Obchodní společnost - otisky prstů
Kontrola kamerového a docházkového systému včetně zvláštních kategorií (otisků prstů)
Kontrola byla zahájena na základě podnětu, ve kterém bylo namítáno zpracování osobních údajů zaměstnanců kontrolované společnosti v souvislosti s použitím docházkového systému s technologií umožňující rozpoznání otisků prstů, a sledování zaměstnanců prostřednictvím kamerového systému, při práci s počítačem a pomocí GPS umístěných ve služebních vozech. Zejména byla namítána zákonnost takového zpracování, poskytování informací o způsobu zpracování a zabezpečení osobních údajů.
Společnost za účelem vedení evidence pracovní doby zpracovává i zvláštní kategorii osobních údajů (v docházkovém systému zpracovává biometrické údaje, respektive hash – markantu z otisku prstu převedenou do číselné podoby) na základě výslovného souhlasu subjektů údajů.
Kontrolované osobě udělilo souhlas celkem 7 zaměstnanců z 8, a to podpisem dokumentu Souhlas se zpracováním osobních a biometrických údajů a poučení subjektu údajů.
Udělený souhlas nesplňoval zákonné požadavky, neboť informace a poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje (otisku prstu) nebyly zcela jednoznačně formulovány, nebyly transparentní. Kontrolující na základě uvedeného dospěli k závěru, že kontrolovaný nedisponuje výslovným souhlasem se zpracováním otisku prstu dle čl. 9 odst. 2 písm. a) a porušil tak povinnost zákonného zpracování podle čl. 9 nařízení (EU) 2016/679 a dále porušil i informační povinnost dle čl. 12 a 13 nařízení (EU) 2016/679.
V průběhu kontroly došlo k nápravě závadného stavu – uvedení souhlasu a informační povinnosti do souladu s nařízením (EU) 2016/679.