Biometrické dochádzkové systémy a ich problémy s reguláciou ochrany osobných údajov

Výklad tohto článku je zameraný na právne posúdenie dopadov regulácie ochrany osobných údajov na situácie, keď v právnom režime pracovno-právnych vzťahov dochádza zo strany zamestnávateľa k využívaniu biometrických technológii na účely identifikácie a/alebo autentizácie zamestnancov.

STEINIGER | law firm 31. 10. 2017 7 min.

Biometria v pracovno-právnych vzťahoch

Aktuálne dozorný orgán aj s ohľadom na rigidnú právnu úpravu ešte stále účinného zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len ako „Zákon o ochrane osobných údajov) nie je v praxi naklonený využívaniu biometrických technológii v bežných pracovno-právnych vzťahoch pre potreby zamestnávateľov.

Aktuálne je zlegalizovanie akýchkoľvek technológii postavenej na báze biometrickej identifikácie alebo autentizácie podmienené rozhodnutím Úradu na ochranu osobných údajov SR (ďalej len ako „Úrad“) o osobitnej registrácii informačného systému.

Každý zamestnávateľ, ktorý si chce dať nainštalovať napr. terminál pracovnej dochádzky schopný stotožňovať zamestnanca napr. prostredníctvom odltačku prsta, tak musí najprv prihlásiť takýto informačný systém na osobitnú registráciu, čo je pomerne zdĺhavý a administratívne náročný proces, počas ktorého zamestnávateľ nesmie začať využívať systém umožňujúci biometrickú identifikáciu či autentizáciu dotknutej osoby.

Úrad tiež môže rozhodnúť v prípade rizikového spracúvania, resp. v prípadoch kedˇprevažuje ochrana súkromia zamestnanca na právom chránenými záujmami prevádzkovateľa o zakázaní plánovaného spracúvania týchto dát.

Rovnako Úrad môže postupovať aj v prípadoch, keď zamestnávateľ ako prevádzkovateľ systému nemá dostatočný právny základ.

V tomto smere je možné skonštatovať aj s ohľadom na závery aktuálneho stanoviska WP 29, že súhlas zamestnanca udelený zamestnávateľovi v rámci pracovno-právnych vzťahov na účely jeho biometrickej kontroly neobstojí z hľadiska nedostatku slobody, ktorá je jedným z rozhodných atribútov platnosti každého súhlasu so spracúvaním osobných (biometrických) údajov.

Často sa tiež možno stretnúť s nie práve najpoctivejším prístupom obchodníkov, ktorí zamlčiavajú, nevedia alebo úmyselne zavádzajú svojich zákazníkov, ktorým chcú predať bez akéhkoľvkek „disclaimera“ právne problematickú technológiu.

Často sa operuje pritom argumentom, že systém neumožňuje spracúvanie biometrických dát lebo spracúva len kryptované (hašované) biometrické šablóny a nie napr. daktyloskopické odltačky prstov.

K tomu len toľko, že samotné získanie surového biometrického údaja (napr. sken papilárnych línii odltačku palca a jeho konverzia do jpeg.) bez ohľadu na následné spracovateľské operácie a konverziu i zabezpečenie dátových formátov už po právnej stránke došlo k spracovaniu biometrických údajov a vzniku relevantných regulačných povinností.

Úrad bežne v minulosti v rozhodnutiach, ktorými znemožnil zákonné využívanie biometrických systémov v rámci bežných pracovno-právnych vzťahov argumentoval napr. že: „Základným predpokladom na spracúvanie biometrických údajov je účel ich získavania a spracúvania, ktorý musí byť jasný a vymedzený jednoznačne a konkrétne. Pri jeho špecifikácii je nevyhnutné zohľadniť potreby zavedenia biometrického systému, jeho prevahu a riziká narušovania základných ľudských práv a slobôd, najmä práva na ochranu súkromia jednotlivcov. Presné vymedzenie účelu je potrebné dodržiavať spolu s ostatnými zásadami ochrany osobných údajov, a to najmä so zásadou primeranosti spracúvania (t.j. vhodnosť použitia biometrických údajov v rámci daného spracúvania) a zásadou nevyhnutnosti spracúvania (t.j. bezpodmienečná potrebnosť a nutnosť spracúvania biometrických údajov, bez ktorých by nemohol byť naplnený účel spracúvania).“

Čo ďalej Úrad rozvíjal: „Požiadavka na prítomnosť uvedených zásad vyplývajúcich z ustanovenia § 13 ods. 5 zákona č. 122/2013 Z. z. pri spracúvaní biometrických údajov zároveň zohľadňuje otázku, či výsledná strata súkromia je primeraná akémukoľvek očakávanému prínosu. Ak je prínos pomerne malý, napríklad zvýšenie pohodlnosti alebo mierne úspory nákladov, potom strata súkromia nie je primeraná. Inými slovami, možnosť spracúvania biometrických údajov podlieha posudzovaniu nutnosti a primeranosti spracúvania s ohľadom na skutočnosť, či zamýšľaný účel možno dosiahnuť iným, menej rušivým zásahom, a teda, či v danom konkrétnom prípade sa použitím iných prostriedkov spracúvania (s ohľadom na všetky relevantné okolnosti) nedokáže dosiahnuť účel rovnako efektívne.“

Podľa názorov Úrad tiež zaznelo, že: „....spracúvanie osobných údajov v tzv. biometrickom informačnom systéme na účel evidencie pracovnej dochádzky nie je nevyhnutné ani primerané. Predmetný účel spracúvania (evidencia pracovnej dochádzky) je možné rovnako efektívne dosiahnuť využitím príp. vhodným kombinovaním iných ako biometrických prostriedkov spracúvania osobných údajov, ktoré sú menej rizikové z hľadiska neoprávnených zásahov do základného ľudského práva na ochranu súkromia a osobných údajov. Vedenie evidencie pracovnej dochádzky je možné charakterizovať ako štandardné spracúvanie osobných údajov, ktoré je možné bez neprimerane zvýšeného úsilia a nákladov rovnako efektívne dosiahnuť efektívnym využívaním menej invazívnych a rizikových prostriedkov spracúvania ako je samotné využitie biometrickej technológie ( ide napr. o rôzne softvérové aplikácie, kamerové systémy, RFID karty a ich kombinovanie). Z uvedeného vyplýva, že spracúvaním biometrických údajov zamestnancov navrhovateľa na účel evidencie pracovnej dochádzky v rámci predmetných podmienok spracúvania osobných údajov nie je v súlade s § 13 ods. 5 zákona č. 122/2013 Z. z., takže nie je možné akceptovať navrhovateľovo tvrdenie, že daný spôsob spracúvania biometrických údajov nijako neporušuje zákon č. 122/2013 Z. z. a je nevyhnutný na dosiahnutie zamýšľaného účelu, a to riadnej a spoľahlivej dochádzky zamestnancov do zamestnania. Faktor možného zvýšenia produktivity práce a optimalizácie nákladov spočívajúci v zavedení biometrického dochádzkového systému je diskutabilný a s určitosťou neprevyšuje záujem na ochrane základného ľudského práva na ochranu súkromia a osobných údajov navrhovateľových zamestnancov.“

Výsledkom tak je, že mnoho firiem má inštalované reálne biometrické systémy určené na kontrolu zamestnancov, ktoré sú spracúvané jednak bez právneho základu a jednak bez osobitnej „okrúhlou pečiatkou Úradu“ posvätenej registrácie, čo vedie k závažnému porušeniu účinného Zákona o ochrane osobných údajov.

Za súvisiaci správny delikt sa musí povinne ukladať pokuta od 1000,- EUR do 200.000,- EUR.

Samozrejme treba dodať, že vyššie uvedené právne názory nemožno paušalizovať na akékoľvek použitie biometrických technológii v rámci akýchkoľvek pracovno-právnych vzťahov.

Existujú určité typy zamestnávateľov, kde existuje reálna expozícia zamestnancov nebezpečným ionizujúcim žiarením, čo je spojené s mzdovými kompenzáciami, čo môže zamestnancov motivovať k určitým machináciám alebo prekračovaniu noriem povolenej expozície nebezpečnému žiareniu.

Z uvedených dôvodov tak efektívna kontrola biometrickou technológiou môže priniesť prevahu právom chránených záujmov prevádzkovateľa nad súkromím zamestnancov.

Zmeny po účinnosti GDPR

Ako viacerí určite dobre viete, aktuálne sa právna regulácia ochrany osobných údajov zásadne mení, čo sa naplno prejaví od 25. mája 2018, keď sa začne v praxi uplatňovať nové Všeobecné nariadenie o ochrane osobných údajov (ďalej len ako „GDPR“).

Osobne vnímame GDPR z hľadiska využívania biometrických technológií v porovananí so Zákonom o ochrane osobných údajov ako liberalizujúci právny akt.

Takmer určite akýkoľvek zámer spracúvania biometrických údajov bude podliehať posúdeniu vplyvu na ochranu údajov (tzv. DPIA), o ktorom sme písali tu.

Tento právny názor podľa nás potvrdí aj zoznam spracovateľských operácii, ktorý pravdpodobne v budúcnosti v súlade s článkom 35 ods. 4 GDPR zverejní Úrad s cieľom špecifikovať bližšie vznik povinnosti vykonávať DPIA.

Liberalizácia zmeneného právneho režimu podľa nás spočíva v tom, že povinnosť vykonať predchádzajúcu konzultáciu s Úradom podľa článku 36 GDPR (i.e. podrobiť sa podobnému povoľovaciemu konaniu ako je súčasné prihlásenie biometrického systému na osobitnú registráciu podľa účinného Zákona o ochrane osobných údajov) vznikne len vtedy, ak závery (zostatkové riziká) odhalené v DPIA nebudú dodatočne dostatočne eliminované alebo zmiernené doplnením (právnych, technických, bezpečnostných, organizačných) opatrení. Inými slovami, ak vykonáte DPIA s odôvodnenými závermi, že pôjde (zjednodušene) o bezpečné a zákonné spracúvanie biometrických dát, ktoré je proporcionálne so základnými zásadami spracúvania osobných údajov, tak sa vyhnete doteraz povinnému Úradnému posudzovaniu a schvaľovaniu pred nasadením biometrickej technológie do praxe.

Samozrejme, viac práv je vždy spojené aj s nárastom povinností, takže prevádzkovateľom s plánom inovovať, zefektívňovať, ochraňovať, či modernizovať svoj biznis nasadením akejkoľvek biometrickej technológie odporúčame nešetriť na kvalitnom spracovaní DPIA, efektívnom technickom zabezpečení dátovej bezpečnosti a podporných „legal compliance“ konzultačných službách.

Biometrické údaje sú totiž aj podľa GDPR naďalej považované za osobitnú kategóriu osobných údajov.

Nerešpektovanie regulačných pravidiel spojených so spracúvaním tejto citlivejšej skupiny dát sú sankcionované prísnejšie, a to až do výšky 20 miliónov EUR alebo 4% celosvetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Závery

Každý úmysel nasadenia biometrickej technológie by mal byť vopred konzultovaný so skúseným DPO (Data Protection Officer) a prevádzkovateľ by mal rešpektovať jeho rady a usmernenia smerujúce k legalizácii úmyslu spojeného s praktickým využívaním a nasadením biometrickej technológie do exekutívnych procesov alebo jej nahradenie alternatívnou možnosťou s menším dopadom na ochranu súkromia dotknutých osôb.

JUDr. Ondrej Zimen

Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

  • Súvisiace právne predpisy