avocatnet.ro 
În raportul de activitate al Autorității de Protecția Datelor (ANSPDCP) pe 2018 regăsim o sancțiune impusă unei companii private care se folosea de un sistem de recunoaștere facială pentru pontajul angajaților, printre altele. Situația a fost tranșată în instanță, unde s-a dat dreptate Autorității: compania a adoptat un mecanism care prelucra excesiv date personale - și nu orice fel de date, ci date biometrice, adică date personale sensibile - pentru atingerea unui scop când putea să aleagă alte variante, mai puțin excesive, ca să-și atingă scopul.
Folosirea imaginilor faciale ale angajaților în contextul evidenței orelor de muncă și a identificării lor la biou, chiar și în contextul unui consimțământ al angajaților, așa cum a fost cazul în speța respectivă, este o măsură disproporționată, aflăm din raportul Autorității. Compania care recurge la astfel de măsuri se poate salva de o sancțiune GDPR dacă face dovada că nu putea prin niciun alt mijloc să-și atingă scopul respectiv.
"Astfel, dacă scopul prelucrării presupune identificarea persoanelor fizice, în speţă angajații operatorului, în scopul permiterii accesului acestora în locațiile sale, precum și pontarea angajaților ca urmare a identificării acestora la intrarea în locațiile deținute, se poate presupune că operatorul dispune de mijloace «care pot fi utilizate în mod rezonabil» pentru a identifica persoana vizată (...)
Aspectele privind existența consimțământului angajaților sau notificarea autorității sunt nerelevante în acest context întrucât pentru înlăturarea răspunderii trebuia arătat și dovedit de ce un altfel de sistem, mai puțin invaziv nu ar fi fost suficient și eficient pentru atingerea scopului declarat", potrivit raportului.
Datele biometrice sunt date sensibile, iar prelucrarea lor conformă cu GDPR impune deja mult mai multe măsuri de precauție și obligații de bifat. Mai mult decât atât, angajații sunt considerați, alături de minori, persoane vulnerabile în procesele de prelucrare a datelor personale (pentru că angajații sunt într-un raport de inferioritate față de angajatorii lor și sunt susceptibili să accepte, din cauza acestui raport, cam orice le impune angajatorul, inclusiv în materia prelucrărilor de date personale).
Spre finele anului trecut, Autoritatea a luat decizia de a stabili chestiuni suplimentare pentru operatorii care prelucrează date sensibile: Decizia nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal obligă operatorii la efectuarea unei evaluări a impactului asupra protecției datelor dacă prelucrează date sensibile.
Util: Cum se face, pas cu pas, o evaluare a impactului asupra protecției datelor
Sorin Zaharia