ACRESIA

Bývalý zaměstnanec podal stížnost na společnost Consorcio ESS-Bilbao (společnost zabývající se výstavbou infrastruktury) u španělského úřadu pro ochranu údajů (AEPD), v níž požádal úřad, aby určil, zda zavedení systému biometrického rozpoznávání otisků prstů za účelem sledování pracovní doby zaměstnanců bylo v souladu s GDPR.

Společnost měla uzavřenou smlouvu s firmou Robotics, která se zabývá biometrickými systémy a která byla označena za zpracovatele. Společnost Robotics zase měla smlouvu se společností Microsoft Ireland Operations LTD o ukládání dat v cloudu, která v tomto případě fungovala jako subzpracovatel.

Společnost uvedla, že předem informovala pracovníky o tom, že tento systém bude zaváděn postupně, a že toto zpracování osobních údajů založila na čl. 6 odst. 1 písm. a) nařízení GDPR, přičemž získala výslovný souhlas svých zaměstnanců se zpracováním osobních údajů. Kromě toho společnost uvedla, že toto zpracování bylo zákonné také podle čl. 6 odst. 1 písm. b) a c) GDPR vzhledem k tomu, že účinné sledování pracovní doby bylo nezbytné pro plnění pracovní smlouvy, respektive bylo pro společnost zákonnou povinností podle španělského práva.

Kromě toho společnost tvrdila, že tento systém nepředstavuje zpracování zvláštních kategorií nebo osobních údajů podle článku 9 GDPR, protože rozpoznávání otisku prstu generuje a interní číslo a hash hodnotu, která není vratná, a že nedochází k záznamu samotného obrazu otisku prstu.

Po podání stížnosti se společnost rozhodla nahradit systém biometrické registrace otisků prstů jiným systémem využívajícím identifikační karty zaměstnanců.

V úvodu svého rozhodnutí vyjádřil AEPD své trvalé znepokojení nad rostoucím trendem používání biometrických systémů a jejich zásahem do základních práv subjektů údajů, jakož i nad centralizací uložených biometrických údajů, která zvyšuje riziko narušení bezpečnosti osobních údajů a nezákonného přístupu k těmto údajům.

AEPD rozhodl, že v tomto případě sice není uložen samotný obraz otisku prstu, ale skutečnost, že hash a číselné hodnoty založené na otisku prstu jsou zavedeny do šablon, které zaznamenávají fyzické charakteristiky a mohou být použity k individuální identifikaci subjektu údajů, znamená, že tyto údaje je třeba považovat za zvláštní kategorii osobních údajů podle článku 9 GDPR. AEPD dále posuzoval, zda je použití systému biometrického registru přiměřené, nezbytné a úměrné s ohledem na účel, kterému slouží.

V tomto případě AEPD uvedl, že španělský zákon sice ukládá povinnost sledovat skutečnou pracovní dobu a povinnosti vykonávané zaměstnanci, ale neuvádí konkrétní metodu nebo systém, jak toho dosáhnout. AEPD rozhodl, že před zavedením systému rozpoznávání totožnosti na základě otisků prstů měla společnost posoudit, zda existuje méně invazivní opatření, které by umožnilo dosáhnout stejného účelu. Na základě svého zjištění, že zpracovávané biometrické údaje odpovídají zvláštní kategorii osobních údajů podle článku 9 GDPR, AEPD rozhodl, že v tomto případě mělo být provedeno posouzení vlivu na ochranu osobních údajů (DPIA) podle článku 35 GDPR a to, že jej společnost v tomto případě neprovedla, bylo zjevným porušením GDPR.

AEPD nakonec akceptoval, že společnost nahradila biometrický registrační systém méně invazivním systémem využívajícím identifikační karty. AEDP však uvedla, že ačkoli byla zavedena nápravná opatření, stížnost by neměla být vedena, jako by k porušení nedošlo, a udělila společnosti výtku za porušení článku 35 GDPR z důvodu neprovedení DPIA při zavádění výše uvedeného biometrického registračního systému.