Amprentele și alte date biometrice ar trebui prelucrate doar în situații în care acest lucru e strict necesar

Raportul ANSPDCP pe 2019 clarifică, printre altele, în ce condiții pot fi prelucrate datele biometrice ale persoanelor vizate de acele date. Practic, asemenea date vizează caracteristicile biologice, fiziologice sau chiar comportamentale ale persoanelor. Cea mai des uzitată tehnologie de prelucrare de date biometrice este cea de recunoaștere facială (de exemplu, un angajator folosește asemenea tehnologie pentru a le permite salariaților accesul în sediu).

În plus, datele biometrice sunt date sensibile, unde se aplică criterii diferite și mai stricte pentru prelucrare. Despre acest lucru am scris mai multe aici, inclusiv cu privire la cum poate avea loc prelucrarea datelor respective.

După aceea, primul lucru cu privire la care avertizează ANSPDCP e că persoanelor trebuie să le fie prelucrate doar acele date care sunt necesare pentru atingerea scopului urmărit prin prelucrare. În plus, trebuie să existe o proporționalitate între prelucrare, pe de o parte, și interesele persoanei ale cărei date sunt prelucrate, pe de alta. Adică să ia în considerare, întotdeauna, și interesul acesteia, limitându-se, pe cât posibil, măsurile ce ar putea afecta interesul persoanei vizate de a-i fi respectată confidențialitatea datelor.

În ceea ce privește prelucrarea datelor biometrice, devine foarte important pentru cei vizați să știe că temeiul pentru care ar putea fi prelucrate datele respective este, ca regulă, consimțământul lor - ce trebuie să fie liber, specific și neechivoc.

În acest context, angajații ar trebui să știe că este discutabil dacă și-ar putea da consimțământul în mod liber, ceea ce înseamnă că angajatorul nu le poate impune acestora să accepte prelucrarea de date sensibile, cum sunt cele biometrice.

ANSPDCP a mai făcut referire la un caz practic cu care s-a confruntat în activitatea acesteia, când tehnologie de prelucrare de date biometrice a fost folosită pentru a permite accesul în instituții publice ale persoanelor ce lucrau acolo. S-a considerat că, ținând cont și de aspectele menționate mai sus (natura datelor, existența unui raport de proporționalitate între măsură și interesele persoanelor, natura relațiilor de muncă), folosirea de asemenea tehnologie, în contextul acela, nu era justificată, iar angajatorul ar fi trebuit să găsească alte modalități pentru a asigura securitatea locului.

Așadar, persoanele care se confruntă cu posibilitatea prelucrării de date biometrice (tehnologii de recunoaștere facială, amprentare, procese de automatizare a datelor biologice etc.) trebuie să știe că, în esență, prelucrarea unor asemenea date ar trebui să se facă doar excepțional, când e cu adevărat necesar și nu există alternative.

Mai mult, se pune problema, în contextul relațiilor între angajatori și salariați, că temeiul consimțământului, de obicei folosit pentru prelucrarea de date sensibile, nu este unul adecvat. Prin urmare, salariații nu ar trebui să fie presați de angajatori să accepte prelucrarea de asemenea date.