Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2024
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Zaměstnavatel využívající docházkový systém na biometrické údaje (UOOU-04332/23)

Zaměstnavatel využívající docházkový systém na biometrické údaje (UOOU-04332/23)

Kontrola týkající se užívání biometrických údajů pro účely docházkového systému

Úřad provedl kontrolu dodržování povinností stanovených GDPR a zákonem o zpracování osobních údajů v souvislosti se zpracováním osobních údajů (otisků prstů) v rámci docházkového či obdobného systému využívaného kontrolovanou osobou. Otisky prstů jsou biometrické údaje v daném kontextu využívané k identifikaci, čímž na základě čl. 9 GDPR podléhají zvýšené ochraně. Ta spočívá zejména v tom, že GDPR obecně zakazuje zpracování osobních údajů vyjmenovaných v čl. 9 odst. 1 GDPR, přičemž v čl. 9 odst. 2 GDPR vypočítává výjimky, na jejichž základě lze takové údaje zpracovávat. Z povahy věci je fungování docházkových systémů založeno na jedinečné identifikaci fyzické osoby (jedině tak může docházkový systém zaznamenávat příchody a odchody konkrétních pracovníků), a to na rozdíl od systémů umožňujících pouze vstup do určitých prostor bez další identifikace. V druhém případě se ve většině případů nebude jednat o zpracování biometrických údajů za účelem jedinečné identifikace.

Kontrolou bylo zjištěno, že zaměstnavatel porušil tzv. zásadu minimalizace údajů danou čl. 5 odst. 1 písm. c) GDPR, neboť v předmětném období zpracovával v elektronickém docházkovém systému hashe otisků prstů svých zaměstnanců, přestože tyto údaje nebyly nezbytné ve vztahu k účelu evidence docházky zaměstnanců.

Kontrolovaná osoba v tomto případě nevyužila možnosti podat proti kontrolním zjištěním ve stanovené lhůtě námitky.

Pochopitelně nelze vyloučit existenci zaměstnavatelů v pozici správců údajů, v jejichž případě bude užití docházkového systému zpracovávajícího biometrické údaje náležitě zdůvodnitelné. Je však zřejmé, že půjde o zcela výjimečné situace, které vždy budou muset zohlednit požadavky čl. 9 GDPR.

Doplňující informace: V této souvislosti Úřad zdůrazňuje, že zásadní nebezpečí týkající se biometrických údajů spočívá v jejich nezaměnitelnosti (jedná se o jedinečné fyzické znaky osob). Pokud tedy dojde jednou k úniku takovýchto údajů, jedná se o nevratný problém. Riziko úniku je pak zvýšeno v situacích, kdy správce ke zpracování osobních údajů využívá zpracovatele a biometrické údaje jsou uloženy mimo dispozici správce.