Gần đây, Cơ quan bảo vệ dữ liệu Hà Lan (AP) đã phạt một khoản tiền phạt lớn, cụ thể là 725,000 euro, đối với một công ty quét dấu vân tay của nhân viên để tham dự và đăng ký thời gian. Dữ liệu sinh trắc học, chẳng hạn như dấu vân tay, là dữ liệu cá nhân đặc biệt theo nghĩa của Điều 9 GDPR. Đây là những đặc điểm độc đáo có thể bắt nguồn từ một người cụ thể. Tuy nhiên, dữ liệu này thường chứa nhiều thông tin hơn mức cần thiết, ví dụ, nhận dạng. Do đó, việc xử lý của họ gây ra rủi ro lớn trong lĩnh vực quyền và tự do cơ bản của người dân. Nếu những dữ liệu này rơi vào tay kẻ xấu, điều này có khả năng dẫn đến thiệt hại không thể khắc phục. Do đó, dữ liệu sinh trắc học được bảo vệ tốt và việc xử lý dữ liệu bị cấm theo Điều 9 GDPR, trừ khi có ngoại lệ pháp lý cho việc này. Trong trường hợp này, AP kết luận rằng công ty đang nghi vấn không được quyền ngoại lệ để xử lý dữ liệu cá nhân đặc biệt.
vân tay
Về dấu vân tay trong bối cảnh GDPR và một trong những trường hợp ngoại lệ, cụ thể là sự cần thiết, trước đây chúng tôi đã viết trên một trong các blog của mình: 'Dấu vân tay vi phạm GDPR'. Blog này tập trung vào mặt bằng thay thế khác cho ngoại lệ: cho phép. Khi một chủ nhân sử dụng dữ liệu sinh trắc học như dấu vân tay trong công ty của mình, anh ta có thể, liên quan đến quyền riêng tư, có đủ sự cho phép của nhân viên của mình không?
Theo sự cho phép có nghĩa là một cụ thể, thông tin và rõ ràng bày tỏ ý chí theo đó ai đó chấp nhận xử lý dữ liệu cá nhân của mình bằng tuyên bố hoặc hành động tích cực rõ ràng, theo Điều 4, mục 11, GDPR. Do đó, trong bối cảnh của ngoại lệ này, người sử dụng lao động không chỉ phải chứng minh rằng nhân viên của mình đã được cấp phép, mà còn điều này rõ ràng, cụ thể và được thông báo. Việc ký hợp đồng lao động hoặc nhận sổ tay nhân sự trong đó chủ lao động chỉ ghi lại ý định đồng hồ hoàn toàn bằng dấu vân tay, là không đủ trong bối cảnh này, AP kết luận. Để làm bằng chứng, người sử dụng lao động phải, ví dụ, gửi chính sách, thủ tục hoặc tài liệu khác, cho thấy nhân viên của anh ta được thông báo đầy đủ về việc xử lý dữ liệu sinh trắc học và họ cũng đã cho phép (rõ ràng) cho việc xử lý.
Nếu sự cho phép được cấp bởi nhân viên, nó không chỉ phải là 'rõ ràng' nhưng cũng 'tự do đưa ra', theo AP. 'Rõ ràng' là, ví dụ, cho phép bằng văn bản, chữ ký, gửi email để cấp quyền hoặc cho phép với xác minh hai bước. 'Được cho phép một cách tự do' có nghĩa là không có sự ép buộc đằng sau nó (như trường hợp được đề cập: khi từ chối quét dấu vân tay, hãy nói chuyện với giám đốc / hội đồng quản trị) hoặc sự cho phép đó có thể là điều kiện cho một cái gì đó khác nhau. Điều kiện 'được đưa ra tự do' trong mọi trường hợp không được người sử dụng lao động đáp ứng khi người lao động có nghĩa vụ hoặc, như trong trường hợp được đề cập, trải nghiệm đó như một nghĩa vụ phải ghi lại dấu vân tay của họ. Nói chung, theo yêu cầu này, AP cho rằng với sự phụ thuộc do mối quan hệ giữa người sử dụng lao động và người lao động, người lao động khó có thể tự do đồng ý. Điều ngược lại sẽ phải được chứng minh bởi nhà tuyển dụng.
Nhân viên có yêu cầu nhân viên cho phép xử lý dấu vân tay của họ không? Sau đó, AP học được trong bối cảnh của trường hợp này rằng về nguyên tắc điều này không được phép. Xét cho cùng, nhân viên phụ thuộc vào người sử dụng lao động của họ và do đó thường không có tư cách để từ chối. Điều này không có nghĩa là người sử dụng lao động không bao giờ có thể thành công dựa trên cơ sở cho phép. Tuy nhiên, người sử dụng lao động phải có đủ bằng chứng để kháng nghị trên cơ sở đồng ý thành công, để xử lý dữ liệu sinh trắc học của nhân viên, chẳng hạn như dấu vân tay. Bạn có ý định sử dụng dữ liệu sinh trắc học trong công ty của mình hay chủ nhân của bạn có yêu cầu bạn cho phép sử dụng dấu vân tay của bạn không? Trong trường hợp đó, điều quan trọng là không phải hành động ngay lập tức và cấp phép, mà trước tiên phải được thông báo đúng cách. Law & More luật sư là chuyên gia trong lĩnh vực bảo mật và có thể cung cấp thông tin cho bạn. Bạn có câu hỏi nào khác về blog này không? Vui lòng liên hệ Law & More.