Přístup na pracoviště na otisk prstu nebo rozpoznání obličeje? ÚOOÚ chystá právní ukotvení

V poslední době se rozšiřují technologie založené na zpracování biometrických údajů zaměstnanců. Otisk prstu nebo rozpoznání obličeje – tak stále častěji vypadá evidence docházky na pracovištích. GDPR však umožňuje zpracování biometrických údajů pouze ve velmi omezených případech. V českém zákoníku práce jakákoliv úprava této oblasti chybí. Úřad pro ochranu osobních údajů (ÚOOÚ) proto navrhl nové ustanovení, které by mělo stávající praxi zpracování biometrických údajů zaměstnanců legislativně ukotvit.

Biometrickými údaji se rozumí osobní údaje vyplývající ze zpracování fyzických nebo fyziologických znaků nebo znaků chování fyzické osoby, podle kterých je možné ji jednoznačně identifikovat. GDPR zpracování takovýchto údajů umožňuje pouze v několika případech. Jednou z těchto výjimek jsou účely plnění povinností a výkon zvláštních práv správce v oblasti pracovního práva, ovšem pouze za předpokladu, že je toto povoleno evropským právem nebo právem daného členského státu.

Protože české právo neobsahuje žádnou zvláštní úpravu zpracování biometrických údajů, navrhl ÚOOÚ přijmout nové ustanovení do zákoníku práce. Podle něj by byl zaměstnavatel oprávněn zpracovávat biometrické údaje užívající morfologické znaky zaměstnanců pro účely kontroly přístupu ke svým výrobním a jiným provozním zařízením a ke vstupu do svých objektů nebo jejich částí, kde jsou taková zařízení umístěna. Nebylo by tedy možné využívat tyto údaje zaměstnanců například pro účely vedení evidence docházky. Ostatní podmínky zpracování biometrických údajů zaměstnanců by se řídily obecnými ustanoveními GDPR.

Že specifická zákonná úprava zpracování biometrických údajů chybí, je patrné i z rozhodovací praxe Úřadu. Ten takové zpracování posuzoval v posledních měsících hned několikrát. V prvním případě šlo o využití dynamického biometrického podpisu k uzavření smlouvy o úvěru. Zde shledal, že biometrický podpis klienta byl pro účely uzavření a uchování smluvní dokumentace nadbytečný, a došlo tudíž k porušení zásady minimalizace zpracování osobních údajů.

V dalším případě Úřad prověřoval docházkový systém zaměstnavatele, umožňující zaznamenat čas příchodu a odchodu jednotlivých osob na stavbu, a to na základě rozpoznání jejich obličeje. Úřad takové zpracování biometrických údajů shledal výjimečně v souladu s právem, jelikož správce osobních údajů prokázal nezbytnost zpracování biometrických údajů pro účely zajištění bezpečnosti na rozsáhlém staveništi. Správce zároveň doložil, že nebylo možné dosáhnout daného účelu jinými, méně invazivními prostředky.

Je zřejmé, že praxe Úřadu při posuzování zpracování biometrických údajů nemusí být zcela jednotná, když na jedné straně navrhuje legislativní změnu z důvodu, že neexistuje žádný právní důvod pro zpracování biometrických údajů zaměstnanců, na druhé straně však při následné kontrole docházkového systému takové zpracování za účelem zajištění bezpečnosti na pracovišti povolí. Legislativní úprava v této oblasti může tedy přinést zaměstnavatelům větší jistotu.