Logistická společnost (UOOU-04329/23)

Zpracování zvláštní kategorie osobních údajů zaměstnanců v elektronickém docházkovém systému

Úřad během roku 2025 dokončil další z kontrol zahájených v rámci kontrolní akce zaměřené na zaměstnanecké docházkové systémy využívající biometrické údaje.

Konkrétně kontrolovaná osoba využívala docházkový systém, který využíval otisky prstů zaměstnanců. Čtečka docházkového systému převáděla otisk prstu na šablonu, která reprezentuje jedinečné charakteristiky otisku a neumožňovala zpětnou rekonstrukci původního otisku. Při následném přiložení prstu za účelem evidence docházky systém provádí vyhodnocení a porovnání aktuálního otisku s již existujícími uloženými šablonami ostatních otisků.

V případě šablon otisků prstů zaměstnanců nakládala kontrolovaná osoba s údaji, které splňovaly definici biometrických údajů podle čl. 4 bodu 14 GDPR a jedná se tudíž o zpracování zvláštních kategorií osobních údajů dle čl. 9 GDPR.

Kontrolovaná osoba současně nabízela další dva způsoby evidence docházky zaměstnanců, a to RFID přístupové karty a zaznamenávání času příchodu a odchodu na/z pracoviště pracovníkem recepce do příslušné docházkové tabulky. Zpracování biometrických údajů probíhalo u kontrolované osoby na základě výslovného souhlasu subjektu údajů, tedy kontrolovaná využívala výjimku dle čl. 9 odst. 2 písm. a) GDPR.

V tomto případě bylo kontrolujícími konstatováno porušení čl. 5 odst. 1 písm. c) GDPR, neboť zpracovávané údaje nebyly nezbytné ve vztahu k účelu evidence docházky zaměstnanců.

Doplňující informace: Úřad doporučuje, aby správci před zavedením nebo provozem biometrických docházkových systémů důsledně posoudili nezbytnost a proporcionalitu takového řešení, zvolili právní základ odpovídající skutečnému účelu zpracování a upřednostňovali méně invazivní prostředky.