Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2025
  6. Kontrolní činnost v oblasti ochrany osobních údajů za rok 2025
  7. Výrobce kosmetiky (UOOU-05907/24)

Výrobce kosmetiky (UOOU-05907/24)

Zpracování zvláštní kategorie osobních údajů zaměstnanců v elektronickém docházkovém systému

Úřad během roku 2025 u výrobce kosmetiky ukončil kontrolu zaměřenou na docházkové systémy využívající biometrické údaje. V tomto konkrétním případě evidence docházky probíhala prostřednictvím přiložení prstu k docházkovému snímači, či skenem obličeje. Jako alternativu k použití otisku prstu či skenu obličeje kontrolovaná osoba využívala přístupový čip.

Docházkový terminál převáděl otisky prstů či skeny obličejů zaměstnanců kontrolované osoby na tzv. hash kódy, ze kterých nelze zpětně obnovit původní podobu otisku prstů či snímků obličeje. Při přiložení prstu či pořízení snímků obličeje za účelem evidence docházky dojde k jejich vyhodnocení a porovnání s již existujícími hash kódy v databázi.

V případě hash kódů otisků prstů a snímků obličeje zaměstnanců nakládala kontrolovaná osoba s údaji, které splňují definici biometrických údajů podle čl. 4 bodu 14 GDPR a jedná se o zpracování zvláštních kategorií osobních údajů dle čl. 9 GDPR.

V tomto konkrétním případě opřela kontrolovaná osoba předmětné zpracování o právní základ oprávněných zájmů dle čl. 6 odst. 1 písm. f) GDPR. Kontrolovaná osoba předložila balanční test a uvedla, že jejím oprávněným zájmem je jednoznačná identifikace osob při výrobě kosmetických a čistících prostředků. Ohledně nezbytnosti zpracování uvedla, že výroba, kterou provádí, podléhá přísným hygienickým podmínkám kladeným na všechny pracovníky pohybující se ve společnosti, a tudíž je nutné mít přesnou a jasně prokazatelnou docházku osob na pracoviště. Tyto argumenty však kontrolující nevyhodnotili jako relevantní, neboť provádět identifikaci a monitorovat odpracovaný čas zaměstnanců lze i jinými způsoby bez využití biometrických údajů

V této souvislosti bylo konstatováno porušení čl. 6 odst. 1 GDPR, neboť správce zpracovával hashe otisků prstů v rámci docházkového systému a nedoložil, že by zpracování bylo opřeno o některou z podmínek uvedených v čl. 6 odst. 1 GDPR.

Doplňující informace: Úřad doporučuje, aby správci před zavedením nebo provozem biometrických docházkových systémů důsledně posoudili nezbytnost a proporcionalitu takového řešení, zvolili právní základ odpovídající skutečnému účelu zpracování a upřednostňovali méně invazivní prostředky.