V poslednej dobe zamestnávatelia, z dôvodu väčšej kontroly a za účelom zamedziť podvodom zo strany zamestnancov pri zapisovaní pracovného času, čoraz viac využívajú dochádzkové systémy s biometriou. Je ich používanie na účely evidencie dochádzky v súlade s GDPR?
Povinnosť zamestnávateľa evidovať pracovný čas
Povinnosť evidovať dochádzku zamestnancov vyplýva zamestnávateľovi zo zákona č. 311/2001 Z. z. Zákonníka práce (ďalej len „Zákonník práce“).
Podľa § 99 Zákonníka práce: „Zamestnávateľ je povinný viesť evidenciu pracovného času, práce nadčas, nočnej práce, aktívnej časti a neaktívnej časti pracovnej pohotovosti zamestnanca tak, aby bol zaznamenaný začiatok a koniec časového úseku, v ktorom zamestnanec vykonával prácu alebo mal nariadenú alebo dohodnutú pracovnú pohotovosť.“
Dochádzku môže zamestnávateľ evidovať v listinnej podobe (zapisovaním do knihy dochádzky) alebo elektronicky. Použitie elektronického dochádzkového systému je efektívnejšie pre zamestnávateľa, technické zariadenia evidujú príchody a odchody zamestnancov, pričom výstupy sa dajú importovať priamo do mzdového softvéru. Moderné dochádzkové systémy pracujú s ID kartami alebo s biometriou.
Dochádzkové systémy s biometriou umožňujú jednoznačnú identifikáciu zamestnanca na základe jeho biometrických znakov. Môže ísť o tieto jedinečné znaky:
- odtlačok prsta,
- geometria ruky (napr. mapa žíl na dlani ruke),
- štruktúra sietnice alebo dúhovky oka,
- črty tváre (rozmery hlavy, poloha očí, nosa),
Najčastejšie sú používané biometrické dochádzkové systémy, ktoré snímajú odtlačok prsta alebo črty tváre.
Čo sú to biometrické údaje
Podľa Čl. 4 ods. 14 GDPR: „biometrické údaje sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje“.
Biometrické údaje sa zaraďujú do osobitnej kategórie osobných údajov a GDPR zakazuje ich spracúvanie. Podľa Čl. 9 ods. 2 GDPR sa zákaz neuplatňuje, ak platí niektorá z týchto podmienok:
- dotknutá osoba vyjadrila výslovný súhlas so spracúvaním jej osobných údajov na daný účel,
- spracúvanie je nevyhnuté na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnuté na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas,
- spracúvanie vykonáva v rámci svojej zákonnej činnosti nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu,
- spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
- spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc,
- spracúvanie je nevyhnuté z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnuté na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v Čl. 9 ods. 3 GDPR,
- spracúvanie je nevyhnuté z dôvodov verejného záujmu v oblasti verejného zdravia,
- spracúvanie je nevyhnuté na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely.
Z uvedených výnimiek je zrejmé, že biometrické údaje sa môžu spracúvať len vo výnimočných prípadoch. Spracúvanie biometrických údajov na účel evidencie dochádzky nie je nevyhnutné na naplnenie účelu evidencie zamestnancov. Je to v rozpore so zásadou primeranosti a nevyhnutnosti spracúvania.
Ak by zamestnávateľ na použitie biometrického dochádzkového systému napríklad využil právny základ oprávnený záujem za účelom zamedziť podvodom zo strany zamestnancov pri zapisovaní pracovného času a tým pádom zefektívnením produktivity práce, je otázne, či by tento prínos pre zamestnávateľa prevažoval nad právami a slobodami dotknutej osoby (zamestnanca). Bude si to musieť obhájiť kvalitne vypracovanou DPIA anaýzou. Treba si uvedomiť, že daný účel sa dá naplniť aj menej invazívnym spôsobom, s menším dopadom na ochranu súkromia zamestnanca, nie snímaním jeho biometrických údajov.
Autorka: Ing. Marcela Ilavská