Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Společnost Metrostav a.s.

Kontrola používání technologie FaceID

Na základě kontrolního plánu pro rok 2018 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů v souvislosti s používáním technologie rozpoznání obličeje („Face ID“), a to zejména se zaměřením na zákonnost tohoto zpracování, poskytování informací o tomto zpracování a zabezpečení zpracovávaných osobních údajů.

Kontrola byla provedena u stavební společnosti, která na některých realizovaných stavbách používá zařízení Face ID určené k identifikaci pracovníků přítomných na stavbě. Provoz tohoto zařízení zajišťuje pro kontrolovanou osobu dodavatel. Kontrolující zjistili, že systém Face ID je docházkovým systémem umožňujícím zaznamenat čas příchodu a odchodu jednotlivých osob na stavbu, a to na základě rozpoznání obličeje. Jedná se o soubor turniketu, terminálu – čtecí (scanovací) jednotky a softwaru napojeného na server dodavatele, k němuž oprávněné osoby přistupují prostřednictvím k tomu určené aplikace. Osobní údaje pracovníků oprávněných ke vstupu na určitou stavbu jsou na server dodavatele nahrány na základě objednávky kontrolované osoby. Scan obličeje je následně proveden přímo na terminálu umístěném na konkrétní stavbě. Tento scan je matematickými algoritmy převeden do tzv. hash template, který zůstává uložen pouze v terminálu. Při každém průchodu pracovníka terminálem je vždy vypočítán nový hash template, který je porovnáván s uloženým. Kontrolovaná osoba tak prostřednictvím systému Face ID zpracovává jak identifikační a profesní údaje zaměstnanců, tak i informace vypovídající o jejich pracovní docházce.

Vzhledem k využití technologie založené na rozpoznávání obličeje kontrolující konstatovali, že kontrolovaná osoba zpracovává i zvláštní kategorie údajů – biometrické údaje. Vzájemný vztah kontrolované osoby a dodavatele byl vyhodnocen jako vztah správce a zpracovatele, přičemž obsah rámcové smlouvy odpovídá požadavkům na smlouvu o zpracování osobních údajů dle čl. 28 odst. 3 nařízení (EU) 2016/679.

Právní základ pro posuzované zpracování byl shledán v čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679 (plnění právní povinnosti), resp. pro biometrické údaje v čl. 9 odst. 2 písm. b) (plnění povinnosti v oblasti pracovního práva) ve spojení s čl. 6 odst. 1 písm. c) tohoto nařízení. Dále bylo vyhodnoceno plnění povinností, které kontrolované osobě vyplývají z čl. 5 odst. 1 písm. c) (minimalizace údajů) a čl. 5 odst. 1 písm. e) (omezení uložení) nařízení (EU) 2016/679 s tím, že kontrolovaná osoba tyto povinnosti neporušuje.

Ani ve vztahu k plnění povinností v oblasti informování subjektů údajů podle čl. 12 až 14 nařízení (EU) 2016/679 kontrolující nezjistili porušení povinností, neboť kontrolovaná osoba poskytuje požadované informace jak v písemné formě přímo v místě stavby, tak i na svých internetových stránkách. Kontrolovaná osoba doložila také splnění povinností vést záznamy o činnostech zpracování ve smyslu čl. 30 nařízení (EU) 2016/679. Pochybení nebylo shledáno ani v oblasti zajištění bezpečnosti zpracovávaných osobních údajů (v tomto směru kontrolující hodnotili jak fyzické zabezpečení úložišť, tak zálohování, logování a přístupová oprávnění a dále školení odpovědných zaměstnanců a závazek mlčenlivosti).

Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.

Doporučení

Úřad poukazuje na skutečnost, že v dané věci se jednalo o zcela specifický případ, kdy kontrolovaná osoba byla schopná prokázat, že zpracování biometrických údajů je nezbytné pro účely plnění specifických povinností správce ve smyslu čl. 9 odst. 2 písm. b) nařízení (EU) 2016/679 (zejména bezpečnosti na rozsáhlém staveništi). Kontrolovaná osoba přitom nebyla tohoto souladu schopná dosáhnout jinými, méně invazivními prostředky, resp. dříve použité méně invazivní prostředky se ukázaly jako neúčinné. V této souvislosti je proto nezbytné upozornit na skutečnost, že za běžných okolností se zaměstnavatelé při zpracování biometrických údajů nemohou tohoto právního titulu dovolávat.