אישור כחריג לעיבוד נתונים ביומטריים

לאחרונה הטילה הרשות ההולנדית להגנת נתונים (AP) קנס גדול, כלומר 725,000 יורו, על חברה שסרקה טביעות אצבעות של עובדים לצורך נוכחות ורישום זמן. נתונים ביומטריים, כגון טביעת אצבע, הם נתונים אישיים מיוחדים כמשמעותם בסעיף 9 GDPR. אלה מאפיינים ייחודיים הניתנים לאיתור לאדם ספציפי אחד. עם זאת, נתונים אלה מכילים לעיתים קרובות יותר מידע מהנדרש לצורך זיהוי, למשל. עיבודם מהווה אפוא סיכונים גדולים בתחום זכויות יסוד וחירויות של אנשים. אם נתונים אלה נתונים לידיים הלא נכונות, הדבר עלול להוביל לנזק בלתי הפיך. לפיכך, נתונים ביומטריים מוגנים היטב ועיבודם אסור על פי סעיף 9 GDPR, אלא אם כן יש חריג חוקי לכך. במקרה זה, AP סיכמה כי החברה המדוברת אינה זכאית ל יוצא מן הכלל לעיבוד נתונים אישיים מיוחדים.

על טביעת האצבע בהקשר של ה- GDPR ואחד החריגים, היינו הכרח, כתבנו בעבר באחד הבלוגים שלנו: 'טביעת אצבע בניגוד ל- GDPR'. בלוג זה מתמקד בקרקע האלטרנטיבית הנוספת האחרת: רשות. כאשר מעסיק משתמש בנתונים ביומטריים כמו טביעות אצבעות בחברה שלו, האם הוא יכול, ביחס לפרטיות, להסתפק ברשות עובדו?

אישור כחריג לעיבוד נתונים ביומטריים

ברשות פירושו א ספציפי, מושכל וחד משמעי ביטוי רצון בעזרתו מישהו מקבל עיבוד של נתונים אישיים שלו בהצהרה או בפעולה פעילה חד משמעית, על פי סעיף 4, סעיף 11, GDPR. במסגרת חריג זה, על המעביד לפיכך לא רק להראות כי עובדיו העניקו אישור, אלא גם כי הדבר היה חד משמעי, ספציפי ומושכל. חתימת חוזה ההעסקה או קבלת מדריך כוח האדם בו המעסיק רק רשם את הכוונה להיכנס לחלוטין עם טביעת האצבע, אינה מספיקה בהקשר זה, סיכמו אנשי ה- AP. לראיה, על המעביד, למשל, להגיש מדיניות, נהלים או תיעוד אחר, אשר מראה כי עובדיו עוברים די מידע על עיבוד הנתונים הביומטריים וכי הם גם נתנו (מפורש) אישור לעיבודם.

אם ההרשאה ניתנת על ידי העובד, היא צריכה להיות לא רק 'מפורש' אבל גם 'ניתן בחופשיותעל פי AP. 'מפורש' הוא, למשל, הרשאה בכתב, חתימה, שליחת דוא"ל למתן הרשאה, או הרשאה עם אימות דו-שלבי. פירושו 'נתון בחופשיות' כי לא חייבת להיות כפייה מאחוריו (כפי שהיה במקרה הנדון: כאשר מסרבים לסרוק את טביעת האצבע, מתקיימת שיחה עם המנהל / הדירקטוריון) או שהרשאה עשויה להיות תנאי למשהו שונה. התנאי "שניתן בחופשיות" ממילא לא מתקיים על ידי המעסיק כאשר העובדים מחויבים או, כמו במקרה הנדון, חווים זאת כחובה להירשם של טביעת האצבע שלהם. באופן כללי, על פי דרישה זו, AP סבר כי לאור התלות הנובעת מהיחסים בין המעסיק לעובד, אין זה סביר שהעובד יוכל להעניק באופן חופשי את הסכמתו. את ההפך יצטרך להוכיח המעביד.

האם עובד מבקש אישור מעובדיו לעבד את טביעת האצבע שלהם? ואז ה- AP לומד בהקשר של מקרה זה שבאופן עקרוני אסור לעשות זאת. אחרי הכל, העובדים תלויים במעבידם ולכן הם לרוב אינם במצב לסרב. אין זה אומר כי המעסיק לעולם אינו יכול לסמוך בהצלחה על קרקע ההרשאה. עם זאת, על המעסיק להיות בעל ראיות מספיקות בכדי להגיש את ערעורו על בסיס הסכמה להצליח, על מנת לעבד נתונים ביומטריים של עובדיו, כגון טביעות אצבעות. האם אתה מתכוון להשתמש בנתונים ביומטריים בתוך החברה שלך, או האם המעסיק שלך מבקש ממך רשות להשתמש בטביעת האצבע שלך, למשל? במקרה זה, חשוב לא לפעול באופן מיידי ולתת רשות, אלא ליידע אותו תחילה. Law & More עורכי דין מומחים בתחום הפרטיות ויכולים לספק לך מידע. יש לך שאלות נוספות בנושא הבלוג הזה? אנא צור קשר Law & More.

שתפו אותי