Pontaj pe baza de amprenta. Respecta regulamentul GDPR? Ca masuri ar trebui luate?

Incepem prin a mentiona ca sistemul pentru pontaj in functie de amprenta digitala reprezinta o monitorizare de date biometrice.

ATENTIE!

Exista limitari in ceea ce priveste maniera in care consimtamantul poate fi invocat in contextul relatiei de munca pentru a justifica prelucrarea datelor cu caracter personal. Pentru a fi valabil, in sensul legislatiei privind protectia datelor (GDPR), consimtamantul trebuie sa fie acordat in mod liber, ceea ce este mai dificil de probat in mediul de munca.


"Va rugam sa ne spuneti cum am putea rezolva situatia pontajului pe baza de amprenta? Sistemul utilizat de noi permite si alocarea unui cod unic (PIN) de 4 cifre, unic salariat care ar putea fi introdus in sistem la venirea si plecarea de la program. Trebuie sa cer acordul salariatilor pentru utilizarea amprentei (la introducerea in sistem se amprenteaza salariatul apoi este generat codul PIN)? Autoritatea de supraveghere va putea ridica obiectii daca am acordul prealabil al salariatilor pentru utilizarea amprentei? Si pentru faptul ca fiecare salariat are posibilitatea sa-si introduca codul PIN alocat sau amprenta pentru a se inregistra la venirea/plecarea la si de la munca?"



Raspunsul specialistilor PortalProtectiaDatelor:


Tineti cont ca odata dat, consimtamantul poate fi si retras. In orice caz, puteti justifica monitorizarea pe baza unei evaluari a impactului, situatie in care apreciem ca nu veti avea in general nevoie de consimtamantul angajatilor.

Suplimentar, temeiul legal al prelucrarii poate fi reprezentat de dispozitiile art. 119 din Codul Muncii, iar fundamentul legalitatii prelucrarii datelor cu caracter personal il constituie dispozitiile art. 6 alin. 1 lit. b) (prelucrare necesara pentru executarea contractului), art. 9 alin. 2 lit. b) (prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale, in masura in care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munca incheiat in temeiul dreptului intern care prevede garantii adecvate pentru drepturile fundamentale si interesele persoanei vizate) si art. 22 alin. 2 lit. a) din Regulamentul (UE) 679/2019, sub rezerva instituirii de masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate.


IMPORTANT!

In cazul in care exista un contract sau un acord colectiv, se poate detalia in cuprinsul sau modul in care se prelucreaza datele personale ale angajatilor prin monitorizare, asigurandu-se, concomitent, protectia drepturilor si libertatilor fundamentale, in timp ce prin regulamentul intern se precizeaza (concretizeaza) aspectele referitoare la monitorizarea propriu-zisa (reguli concrete pe ateliere, sectii, birouri, servicii, departamente, locuri de munca).


Daca NU exista contract colectiv de munca, toate problemele referitoare la monitorizare ar trebui cuprinse in regulamentul intern (interes/scop, modalitati, durata, exceptii, consecinte, stocarea si prelucrarea datelor cu caracter personal).

Mai recomandam documentarea unor temeiuri suplimentare care sa vina in sprijinul prelucrarii datelor cu caracter personal prin monitorizare, si anume, reglementarea in regulamentul intern a unor reguli de disciplina a muncii pentru verificarea respectarii carora ar fi necesara monitorizarea biometrica a amprentei. Recomandam de asemenea sa consultati si dispozitiile art. 5 din Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679.



Sursa: PortalProtectiaDatelor