avocatnet.ro 
În urmă cu ceva vreme, Autoritatea română de Protecția Datelor (ANSPDCP) a amendat o firmă de la noi pentru prelucrarea excesivă a unor date personale: angajatorul a fost sancționat cu 5.000 de euro din cauză că prelucra date biometrice (amprente) ale angajaților pentru ca aceștia să poată intra în anumite spații cu acces restricționat - detalii despre speță și celelalte sancțiuni aplicate aceluiași angajator, aici.
Folosirea amprentării la locul de muncă este, în realitate, din punct de vedere al rigorilor ce țin de prelucrarea datelor personale (impuse, în principal, de GDPR) destul de greu de justificat. Așa cum a subliniat și Autoritatea în speța amintită mai sus, trebuie să demonstrezi că ai încercat înainte alte modalități mai puțin intruzive ca să-ți atingi scopul, amprentarea fiind o soluție ultimă.
Datele biometrice sunt considerate, în sensul GDPR, date sensibile - rigorile de prelucrare sunt și mai stricte, cu alte cuvinte. De principiu, este evitată prelucrarea unor astfel de date, dar există și excepții. Una dintre ele ar fi consimțământul dat pentru prelucrarea lor - doar că pe tărâmul relațiilor de muncă, între angajator și angajat e mai greu de crezut că vorbim de un consimțământ dat liber, dat fiind raportul de inegalitate dintre cei doi.
În raportul din 2019, ANSPDCP a făcut referire la un caz practic cu care s-a confruntat în activitatea sa, când tehnologia de prelucrare de date biometrice a fost folosită pentru a permite accesul în instituții publice al persoanelor ce lucrau acolo. S-a considerat că folosirea de asemenea tehnologie, în contextul acela, nu era justificată, iar angajatorul ar fi trebuit să găsească alte modalități pentru a asigura securitatea locului.
De asemenea, folosirea imaginilor faciale ale angajaților în contextul evidenței orelor de muncă și a identificării lor la biou, chiar și în contextul unui consimțământ al angajaților, așa cum a fost cazul în altă speță de care aflăm dintr-un raport ala Autorității, este o măsură disproporționată, aflăm din raportul Autorității. Compania care recurge la astfel de măsuri se poate salva de o sancțiune GDPR doar dacă face dovada că nu putea prin niciun alt mijloc să-și atingă scopul respectiv.
Optica ANSPDCP în această privință exista însă și înainte de GDPR, când Autoritatea recomanda angajatorilor să nu se folosească de supravegherea video în birouri și de amprentarea salariaților.
Așadar, pontajul nu ar trebui să se facă prin amprentare ori recunoaștere facială. De altfel, dacă ne întoarcem la situația-premisă de la care am plecat mai sus, aceea în care firma consideră absenți pe cei care refuză amprentarea, avem nu doar o problemă de GDPR, cât și una de relații de muncă. Angajatorul, în mod abuziv și contrar legii, îi consideră absenți pe cei care refuză să achieseze la modalitatea de pontare pe care o folosește firma. În contextul în care nu există obligația legală ca pontajul să fie nici măcar semnat de angajați - ne-a confirmat acest lucru, în urmă cu câțiva ani, chiar Inspecția Muncii. Evidența orelor de muncă poate îmbrăca orice formă care îl ajută pe angajator să bifeze cerințele legale din Codul muncii sau alte legi speciale. Însă nu chiar orice formă, cum e cazul de față, poate fi admisibilă.
Sorin Zaharia