrice fac parte dintr-o categorie specială de date personale definite în Art. 4(14) drept “date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice”.

Datele biometrice sunt unice pentru fiecare persoană. Cele mai frecvente sunt amprentele, scanarea irisului sau a retinei, recunoașterea vocală și facială. Spre deosebire de o parolă, datele biometrice nu pot fi schimbate. De aceea este important ca aceste date să beneficieze de o protecție sporită.

Astfel, utilizarea datelor biometrice este prima facie interzisă (Art.9(1) GDPR). Art.9(2) menționează o listă de situații excepționale în care datele biometrice pot fi folosite, spre exemplu atunci când există acordul persoanei vizate, când procesarea este necesară din motive de interes public major sau din motive de interes public în domeniul sănătății publice. Este, totuși, posibil ca acordul angajaților pentru prelucrarea datelor biometrice să nu constituie o bază legală validă în contextul relației inegale dintre angajator și angajat.

I. Aplicații în cazul olandez

Faptele: o companie procesa amprentele angajaților

Amprentele angajaților companiei anonime au fost scanate din 2017 până în 2019, pentru a înregistra prezența la locul de muncă. Deși standardul pentru un acord valid al angajatului în contextul relației de muncă este, într-adevăr, greu de atins, acest lucru nu este imposibil. DDPA-ul olandez a analizat, astfel, sub ce măsură acordul angajaților în prezentul context a satisfăcut această cerință. De asemenea, autoritatea pentru protecția datelor a evaluat contextul, pentru a determina dacă utilizarea datelor biometrice a fost, cu adevărat, necesară sau proporțională pentru motive de autentificare sau securitate, conform criteriilor GDPR.

Acordul angajaților pentru procesarea amprentelor

DDPA-ul olandez a considerat foarte important faptul că nu exista nicio referire la folosirea amprentelor în contractul de angajare. Înregistrarea amprentelor a fost o surpriză pentru angajați, a fost neanunțată și compania nu deținea niciun fel de documentație capabilă să demonstreze acordul angajaților. Un acord explicit și valid ar fi trebuit, conform DDPA-ului, să includă semnătura persoanelor afectate sau să reprezinte un email de confirmare a acordului, trimis de către angajat. Compania în cauză nu a reușit să demonstreze niciun fel de acord din partea clienților.

Mai mult, acordul nu ar fi putut fi liber și voluntar. Conform companiei, angajații aveau posibilitatea de a refuza să își înregistreze amprentele, dar trebuiau să vorbească personal cu directorul companiei. În puținele cazuri în care angajații au refuzat, inițial, să își dea acordul pentru utilizarea amprentelor, aceștia au acceptat să li se prelucreze datele biometrice după întâlnirea cu directorul. Astfel, este foarte probabil ca acordul angajaților să nu fi fost dat în mod liber și voluntar, întrucât ei nu par să fi avut, cu adevărat, o opțiune.

Necesar pentru motive de autentificare sau securitate

Conform Art.29 din Legea olandeză pentru GDPR, procesarea datelor biometrice este permisă atunci când este necesară pentru autentificare sau securitate. Angajatorul este nevoit să determine dacă utilizarea datelor biometrice este necesară pentru a securiza clădirea și sistemele de informații. În plus, procesarea datelor biometrice trebuie să fie și proporțională cu scopul procesării. Astfel, folosirea amprentelor pentru a accesa o bază de date ce conține o cantitate mare de date personale importante poate fi legală, dar necesitatea înregistrării amprentelor pentru a avea acces la un garaj va fi, cel mai probabil, ilegală.

Conform DDPA-ului olandez, compania în cauză nu a luat acest aspect în considerare atunci când a implementat procedura de acces pe bază de amprentă. Activitățile companiei, analizate de către DDPA, nu au dovedit necesitatea procesării datelor biometrice. Procesarea a fost implementată pentru a evita fraudarea evidenței timpului petrecut la muncă de către angajați, nu pentru motive de autentificare sau securitate. Compania ar fi putut folosi alte metode mai puțin invazive pentru a ajunge la același rezultat. Firma a recunoscut posibilitatea folosirii accesului pe bază de cheie drept o alternativă viabilă.

Descoperă pachetul de documente avocatoo.ro în domeniul HR, ca să scapi de probleme și să-ți protejezi afacerea.

II. Aplicații în România – Poveste despre două cazuri de la Curtea de Apel București

Fapte

În 2019, au ajuns pe ordinea de zi a Curții de Apel București două cazuri aproape identice (H. nr. 11/2019 din 21.06.2019 și H. nr. 21/2019 din 24.10.2019), reprezentând apeluri formulate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), împotriva sentințelor pronunțate de Tribunalul București. Instanța inferioară a decis, în ambele cazuri, anularea procesului verbal de contravenție întocmit de ANSPDCP împotriva unor companii ce colectaseră și procesaseră datele personale biometrice – amprentele –  angajaților. Curtea de Apel, însă, a dispus respingerea apelului în primul caz și admiterea sa în cel de-al doilea.

Reiese, astfel, întrebarea: cum a procedat prima companie în colectarea și procesarea amprentelor și, mai ales, ce a luat Curtea în considerare, atunci când a admis drept validă procesarea datelor în primul caz, dar nu și în al doilea?

Acordul angajaților pentru procesarea amprentelor

Din punctul de vedere al acordului angajaților pentru colectarea și procesarea datelor biometrice, prima companie a informat toți salariații despre prelucrarea și stocarea acestor tipuri de date, în temeiul Art.12 din Legea nr.677/2001. Compania s-a preocupat astfel să existe suficiente proceduri și clauze scrise care să demonstreze informarea și acordul angajaților cu privire la procesarea datelor biometrice. Instanța a apreciat că acordul angajaților a fost suficient, alături de scopul prelucrării datelor, pentru a justifica folosirea datelor biometrice.

În cel de-al doilea caz, însă, deși angajații societății își dăduseră acordul expres și neechivoc prin semnarea declarației de consimțământ, acest lucru nu a fost suficient, în opinia Curții, pentru a justifica folosirea amprentelor, întrucât măsura implementată era intruzivă și nu respecta principiul proporționalității (vezi mai jos), nefiind strict necesară pentru scopul declarat.

Procesarea amprentelor trebuie să fie necesară pentru motive de autentificare sau securitate

Procesarea datelor cu caracter personal trebuie să respecte principiul proporționalității, potrivit prevederilor art.4 alin.(1) lit.c) din Legea nr.677/2001. Conform acestui principiu, datele cu caracter personal colectate și destinate pentru procesare trebuie să fie adecvate, pertinente și neexcesive.

Prelucrarea datelor biometrice a fost considerată proporțională în primul caz, dar nu și în cel de-al doilea, analiza concentrându-se asupra celor trei criterii:

  1. Datele trebuie să fie adecvate,

Cazul 1: Compania în cazul respectiv a colectat doar un număr de 16 caracteristici specifice fiecăruia dintre angajați pe baza amprentei digitale a acestora, cele 16 caracteristici fiind apoi utilizate pentru crearea unei chei biometrice (nu s-a dovedit faptul că ar fi putut fi creată o cheie biometrică folosind un număr mai mic de caracteristici). Prin această tehnologie, doar cheia biometrică respectivă era folosită pentru autentificare, nu întreaga amprentă. Mai mult, s-a demonstrat că amprenta angajatului nu putea fi refăcută pe baza celor 16 caracteristici înregistrate în cheia biometrică. Astfel, datele colectate erau adecvate, în contextul tehnologiei folosite.

Cazul 2: În cazul al doilea, sistemul implementat funcționa astfel – la înrolare, se preia o amprentă de la un deget (la alegerea angajatului) care este transformată apoi într-un șablon (cod) stocat pe cardul înmânat angajatului. Folosind acest sistem, experții au demonstrat că nu se poate verifica exact timpul de lucru prestat efectiv de un angajat, dacă acesta s-a aflat în sediul companiei în intervalul de timp dintre cele două pontări biometrice. Mai mult, s-a arătat că farmacistul diriginte are posibilitatea modificării pontajului biometric din aplicație, pe baza unei parole.

  1. Datele trebuie să fie pertinente,

Cazul 1: Scopul pentru care a fost folosit un sistem de amprente în primul caz era asigurarea securității digitale a unor terțe persoane. În acest context, Curtea a decis că prelucrarea datelor biometrice este relevantă.

Cazul 2: Curtea a decis că respectiva colectare și procesare a datelor biometrice nu este suficient relevantă pentru scopurile vizate: resurse umane și realizare sistem pontaj, evidențiere a timpului de lucru

  1. Datele trebuie să fie neexcesive.

Cazul 1: Deși recunoaște existența unor măsuri mai puțin intruzive în viața personală, spre exemplu, utilizarea de carduri de acces, Curtea constată că atât protecția vieții private a angajaților, cât și protejarea informațiilor cu caracter comercial au o importanță deosebită la nivel social: “[În acest context], crearea unui sistem de amprentare digitală, în condițiile în care amprenta digitală a angajatului nu poate fi refăcută pe baza acestora, reprezintă un mijloc adecvat de protecție a unei valori la fel de importante cum este cea de securitate a datelor confidențiale”.

Cazul 2: Curtea a hotărât că prelucrarea datelor biometrice în cauză, ce conduce la identificarea exactă și unică a persoanelor vizate, este excesivă și nu este strict necesară pentru îndeplinirea oricăruia dintre scopurile vizate: resurse umane și realizare sistem pontaj, evidențiere a timpului de lucru. S-a demonstrat că prelucrarea amprentelor încalcă drepturile și libertățile angajaților și nu poate fi astfel justificată de interesul pur comercial al angajatorului de a ține o evidență strictă a accesărilor stocate în PC în vederea minimizării costurilor. Mai mult decât atât, la nivelul companiei funcționa, în paralel, un mijloc de autentificare pe bază de cod PIN asociat cardului angajaților, astfel că puteau fi ușor folosite mijloace mai puțin intruzive.

Lecții despre procesarea amprentelor datelor biometrice ale angajaților

  • În general, procesarea datelor biometrice este ilegală (Art.9(1) GDPR).
  • Trebuie efectuată o evaluare a impactului prelucrării datelor personale (DPIA).
  • Este foarte probabil ca baza legală a acordului angajaților să fie insuficientă în cazul datelor biometrice. Dacă acordul angajaților în cauză pentru procesarea amprentelor este folosit, procesul de obținere a consimțământului și expresia efectivă a acordului trebuie documentate corespunzător.
  • Odată cu acordul expres al angajaților, compania trebuie să se asigure că procesarea datelor biometrice este proporțională – adecvată, pertinentă și neexcesivă – față de scopul vizat.
  • Compania trebuie să analizeze dacă există modalități mai puțin invazive de a atinge același scop și să utilizeze datele biometrice doar dacă poate dovedi că este strict necesar pentru atingerea acelui scop (lucru dificil de îndeplinit, în special atunci când este vorba de motive de autentificare, pontaj sau securitate).
  • Companiile trebuie să ia măsuri corespunzătoare de securitate pentru a stoca datele biometrice și trebuie să se asigure că aceste date sunt șterse imediat cum încetează contractul de angajare.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *