Využíváte pro evidenci docházky zaměstnanců moderní systémy, které zpracovávají biometrické údaje? Pak zpozorněte! Italský dozorový úřad za tuto praxi udělil pokutu ve výši 120 tisíc eur. Přísný postoj zastává i ÚOOÚ.
V jednom z předchozích dílů zpravodaje jsme rozebírali analytickou činnost ÚOOÚ, ve které se věnoval mimo jiné používání biometrických údajů v rámci HR agendy. Výsledek této činnost byl pro leckteré osoby šokující, jelikož ÚOOÚ téměř zásadně vyloučil možnost využívání biometrických údajů v rámci docházkových systémů především s poukazem na to, že souhlas s takovým zpracováním osobních údajů nemusí být svobodný. Ve skutečnosti se však jedná o poměrně zaběhlý právní názor již z dob WP29.
Pro potvrzení tohoto názoru se můžeme (alespoň na stránkách tohoto zpravodaje) přesunout do prosluněné Itálie – tamní úřad pro ochranu osobních údajů se touto otázkou totiž nedávno zabýval.
Stížnost italského zaměstnance
Italský dozorový orgán (úřad pro ochranu osobních údajů) vydal dne 6. 6. 2024 rozhodnutí, ve kterém uložil nemalou pokutu za pochybení při zpracování osobních údajů v pracovněprávní oblasti.
Předmětný případ byl zahájen v říjnu roku 2021 stížností, která směřovala proti společnosti Cappello Giovanni & Figli SRL a jejímž odesílatelem byl právní zástupce zaměstnance této společnosti. Společnost se zabývá obchodem s automobily, přičemž ke své činnosti využívá kolem 40 zaměstnanců, mezi něž spadal i stěžovatel.
Stížnost se týkala možného nezákonného zpracování osobních údajů, a to prostřednictvím softwaru Infinity DMS a hardwaru X-Face 380. Pokud toto vybavení využíváte, možná byste měli zbystřit.
Problematické programové vybavení
To, že zaměstnavatel musí evidovat „docházku“, jsme si popisovali již v jednom z minulých článků, kde jsme probírali i fakt, že většina docházkových systémů zpracovává více osobních údajů, než zákon požaduje. Obdobně tomu bylo i v tomto italském případě.
Zaměstnavatel totiž v rámci softwaru Infinity DMS vyžadoval, aby zaměstnanci na začátku pracovního dne zaznamenávali své pracovní výkony a údržbu, tedy časy a způsoby zásahů na přiřazených vozidlech a doby nečinnosti s uvedením konkrétních důvodů (například „přestávka“, „čekání na náhradní díly“, „čekání na práci“ a podobně).
I český ÚOOÚ vylučuje používání biometriky v docházkových systémech
Pokud však takový zaměstnanec přišel do práce, setkal se s X-Face 380, tedy relativně sofistikovaným kamerovým systémem, který řídil přístup na pracoviště pomocí technologie rozpoznávání obličejů. Tento systém měl dále umožňovat využití předmětné technologie v rámci funkcí, jako je seznam přítomných osob, včetně vygenerování záznamů do docházky.
Důvod, proč společnost předmětné technologie využívala, byl v záznamech o činnosti zpracování předmětné společnosti lapidárně shrnut jako „využití pracovních nástrojů za účelem zlepšení kvality a efektivity vykonávané činnosti“.
Zaměstnanci byli o předmětném zpracování sice informováni v rámci dokumentace, nicméně samotné zpracování zahrnovalo souhlas, jenž byl udělen při prvním přístupu v rámci pořízení fotografie.
Co se tedy úřadu nelíbilo
Jak jsme již prozradili v úvodu, úřadu se primárně nelíbil právní základ tohoto zpracování. Jakkoliv se firma zaklínala souhlasem zaměstnanců, úřad konstatoval absenci právního základu pro zpracování biometrických údajů. Důvod? Souhlas udělený zaměstnanci považoval úřad za neplatný. Zdůvodnění úřadu již bylo prozrazeno v úvodu – souhlas udělený zaměstnancem nebyl považován za dostatečně svobodný vzhledem k nerovnému postavení zaměstnance a zaměstnavatele.
Další pochybení úřad spatřoval v nedostatečném plnění zásady zákonnosti, korektnosti a transparentnosti zpracování údajů. Zaměstnanci totiž nebyli dle úřadu dostatečně informováni o tom, jak budou jejich data používána, což je v rozporu s čl. 5 odst. 1 písm. a) nařízení. Kromě toho pak úřad konstatoval i porušení zásady minimalizace, neboť dle jeho názoru nebyl rozsah zpracovávaných osobních údajů adekvátní, relevantní a omezený na nezbytné minimum.
Jako třetí prohřešek úřad konstatoval nedostatečnou implementaci bezpečnostních opatření. I když byly biometrické údaje uchovávány v podobě hashe (tedy prakticky pseudonymizovaně), správce je uchovával po celou dobu pracovního poměru, což úřad vyhodnotil jako extenzivní.
Souhlas zaměstnance se zpracováním OÚ je málokdy svobodný
Následky pro společnost
Společnost v rámci rozhodnutí obdržela pokutu ve výši 120 tisíc eur (přibližně tři miliony korun) a odešla se zákazem využití předmětných technologií, respektive musela přestat využívat systém X-Face 380 a docházkový systém musela upravit jak po obsahové stránce, tak i co se týče archivace – úřad společnosti nakázal provádět pravidelný výmaz po 90 dnech.
Společnost má ještě možnost se vůči předmětnému rozhodnutí odvolat, tudíž je otázkou, jaké argument předloží. V každém případě však platí, že nesmlouvavý přístup k souhlasu v rámci pracovněprávní agendy není vlastní pouze našemu úřadu, ale jedná se o všeobecně zastávaný názor napříč dozorovými orgány členských států EU. Ti, kteří moderní technologie v rámci HR agendy využívají, by měli přece jen trochu přehodnotit vhodnost takových opatření, včetně zvoleného právního základu.
Comments