Má zamestnávateľ právo evidovať dochádzku pomocou biometrie?

V tejto súvislosti sa čoraz častejšie stretávame s evidenciou dochádzky na biometriu. Zamestnanec nemusí nosiť identifikačnú kartičku, ktorú môže stratiť alebo poškodiť. Zároveň sa tým zamestnávatelia chcú vyhnúť situácii, kedy príchod alebo odchod zamestnanca zaeviduje do systému iný, ktorému ten prvý len požičal svoju kartičku. A preto si povedia: „Na čo kartička, keď každý z nás má jedinečný kód v podobe otlačku prsta?“ Správnou otázkou však je: „Môžem tieto informácie o svojich zamestnancoch zbierať? Pokiaľ mi odmietnu dať súhlas, môžem ich „nútiť“? Môžem s nimi ukončiť pracovnoprávny vzťah?“

V tejto súvislosti nezabúdajme na stále rezonujúcu úpravu ochrany osobných údajov. Pri zbieraní osobných údajov by sa mal každý zamestnávateľ riadiť zákonom č. 311/2001 Z. z. Zákonník práce v platnom znení (ďalej len ako „Zákonník práce“) a všade prítomným zákonom č. 18/2018 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len ako „zákon o ochrane osobných údajov“) v spojení s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – ďalej len ako „nariadenie GDPR“). Vždy, pokiaľ chcem nejaký údaj o fyzickej osobe spracúvať, musím vedieť, či je to v súlade so zákonom o ochrane osobných údajov a nariadením GDPR a pokiaľ to neviem, musím si to zistiť.

Ako zistím, či údaj, ktorý žiadam je osobným údajom?

§ 2 zákona o ochrane osobných údajov a čl. 4 ods. 1 nariadenia GDPR definuje osobný údaj ako údaj, ktorý sa týka identifikovanej alebo identifikovateľnej fyzickej osoby, vrátane fyziologickej a genetickej identity. Odtlačok prsta je tak jedinečný, že bez ďalšieho môžeme prehlásiť, že fyzickú osobu identifikuje, a teda je považovaný za osobný údaj.

Odtlačok prsta je však v zmysle definície aj biometrickým údajom (čl. 4 písm. 14. nariadenia GDPR a § 5 písm. c) zákona o spracúvaní osobných údajov), keďže ide o charakteristický znak fyzickej osoby umožňujúci jej jedinečnú identifikáciu. Biometrické údaje spadajú do tzv. osobitnej kategórie osobných údajov  a ich spracúvanie je zakázané, okrem výnimiek uvedených v § 16 ods. 1 zákona o ochrane osobných údajov, resp. čl. 9 ods. 2 nariadenia GDPR.

Osobitná kategória osobných údajov

Keď chce niekto spracovávať osobitnú kategóriu osobných údajov, je  potrebné mať skutočne dobrý dôvod a vedieť ho obhájiť. Spracúvať databázu odtlačkov prstov zamestnancov je dosť veľké „sústo“ a okrem aplikácie základných zásad spracovania osobných údajov a prijatia technických a organizačných opatrení je na mieste otázka – Máte na to ako zamestnávateľ právo?

Máte, ak údaje spracúvate na jednom z týchto právnych základov spracúvania:

1. výslovný súhlas dotknutej osoby;
2. plnenie povinností a výkon osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa platnej legislatívy;
3. ochrana života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby;
4. spracúvanie v rámci oprávnenej činnosti občianskeho združenia, nadácie alebo neziskovej organizácie, politickej strany alebo politického hnutia, odborovej organizácie, štátom uznanej cirkvi alebo náboženskej spoločnosti a toto spracúvanie sa týka iba ich členov alebo fyzických osôb, ktoré sú s nimi v pravidelnom styku, výlučne pre ich vnútornú potrebu;
5. osobné údaje dotknutá osoba preukázateľne zverejnila;
6. uplatnenie právneho nároku alebo výkon súdnej právomoci;
7. verejný záujem na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
8. účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo vykonávania verejného zdravotného poistenia;
9. účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi;
10. verejný záujem v oblasti verejného zdravia;
11. účel archivácie, vedecký účel, účel historického výskumu alebo štatistický účel podľa platnej legislatívy.

Zamestnávateľ sa však len veľmi ťažko vie dostať pod niektorý z vyššie uvedených bodov. Spracovanie osobných údajov výlučne na identifikáciu fyzickej osoby a overenie jej identifikácie na účely dochádzky nespadá pod cielenú ochranu týchto citlivých osobných údajov.

Jedinou výnimkou, ktorá by bola pre zamestnávateľa aplikovateľná, je výslovný súhlas dotknutej osoby. V tomto prípade však upozorňujeme na dva aspekty súhlasu:

1. nevhodnosť súhlasu medzi zamestnancom a zamestnávateľom
2. podmienky výslovného súhlasu

Nevhodnosť súhlasu medzi zamestnancom a zamestnávateľom

Vzťah zamestnávateľa a zamestnanca je vzťahom medzi nerovnocennými subjektami. Vždy ide o vzťah medzi silnejším a slabším subjektom, nakoľko zamestnanec si nie je vždy vedomý svojich práv a je predpoklad, že za účelom získania pracovného miesta bude ľahšie manipulovateľný. Aj z tohto dôvodu by malo byť spracúvanie osobných údajov medzi zamestnancom a zamestnávateľom na základe súhlasu obmedzené na absolútne minimum, lebo je pravdepodobné, že zamestnanec poskytne súhlas automaticky, bez uváženia dôsledkov.

Súhlas by mal byť daný výslovne a dobrovoľne a malo by byť zrejmé, že dotknutá osoba si je vedomá účelu spracovania osobných údajov, ako aj svojich práv s tým súvisiacich. Vzhľadom na skutočnosť, že by sa takýto súhlas vyžadoval pri podpisovaní pracovnej zmluvy, je viac ako možné, že dobrovoľnosť súhlasu bude spochybnená. Zároveň to vyvoláva otázku, či zamestnanec mal možnosť odmietnuť poskytnúť tento súhlas, a ak by odmietol, či by aj napriek tomu bola pracovná zmluva podpísaná. Prax európskych úradov na ochranu osobných údajov ukazuje, že súhlas daný zamestnancom sa a priori nepovažuje za slobodne daný a zamestnávatelia majú sťaženú pozíciu pri preukazovaní opaku, v dôsledku čoho sú im často ukladané pokuty za porušenie podmienok spracúvania osobných údajov.

Teoreticky prichádza do úvahy situácia, ak by mal zamestnávateľ aj inú možnosť evidencie dochádzky a zamestnanec by si mohol vybrať, je veľký predpoklad, že nie všetci zamestnanci by súhlasili s dochádzkou na biometriu. V takom prípade by zamestnávateľ vedel preukázať, že súhlasy, ktoré má, boli naozaj získané na základe slobodnej voľby zamestnanca. Na druhej strane by sa však dostal do situácie, kedy by úrad mohol vysloviť, že spracúvanie biometrických údajov na účely dochádzky je v rozpore so zásadou minimalizácie spracúvania osobných údajov, nakoľko má zavedený aj menej invazívny spôsob, ktorý je v jeho podmienkach aplikovateľný.

Podmienky udelenia výslovného súhlasu

Súhlas by mal byť jasným, nespochybniteľným prejavom vôle osoby, ktorá ho udeľuje. Tento úkon by mal byť uskutočnený slobodne a dotknutá osoba má jednoznačne súhlasiť s konkrétnym účelom spracúvania. Dotknutá osoba musí byť o spracúvaní osobných údajov informovaná a celý súhlas musí byť koncipovaný zrozumiteľne a primerane jej postaveniu, vzdelaniu a schopnostiam vnímať zmysel a obsah podanej informácie.

So spracúvaním osobných údajov na základe súhlasu sú však spojené aj určité práva dotknutej osoby:

• možnosť neposkytnúť súhlas, pričom to nesmie ovplyvniť vzťah so zamestnávateľom, teda zamestnanec za svoje rozhodnutie nesmie byť nijak sankcionovaný,
• v prípade poskytnutia súhlasu,  právo kedykoľvek svoj súhlas odvolať. Po odvolaní súhlasu už nebude existovať žiaden právny dôvod na spracúvanie osobných údajov a zamestnanec musí mať možnosť evidovať si dochádzku iným spôsobom.

Pokiaľ dotknutá osoba odvolá súhlas so spracovaním osobných údajov a následne požiada o výmaz osobných údajov, je zamestnávateľ povinný tak urobiť bez zbytočného odkladu, okrem prípadov, kedy je možné toto právo v zmysle platnej legislatívy neuplatniť.

Kedy by zamestnávateľ mohol spracúvať biometrické údaje?

Z vyššie uvedeného vyplýva, že pokiaľ chce zamestnávateľ prejsť na biometrický spôsob evidencie pracovného času, mal by si veľmi dobre zvážiť všetky riziká a podmienky s tým súvisiace. S modernými technológiami je totiž stále častejšie skloňovaná práve ochrana práv človeka na súkromie a osobné údaje.

Z aplikačnej praxe vyplýva, že spracúvanie biometrických údajov zamestnávateľom je komplikované a obmedzené skutočne na najnevyhnutnejšie situácie, kedy je potrebné striktne dbať na bezpečnosť. Evidencia dochádzky pod takéto prípady spadať nebude, nakoľko slúži len na vedenie informácií o tom, či sa zamestnanec v konkrétny deň nachádzal na pracovisku, resp. vykonával pre zamestnávateľa prácu alebo nie a pre tieto účely má zamestnávateľ možnosť zaviesť oveľa menej invazívne spôsoby (napr. dochádzková kniha, dochádzkový softvér prístupný pomocou jedinečného mena a hesla pod.). Pre spracúvanie biometrických údajov prichádzajú do úvahy skôr situácie, kedy je nevyhnutné umožniť prístup na určité miesta len vyhradenej skupine ľudí (napr. v jadrovej elektrárni, k trezoru v banke a pod.). Pre účely evidencie dochádzky preto tento spôsob nie je odporúčaný.