Docházkové systémy využívající biometrických údajů zaměstnanců z pohledu GDPR

V souvislosti s nabytím účinnosti nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů, angl. General Data Protection Regulation) (dále též „GDPR“) vyvstala otázka, jakými způsoby budou nadále moci zaměstnavatelé vykonávat svou povinnost vedení evidence odpracované doby zaměstnanců dle § 96 odst. 1 zákona č. 262/2006 Sb., zákoník práce (dále též „zákoník práce“).

Advokátní kancelář Kříž a partneři s.r.o.

Zaměstnavatelé dosud plnili uvedenou povinnost zpravidla třemi různými způsoby. Dříve nejrozšířenější způsob, kdy si zaměstnanci zapisují příchod na pracoviště a odchod z něj do docházkové knihy, dnes nahrazují systémy, kdy jsou zaměstnanci při příchodu a při odchodu identifikování prostřednictvím karty nebo čipu. V poslední době zažívá boom identifikace osob a evidence jejich odpracované doby pomocí biometrických údajů. Taková praxe však od 25. května 2018 naráží na některé zákonné limity.

Obecné nařízení GDPR řadí biometrické údaje do zvláštní kategorie osobních údajů mezi tzv. údaje citlivé, jejichž zpracovávání je dle čl. 9 odst. 1 GDPR a priori zakázáno.

Nařízení GDPR ve svém článku 9 odst. 2 písm. b) přepokládá umožnění výjimky, dle které se výše citovaný odstavec 1 nepoužije, pokud je zpracování nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů.

Český právní řád však s touto úpravou nepočítá, nicméně v zájmu snížení dopadů povinností kladených na zaměstnavatele se do budoucna jeví jako vhodné tuto výjimku společně s jejími limity zapracovat do zákoníku práce při jeho nejbližší další novelizaci.

Zaměstnavatel je tedy dle čl. 9 odst. 2 písm. a) GDPR oprávněn provozovat docházkový systém využívající biometrické údaje pouze po udělení předchozího výslovného souhlasu ze strany subjektu údajů. Takový souhlas však musí být dle čl. 7 odst. 4 GDPR udělen svobodně.

Není však jasně vyřešeno, zda za svobodně udělený souhlas lze považovat souhlas udělený v rámci výkonu závislé práce. Zákoník práce bez dalšího považuje zaměstnance za slabší smluvní stranu a chrání ho i proti jeho vůli, neboť může z důvodu existenční závislosti na odměně za práci souhlasit s podmínkami zásadně zkracujícími jeho práva. Není proto vyloučen výklad, že se zaměstnanecpráva na ochranu svých citlivých údajů nemůže vzdát. Zákonná úprava ani rozhodovací praxe se dosud s otázkou platnosti takto uděleného souhlasu nevypořádaly.

Podle stanoviska č. 1/2017 Úřadu na ochranu osobních údajů je udělení souhlasu se zpracováním biometrických údajů přípustné, musí však být uděleno za dovoleným účelem. Tento postup tedy lze používat pouze ve výjimečných situacích a zpravidla pro omezených okruh zaměstnanců, po nichž je možné s ohledem na konkrétní skutkové okolnosti identifikaci pomocí biometrických údajů oprávněně požadovat, a to po tzv. vypracování posouzení vlivu na ochranu osobních údajů.

Závěrem tedy lze shrnout, že dokud nebude přijata podrobnější právní úprava, bude provozování docházkového systému založeného na identifikaci osob pomocí zpracování biometrických údajů možné pouze výjimečně a s předem poskytnutým informovaným souhlasem subjektu údajů.