GDPR: nu poți amprenta angajații ca să faci condica de prezență
3 minute • Ana-Maria Udriste • 13 mai 2020
Autoritatea olandeză pentru protecția datelor (Autoriteit Persoonsgegevens, „DPA olandez”) a aplicat recent o amendă de 750.000 de euro unei companii pentru prelucrarea ilegală a amprentelor angajaților în vederea înregistrării momentului în care aceștia intrau în companie și a verificării timpului petrecut.
Practic, compania punea angajații să folosească un cititor de amprente pentru a face condica prezenței și a înregistra timpul pe care acești angajați l-au petrecut în companie pe durata zilei de lucru.
Datele biometrice, cum ar fi amprentele, se califică ca date cu caracter personal sensibile în conformitate cu Regulamentul general al UE privind protecția datelor („GDPR”), iar prelucrarea lor este supusă unor cerințe mai stricte.
Și în România amprentarea angajaților a făcut obiectul unei amenzi aplicate de ANSPDCP, despre care poți citi mai jos:
În acest caz, DPA olandez a constatat că compania nu ar fi trebuit să prelucreze amprentele angajaților, întrucât nu avea motive legal valabile pentru a face acest lucru.
În principiu, prelucrarea datelor cu caracter personal sensibile este interzisă, cu excepția cazului în care se aplică una dintre derogările prevăzute la articolul 9 din GDPR sau în legile statului membru care implementează GDPR.
Există două derogări care ar fi fost disponibile pentru a legitima prelucrarea datelor biometrice în acest caz:
(1) consimțământul explicit al persoanei în cauză, potrivit articolului 9 alineatul (2) litera (a) din GDPR și
(2) necesitatea prelucrării în scopuri de autentificare sau de securitate (derogare introdusă de legea olandeză de punere în aplicare a GDPR, Uitvoeringswet Algemene Verordening Gegevensbescherming).
În România, nu avem o derogare în acest sens până în prezent.
Potrivit DPA olandez, compania amendată nu se poate baza pe niciuna din aceste două excepții, deoarece:
- în general, consimțământul angajaților nu este considerat valabil, având în vedere relația de subordonare între angajator și angajat pentru că un asemenea consimțământ nu ar fi dat în mod liber. În urma investigațiilor sale, DPA olandez a constatat că mulți angajați s-au simțit obligați să accepte utilizarea amprentelor lor în scopul indicat de companie, deși nu ar fi dorit neapărat acest lucru; și
- necesitatea prelucrării în scopuri de autentificare sau de securitate poate fi folosită doar atunci când clădirile și sistemele de informații trebuie să fie securizate într-o asemenea manieră încât aceasta să nu poată fi realizată fără utilizarea datelor biometrice. Altfel spus, amprentarea poate fi utilizată numai dacă nu există sunt disponibile măsuri mai puțin invazive. În acest caz, DPA olandez a considerat că, chiar dacă activitățile companiei trebuie să rămână confidențiale, utilizarea amprentării în scopuri de securitate nu a fost justificată, existând metode mult mai puțin invazive pentru a face acest lucru.
În consecință, DPA-ul olandez a concluzionat că prelucrarea amprentelor digitale de către companie este inutilă și disproporționată.
Decizia poate fi citită aici, comunicatul de presă aici și un rezumat găsiți aici. Documentele sunt în olandeză, dar se pot citi cu ajutorul Google Translate.
Conformarea la normele GDPR este un proces continuu, care nu se termină cu o politică de informare pusă pe un site sau un document semnat de colaboratori, de aceea e bine să îl faci alături de specialiști. Scrie-ne și folosește noile reguli în avantajul tău și oferă-ți un avantaj în fața concurenților.
