V Brně dne 15. května 2018
Vážení klienti,
v souvislosti s novou právní úpravou zpracovávání osobních údajů (představovanou zejména obecným nařízením o ochraně osobních údajů, dále jen „GDPR“) si Vám v zastoupení společnosti IRESOFT s.r.o. dovoluji zaslat aktualizované stanovisko k právní přípustnosti používání našich systémů založených na snímání otisků prstu.
Aktuálně se jedná o docházkové čtečky DSi 700/502/501/500, přístupový terminál PSi 50, stravovací systém a stolní identifikátor na otisky prstů, při jejichž používání nedochází k uchovávání úplných biometrických údajů, ale pouze k výběru některých rysů specifických pro jednotlivce, ze kterých je vytvořena biometrická šablona. Jedná se tedy o redukci úplného biometrického obrazu (tj. otisku prstu) s tím, že před uložením do systému je tato šablona dále ještě zpracována matematickými operacemi (hashováním) tak, aby nebyla volně čitelná nebo zpětně rekonstruovatelná.
I přes zmiňovaná opatření vyžaduje technologie používání otisků prstu speciální přístup, protože zpracovávané osobní údaje jsou současně biometrickými údaji dle čl. 4 bod 14) GDPR. Dotčený evropský předpis klade na zpracovávání těchto údajů zvýšené nároky, pokud tyto naplňují definici zvláštních kategorií osobních údajů. Takovými zvláštními kategoriemi osobních údajů jsou podle definice uvedené v čl. 9 odst. 1 GDPR pouze ta zpracování biometrických údajů, která jsou prováděna „za účelem jedinečné identifikace fyzické osoby“.
Pro optimální používání našich docházkových systémů je tedy třeba vybrat mezi zpracováváním biometrických údajů na principu jedinečné identifikace fyzické osoby (jedná se o situaci, kdy systém rozpoznává jednotlivce odlišením od ostatních osob, tzn. porovnáním údajů 1:N) nebo na principu její autentizace (dochází pouze k ověření totožnosti fyzické osoby porovnáním údajů 1:1). Pouze první z uvedených případů totiž spadá do přísnějšího režimu zpracovávání zvláštních kategorií osobních údajů.
Všechny výše uvedené docházkové čtečky umožňují využití otisků prstu jak za účelem identifikace osob, tak k jejich pouhé autentizaci. Je tedy na Vás, jaký princip se rozhodnete ve své praxi využít. Měli byste však mít na paměti, že Vaše rozhodnutí bude mít dopad na to, za jakých právních podmínek bude možno systém využívat.
Na základě provedených právních analýz přichází v úvahu tři možnosti uplatnění našich docházkových systémů v praxi:
a) evidence docházky pouze při využití otisků prstu: tento postup odpovídá systému identifikace, tzn. dochází při něm ke zpracovávání zvláštních kategorií osobních údajů, na které se vztahuje přísnější režim čl. 9 GDPR. Zpravidla se tedy neobejdete bez výslovného souhlasu dotčených fyzických osob. U zaměstnanců platí specifické nároky, co se podmínek udělování souhlasu týče. Zaměstnavatel by měl být mj. vždy schopen doložit, že souhlas byl, i přes podřízené postavení zaměstnance, udělen skutečně svobodně (doporučujeme přinejmenším doloženou možnost volby mezi touto a jednou z dalších možností);
b) evidence docházky kombinací čipu a otisku prstu: příslušná osoba se nejdříve označí čipem a následně, přiložením prstu, dojde k ověření (autentizaci) její totožnosti. V tomto případě se bude i u otisků prstu jednat o „běžné“ osobní údaje, což mj. znamená, že zaměstnavatelé budou moci i nadále opírat jejich zpracovávání o svůj oprávněný zájem na evidenci docházky zaměstnanců a zásadně nebude nutné opatřovat zvláštní souhlasy dotčených fyzických osob;
c) k evidenci docházky bude využíván pouze čip: v tomto případě nebude docházet ke zpracovávání jakýchkoli biometrických údajů.
Možnost, kterou si zvolíte, můžete nastavit přímo na čtečce nebo v programu pro každého zaměstnance zvlášť. Všechny výše uvedené docházkové čtečky v sobě mají tuto funkčnosti již od začátku a není nutné je nijak aktualizovat.
Obecně je potřeba uvést, že ať již se rozhodnete pro jakýkoli způsob evidence docházky (tzn. i bez využití našich produktů), vždy se bude jednat o zpracovávání osobních údajů, u něhož bude nutné splnit nároky kladené GDPR a vše řádně zdokumentovat.
Vstup tohoto předpisu v účinnost však rozhodně neznamená, že by se do budoucna zapovídalo jakékoli užívání biometrických údajů v docházkových systémech, pouze je zapotřebí správně reagovat na právní úpravou vyžadovaná specifika.
Věřím, že se nám i tímto stanoviskem podařilo přispět ke správné orientaci v dané problematice.
S pozdravem,
Ing. Jiří Halousek, MBA
jednatel