Biometrické dochádzkové systémy (odtlačok prsta, sken dlane či tváre) sľubujú spoľahlivú evidenciu dochádzky, či bezchybnú kontrolu vstupu do určitých priestorov. Z pohľadu práva však ide o jednu z najcitlivejších foriem spracúvania osobných údajov. Nižšie v texte nájdete zrozumiteľné vysvetlenie právnej regulácie a oficiálnych usmernení v tejto oblasti.

 

Vedenie dochádzky podľa Zákonníka práce

Zamestnávateľ musí viesť evidenciu pracovného času, t. j. začiatok a koniec úseku, keď zamestnanec pracoval alebo mal pracovnú pohotovosť. Zákonník práce však nepredpisuje formu, v akej má zamestnávateľ túto evidenciu viesť (papier, čipová karta, aplikácia atď.). Z tejto zákonnej povinnosti preto nevyplýva, že by zamestnávateľ musel alebo mohol používať odtlačky prstov len preto, aby splnil svoje povinnosti podľa § 99 Zákonníka práce.

Biometria podľa GDPR

Podľa GDPR patria biometrické údaje (napr. daktyloskopické údaje – odtlačky prstov) medzi osobitné kategórie osobných údajov. Ich spracúvanie je v zásade zakázané, pokiaľ sa neopriete o výnimku z článku 9 ods. 2 GDPR (napr. výslovný súhlas dotknutej osoby, osobitný zákon vo verejnom záujme atď.). Navyše, biometrické údaje GDPR definuje ako údaje, ktoré umožňujú alebo potvrdzujú jednoznačnú identifikáciu osoby vďaka špecifickému technickému spracovaniu (typicky práve snímač odtlačku).

Súhlas zamestnanca? Pozor na nerovnováhu moci!

V pracovnom vzťahu je zamestnávateľ v silnejšej pozícii, preto súhlas zamestnanca často nie je „slobodný“ a nebýva platným právnym základom. Európsky výbor pre ochranu údajov (EDPB) v oficiálnych pokynoch zdôrazňuje, že pri nerovnováhe moci (ako je typicky v pracovných vzťahoch) je súhlas spravidla nevhodným právnym základom, t. j. zamestnanec sa reálne nemusí cítiť slobodne, aby mohol takýto súhlas odmietnuť bez následkov. Rovnaký záver uvádza aj staršia, no dodnes rešpektovaná Opinion 2/2017 (WP29) k spracúvaniu údajov v práci.

Iný právny základ?

Aj keby zamestnávateľ vedel odôvodniť oprávnený záujem (čl. 6 ods. 1 písm. f GDPR), napríklad prevenciu podvodov pri dochádzke, pri biometrii to nestačí. Pri osobitných kategóriách údajov musíte popri právnom základe z čl. 6 GDPR splniť aj jednu z výnimiek podľa čl. 9 ods. 2 GDPR. V praxi sa preto zamestnávateľ bez osobitného zákonného oprávnenia alebo platného výslovného súhlasu (ktorý je v zamestnaní problematický) dostane do slepej uličky.

Postoj dozorného orgánu: povinná DPIA a dôkaz „nevyhnutnosti“

Úrad na ochranu osobných údajov SR výslovne uvádza, že spracúvanie biometrických údajov na účely individuálnej identifikácie patrí medzi operácie, pri ktorých je povinné posúdenie vplyvu na ochranu údajov (DPIA). Už len táto povinnosť naznačuje, že ide o vysokorizikové spracúvanie, ktoré treba vedieť presvedčivo odôvodniť nevyhnutnosťou a primeranosťou oproti menej invazívnym alternatívam.

Úrad vo svojich výročných správach zároveň dlhodobo uvádza, že sa kontrolám evidencie dochádzky venuje, t. j. posudzuje zákonnosť, bezpečnostné opatrenia a dodržiavanie zásad GDPR u prevádzkovateľov.

Kedy by mohla biometrická dochádzka obstáť?

Aby bolo možné biometrickú dochádzku obhájiť, museli by ste preukázať reálnu nevyhnutnosť (nie iba prevenciu pred podvodmi zamestnancov), absenciu menej invazívnych riešení (napr. prečo nemôžete využívať čipové karty) a zároveň spadať pod konkrétnu výnimku podľa čl. 9 ods. 2 GDPR, napr. osobitný zákon vo verejnom záujme, ktorý takýto postup výslovne dovoľuje a zároveň stanovuje primerané záruky.

V bežnom komerčnom prostredí takýto osobitný zákon k dochádzke neexistuje a poukazovať na § 99 Zákonníka práce nestačí (ten „formu“ evidencie nepredpisuje). Bežný zamestnávateľ preto právny základ na odtlačky prstov pri dochádzke spravidla nemá.

Aké alternatívy sú spravidla vhodnejšie?

Skôr než biometriu zvážte riešenia, ktoré plnia cieľ s primeraným zásahom do súkromia: čipové karty, identifikátory v mobilnej appke, PIN, prípadne geofencing v opodstatnených situáciách. Pri nich sa viete oprieť o bežný právny základ (napr. plnenie zákonnej povinnosti viesť evidenciu pracovného času a oprávnený záujem na ochrane majetku), pričom nepracujete s osobitnou kategóriou údajov (biometriou). Nezabudnite však stále dodržať všetky zásady GDPR – informovanie, minimalizáciu, bezpečnosť atď.

„Aj tak chceme biometrickú dochádzku.“ Čo minimálne musíte urobiť?

Ak by ste napriek vyššie uvedenému uvažovali o biometrii, počítajte s tým, že pôjde o výnimku, ktorú treba výborne zdokumentovať:

1. Posúdenie vplyvu (DPIA) – povinné pri biometrickej identifikácii. Vyhodnoťte riziká, nevyhnutnosť a alternatívy; zvoľte kompenzačné opatrenia.
2. Obhájenie právneho základu podľa čl. 6 GDPR, nájdenie výnimky podľa čl. 9 ods. 2 GDPR. Jednoduchý „oprávnený záujem“ alebo formálny „súhlas“ zamestnanca spravidla neobstojí.
3. Minimalizácia a technický dizajn – ak už chcete používať biometriu, tak 1:1 verifikácia (porovnanie s vlastnou šablónou), nie 1:N identifikácia; neuchovávajte surové obrazy odtlačkov; používajte šablóny v zariadení a krátke retenčné doby. V každom prípade však ide o stále o biometrické údaje.
4. Bezpečnosť – šifrovanie, oddelenie databáz, riadenie prístupov, pravidelné testovanie, plán reakcie na incidenty; to všetko primerane vyššiemu riziku.
5. Informačná povinnosť – transparentne vysvetlite účel, právny základ, riziká, dobu uchovania, príjemcov, práva zamestnancov.
6. Zmluvy s dodávateľmi – spracovateľské zmluvy, audity dodávateľa, umiestnenie a správa dát.
7. Interné pravidlá a školenia – aby systém nebol používaný nad rámec účelu (napr. „mikro-monitoring“ prestávok).

Autor článku sa domnieva, že biometrická dochádzka by bola zákonná (aj napriek uskutočneniu vyššie uvedených krokov) len v prípade vstupu do citlivých priestorov, napr. kritická digitálna infraštruktúra, letiská, priemyselné riadiace systémy, energetika, priestory s utajovanými skutočnosťami, farmaceutická výroba, biologické a chemické laboratóriá a pod.

Krátke FAQ k dochádzke biometriou

Môžeme to postaviť na súhlase zamestnanca?

Väčšinou nie. Súhlas v zamestnaní býva neslobodný; ak zamestnanec nemôže bezpečne súhlas odmietnuť bez následku, súhlas nie je platný.

Ale veď odtlačok je len „šablóna“, nie skutočný obraz prsta.

Stále ide o biometrický údaj, ak umožňuje potvrdiť identitu osoby. Stále teda spadá pod čl. 9 GDPR.

Musíme robiť DPIA?

Áno, spracúvanie biometrických údajov na účely identifikácie je na zozname“ operácií povinne podliehajúcich DPIA.

Stačí, že to potrebujeme kvôli presnejšej evidencii?

Nie. Zákonník práce nevyžaduje biometriu a existujú menej invazívne spôsoby vedenia dochádzky. Bez osobitného zákonného oprávnenia (alebo výnimočne platného súhlasu) spravidla chýba právny základ podľa čl. 9 GDPR.

Zhrnutie pre prax

Povinnosť viesť evidenciu pracovného času neznamená, že smiete používať odtlačky prstov. Forma evidencie dochádzky nie je Zákonníkom práce stanovená a biometria je pre bežnú dochádzku neprimeraná.

Biometria je osobitná kategória údajov; na jej spracúvanie potrebujete okrem právneho základu z čl. 6 GDPR aj výnimku podľa čl. 9 GDPR. V pracovnom vzťahu súhlas spravidla nefunguje.

DPIA je povinná a musíte vedieť preukázať nevyhnutnosť a primeranosť oproti menej invazívnym riešeniam vedenia dochádzky.

Potrebujete poradiť v oblasti GDPR? Neváhajte nás kontaktovať na avris@avris.sk .