MENU Zavřít

Evidence pracovní doby pomocí biometrických údajů zaměstnanců

  • JUDr. et Mgr. Eva Janečková
  • 23. 1. 2024
  • 6 minut čtení

Biometrické údaje zahrnují fyzické a fyziologické znaky nebo chování umožňující jedinečnou identifikaci osoby. Typické příklady zahrnují otisky prstů, strukturu obličeje, či hlas. V pracovněprávních vztazích jsou často využívány otisky prstů pro evidenci pracovní doby, ačkoliv to přináší specifická rizika. Při rozhodování o využívání biometrických systémů však musí zaměstnavatelé zvážit bezpečnost, nároky na souhlas zaměstnanců a další rizika spojená s těmito technologiemi. 

Co jsou biometrické údaje?  

Podle čl. 4 odst. 14 Obecného nařízení (GDPR) se „biometrickými údaji“ rozumí osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.

Jinak řečeno, biometrické osobní údaje lze definovat jako:  

  • biologické vlastnosti,
  • fyziologické rysy,
  • znaky živého organismu
  • nebo opakovatelné úkony,

které jsou jedinečné pro daného jednotlivce a současně měřitelné, bez ohledu na to, že technické metody k jejich měření používané v praxi zahrnují určitou míru pravděpodobnosti.

K typickým příkladům biometrických údajů patří:  

  • otisky prstů,
  • struktura sítnice,
  • struktura obličeje či hlas,
  • geometrie ruky,
  • struktura žil,
  • nebo dokonce některé hluboce zakořeněné dovednosti či jiné behaviorální rysy (například vlastnoruční podpis, úhozy na klávesnici, charakteristický způsob chůze nebo řeči atd.). 

V pracovněprávních vztazích jsou nejčastěji využívané otisky prstů, a to za účelem vedení evidence pracovní doby.

Přihlaste se k odběru newsletteru a získávejte informace o HR novinkách včas.

Forma evidence pracovní doby 

Evidenci pracovní doby je zaměstnavatel povinen vést podle § 96 zákoníku práce. Toto ustanovení jednoznačně vypočítává, jaké údaje má v souvislosti s pracovní dobou zaměstnance zaměstnavatel vést.

Formy evidence pracovní doby zákoník práce ale nestanovuje a záleží výhradně na rozhodnutí zaměstnavatele, jaký způsob evidence zvolí. Může se jednat o jakýkoliv způsob, podmínkou je pouze to, aby byl zvolený způsob průkazný a vypovídal o tom, zda zaměstnanec odpracoval stanovenou týdenní nebo dohodnutou pracovní dobu, zda konal práci přesčas a v jakém rozsahu atd.

Tip: Mzdový a personální systém Vema nabízí aplikaci Docházkový systém, která efektivně zaznamenává příchody a odchody zaměstnanců včetně evidence všech přerušení pracovní doby. Získaná data lze následně využít jako podklad pro zpracování mezd. 

V posledních letech se výrazně rozšiřuje technická i finanční dostupnost technologických řešení využívajících biometrické údaje osob, zejména otisky prstů. Zaměstnavatelé proto často sahají právě po těchto systémech, o kterých předpokládají, že je zaměstnanci nedokážou obejít a údaje o odpracované doby měnit.

Přečtěte si také: Jak se liší evidence docházky a evidence pracovní doby? 

Zpracování biometrických údajů zaměstnavatelem 

Je třeba si uvědomit, že na zpracování otisků prstů je nutno klást zvýšené nároky, neboť se jedná o zvláštní kategorie osobních údajů dle čl. 9 Obecného nařízení (GDPR), a to bez ohledu na to, že je v systému otisk prstu převáděn do číselné podoby (tzv. hash).

Zpracování biometrických údajů s sebou obecně přináší řadu problematických prvků:  

  • Předně je třeba uvést, že tyto systémy samy o sobě v žádném případě větší bezpečnost nezajišťují. Biometrická identifikace či autentizace je založena na pravděpodobnosti, a proto vždy existuje i určitá míra chybovosti.  
  • Současně prokazatelně existují postupy a techniky, které umožňují obejít biometrické autentizační systémy a předstírat identitu jiné osoby.
  • Navíc, na rozdíl například od systémů založených na heslu, jednou kompromitovaná biometrická informace nemůže být změněna nebo zrušena.
  • Neoprávněný přístup k biometrickým údajům v systému také může umožnit nebo ulehčit přístup k dalším systémům užívajícím tytéž biometrické údaje.  

Všechny tyto skutečnosti musí správce (zaměstnavatel) v případě rozhodování o použití systému vzít v úvahu.

K podmínkám, za nichž lze obdobné systémy zavést, se vyjádřil také Úřad pro ochranu osobních údajů, podle něhož je nezbytné posoudit přiměřenost konkrétního řešení a rizik s ním spojených, vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními a také průběžně posuzovat účinnost systému.

Jaký je možný právní titul pro zpracování otisků prstů? 

Pokud posoudíme právní tituly pro zpracování osobních údajů, jak je uvádí čl. 6 Obecného nařízení (GDPR), musíme dojít nutně k závěru, že jediným použitelným titulem je písm. a), tedy souhlas subjektu údajů.

Čl. 7 téhož právního předpisu klade na souhlas značné nároky. Mimo jiné subjekt údajů musí mít možnost souhlas neudělit a nebýt tím nijak poškozen, a zejména musí být řádně informován o účelu zpracování. Splnění podmínek pro řádné udělení souhlasu je přitom správce povinen kdykoli prokázat.  

Ohledně zpracování dalších osobních údajů zaměstnanců si přečtěte články:

Zpracování osobních údajů při náboru zaměstnanců: Jaké jsou povinnosti a možnosti zaměstnavatele? nebo Zpracování osobních údajů zaměstnanců v průběhu pracovního poměru. 

Je evidence pracovní doby pomocí biometrických údajů správná volba? Posuďte sami 

Z výše uvedeného vyplývá, že zaměstnavatel coby správce osobních údajů musí být připraven vést evidenci pracovní doby i jiným způsobem pro případ, že zaměstnanec odmítne souhlas se zpracováním otisků prstů udělit. Nabízí se pak otázka, jestli je smysluplné zavádět evidenční systém, když je předem jasné, že nemusí být jediný.

Dalším problematickým aspektem je, že správce odpovídá za kompletní zvolené technické řešení. To platí i v případě, že systém dodá třetí strana - dodavatel a správce v podstatě nemůže (s ohledem na své technické možnosti) prověřit např. jeho zabezpečení. Proto je třeba klást vysoké požadavky na smlouvy s dodavateli, aby pokrývaly i případné nároky, které by vůči nim mohly vzniknout (nejen) při případném porušení povinností při zpracování osobních údajů.

V případě, že bude dodavatel při zpracování v postavení zpracovatele, je dále třeba zajistit, aby poskytoval dostatečné záruky, že zpracování bude odpovídat požadavkům Obecného nařízení (GDPR). Současně je třeba uzavřít smlouvu o zpracování se všemi stanovenými náležitostmi, jak je vyžaduje čl. 28 Obecného nařízení (GDPR).

Dále je správce povinen posoudit, zda jím zamýšlené zpracování podléhá posouzení vlivu na ochranu osobních údajů, a pokud ano, posouzení řádně provést. Musí také přijmout technická a organizační opatření odpovídající rizikům, které zpracování pro subjekty údajů přináší (a jejich přijetí kdykoli doložit).

Je také třeba nastavit procesy, které zajistí, že osobní údaje budou bez zbytečného odkladu smazány.

Podobné
články

Systém Vema vám přináší Seyfor