Spracúvanie biometrických údajov zamestnanca podľa GDPR

Petra Pohorelá | 14.11.2018
Spracúvanie biometrických údajov zamestnanca podľa GDPR

Kedy a ako môžu zamestnávatelia biometrické údaje svojho zamestnanca spracúvať a aké povinnosti majú v súvislosti s ochranou osobných údajov a GDPR?

Od konca mája 2018 sa na území členských štátov EÚ vrátane SR začal uplatňovať jednotný režim ochrany osobných údajov – nariadenie GDPR (General Data Protection Regulation). Súčasne v SR nadobudol účinnosť nový zákon o ochrane osobných údajov, ktorý v značnej miere kopíruje ustanovenia GDPR. Zmeny, ktoré GDPR prinieslo, sa dotkli aj citlivých údajov.

V poslednej dobe sa v pracovnoprávnych vzťahoch rozšírilo využívanie systémov umožňujúcich spoľahlivé určenie zamestnanca na základe unikátnych biometrických znakov. Zamestnávatelia často vznášajú požiadavky na poskytnutie odtlačkov prstov zamestnancov pre použitie v dochádzkových systémoch. Dôvodom je hlavne vylúčenie možnosti klamania zamestnávateľa pri príchode či odchode zamestnanca z pracoviska.

Čo sú biometrické údaje podľa GDPR?

GDPR (čl. 9 ods. 1) a nový zákon o ochrane osobných údajov (§ 16 ods. 1) zaraďuje biometrické údaje do osobitnej kategórie osobných údajov (tzv. citlivé osobné údaje). Ide o údaje, ktorých spracúvanie môže pre dotknutú osobu (napr. zamestnanca) predstavovať vyššie riziko ohrozenia práv a právom chránených záujmov.

Nový zákon o ochrane osobných údajov v § 5 písm. c) spresnil definíciu biometrických údajov: Biometrickými údajmi sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje.

Jednoducho povedané, biometrickými údajmi sú osobné údaje každej fyzickej osoby, na základe ktorých je osobu možné jednoznačne a nezameniteľne určiť. Sú to najmä biologické vlastnosti, fyziologické črty alebo opakované činnosti, v prípade ktorých sú tieto pre konkrétnu osobu špecifické.

Medzi biometrické údaje možno zaradiť:

  • odtlačky prstov,
  • odtlačky dlaní,
  • geometria ruky, geometria štruktúry žíl ruky alebo dlane (štruktúra rúk),
  • biometrický snímok sietnice oka (sken sietnice oka),
  • tvar tváre a vzdialenosti jednotlivých orgánov na nej (štruktúra tváre),
  • hlas (zafarbenie hlasu),
  • chôdza.

Medzi biometrické údaje zamestnanca môžu okrem vyššie uvedených údajov patriť aj ďalšie (napr. tlak pera pri písaní, podpis).

Spracúvanie biometrických údajov zamestnanca podľa GDPR

Za účinnosti starého zákona o ochrane osobných údajov bolo zlegalizovanie akýchkoľvek technológii postavených na báze biometrickej identifikácie zamestnanca podmienené rozhodnutím Úradu na ochranu osobných údajov SR (tzv. osobitná registrácia). Až po jej schválení bol zamestnávateľ oprávnený spracúvať biometrické údaje zamestnancov. Po účinnosti GDPR sa zamestnávatelia tomuto povinnému posudzovaniu a schvaľovaniu úradom vyhnú, pretože nový zákon o ochrane osobných údajov osobitnú registráciu neustanovuje.

Vo všeobecnosti GDPR ustanovuje zákaz spracúvania biometrických údajov na individuálnu identifikáciu fyzickej osoby. Z tohto zákazu však hneď určuje niekoľko výnimiek (čl. 9 ods. 2).

Zákaz spracúvania biometrických údajov sa neuplatňuje, ak napríklad:

  • dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov,
  • spracúvanie je nevyhnutné na účely plnenia povinnostía výkonu osobitných právprevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany,
  • spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti,
  • spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila a ďalšie.

Z uvedených výnimiek je teda zrejmé, že biometrické údaje je možné v pracovnoprávnych vzťahoch využívať len vo výnimočných prípadoch. Zamestnávateľ (prevádzkovateľ) ich môže spracúvať napríklad v prípade, keď je to nevyhnutné na splnenie jeho pracovnoprávnej povinnosti alebo na posúdenie pracovnej spôsobilosti zamestnanca, taktiež v prípade, keď s ich spracúvaním sám zamestnanec výslovne súhlasí. Aké náležitosti musí spĺňať súhlas sa dočítate v článku Súhlas so spracúvaním osobných údajov podľa GDPR od 25.5.2018.

Okrem toho môže biometrické údaje spracúvať aj na právnom základe osobitného predpisu (napr. tzv. atómový zákon) alebo medzinárodnej zmluvy, ktorou je SR viazaná.

Nakoľko sú biometrické údaje merateľné, spracúvajú sa prostredníctvom osobitných technických prostriedkov, ktoré umožňujú resp. potvrdzujú jedinečnú identifikáciu fyzickej osoby (napr. skener sietnice, snímač odtlačkov prstov). Tieto technické prostriedky sa v oblasti zamestnania zvyknú označovať ako prístupové alebo dochádzkové systémy.

Na aké účely sa spracúvajú biometrické údaje zamestnanca?

Účel spracúvania biometrických údajov zamestnanca musí byť jasný a jednoznačne vymedzený, musí sa viazať na určitú činnosť. Pri špecifikácii účelu by mal zamestnávateľ zohľadniť potreby zavedenia biometrického systému, jeho prevahu a riziká narušovania základných ľudských práv a slobôd zamestnanca.

Účelom spracúvania biometrických údajov zamestnanca je najčastejšie:

  • vstup do vyhradených priestorov alebo objektov z dôvodu bezpečnosti a ochrany majetku zamestnávateľa (napr. prostredníctvom odtlačku prsta – prístupový systém),
  • bezpečnosť a ochrana zdravia pri práci (BOZP) z dôvodu zamedzenia vstupu nepovolaným osobám do objektov zamestnávateľa, v ktorých sú uchovávané nebezpečné látky ako rádioaktívny materiál (napr. prostredníctvom skenu sietnice - prístupový systém),
  • evidencia dochádzky a pracovného času zamestnanca (napr. prostredníctvom odtlačku dlane) - v tomto prípade však upozorňujeme, že spracúvanie biometrických údajov zamestnanca na tento účel sa nie vždy musí považovať za nevyhnutné na dosiahnutie účelu, pretože je možné nájsť aj menej rázne spôsoby zásahu do súkromia zamestnanca (napr. využitím knihy evidencie dochádzky alebo priloženie karty k čítačke – dochádzkový systém).

Najviac v praxi dochádza k spracúvaniu biometrických údajov zamestnancov, ktorí majú oprávnenie vstupovať do osobitne chránených objektov alebo vyhradených objektov (napr. do jadrovej elektrárne či do bankových trezorov).

Ako dlho môže zamestnávateľ spracúvať biometrické údaje zamestnanca?

Podľa GDPR platí, že osobné údaje je možné spracúvať iba po nevyhnutnú dobu. Spracúvanie biometrických údajov zamestnanca môže zamestnávateľ realizovať najneskôr do doby naplnenia účelu ich spracúvania (napr. do ukončenia kontroly vstupu do vyhradených priestorov prostredníctvom odtlačku prsta).

Biometrické údaje a posúdenie vplyvu na ochranu osobných údajov

Ako sme už vyššie uviedli, po novom nie je potrebné žiadať Úrad na ochranu osobných údajov SR o schválenie osobitnej registrácie pre spracúvanie biometrických údajov prostredníctvom príslušných technických prostriedkov.

Avšak podľa GDPR spracúvanie biometrických údajov zamestnanca predstavuje jeden z dôvodov pre vypracovanie posúdenia vplyvu na ochranu osobných údajov (Data Protection Impact Assessment - tzv. DPIA). To znamená, že ešte pred spracúvaním biometrických údajov je zamestnávateľ povinný vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov zamestnanca. Musí tak urobiť z dôvodu, že spracúvanie biometrických údajov, môže viesť k vysokému riziku pre práva zamestnancov (najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania týchto údajov).


O autorovi

JUDr. Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy:

Vaše osobné údaje (email) budeme spracovávať len za týmto účelom v súlade s platnou legislatívou a zásadami ochrany osobných údajov. Súhlas potvrdíte kliknutím na odkaz, ktorý vám pošleme na váš email. Súhlas môžete kedykoľvek odvolať písomne, emailom alebo kliknutím na odkaz z ktoréhokoľvek informačného emailu.