Všechny tři kontroly se týkaly zpracování zvláštní kategorie osobních údajů (dříve citlivých) – v prvním případě technologie face recognition, ve druhém případě voice recognition a ve třetím zpracování genetických údajů.
Protokoly ukazují postup kontrolní skupiny a dokazují, že kdo je připraven, není překvapen - všechny tři případy byly uzavřeny bez shledání porušení GDPR.
Na co se Úřad soustředil?
Úřad v rámci vyžadované dokumentace vždy kladl důraz:
Ze zmíněných protokolů nás nejvíc zaujala právě technologie rozpoznání obličeje, protože nabízí velmi široké možnosti využití a obecně zpracování biometrických údajů je u nás po GDPR horké téma.
Může zaměstnavatel kontrolovat docházku pomocí technologie rozpoznání obličeje?
V daném případě stavební společnost využívá na svých stanovištích technologii, která umí identifikovat jednotlivé pracovníky zařazené v databázi, a to na základě biometriky obličeje, včetně vytvoření záznamů o jejich docházce. Úřad úvodem potvrdil, že i technologie využívající jen tzv. biometrické šablony (hash) podléhají GDPR plně v režimu zvláštní kategorie osobních údajů a že i přes to, že tato technologie je jako komplexní služba zajišťována externím dodavatelem, je zaměstnavatel správcem údajů odpovědným za soulad zpracování.
Nejdůležitější ovšem bylo posouzení, pod jaký právní titul takové zpracování je možné zařadit a zda splňuje základní zásady vyžadované GDPR.
V daném případě Úřad technologii posvětil jako dovolenou s odkazem na to, že správce ji potřebuje pro plnění svých právních povinností v oblasti pracovního práva. To na první pohled zní velmi přívětivě pro všechny zaměstnavatele – mohli by tedy kontrolovat vstupy a docházku svých zaměstnanců bez možnosti kolegiálních výměn přístupových karet mezi zaměstnanci?
Pozor, ne vždycky to jde!
Naděje hned trochu zmrazíme – musíme upozornit, že v tomto případě byly rozhodující okolnosti týkající se právě stavebního prostředí.
Předpisy týkající se BOZP ve stavebnictví přísně vyžadují zajištění vstupu na staveniště jen oprávněných osob, včetně jejich evidence. Úřad tak v tomto případě uznal, že daná technologie tento účel naplňuje. Jedním dechem však dodal, že biometrické zpracování údajů zaměstnanců v rámci docházkových systémů by mělo být opravdu jen výjimečné a v případech, kdy to jiným způsobem není možné.
Nevíte, jak posoudit, jestli taková situace ve vaší firmě nastala? Ozvěte se nám a připravíme vám posouzení včetně argumentace pro případnou kontrolu.