Cardurile de acces sunt frecvent folosite în clădirile de birouri pentru accesul efectiv în clădire, dar și pentru înregistrarea prezenței la serviciu. La angajare, cel mai probabil, în prima zi de lucru, angajatul nou primește un card de acces, cu numele, compania și, eventual, fotografia sa pe el, dar nu i se spune mai mult decât că acesta e pentru accesul în clădire sau în zona aferentă birourilor unde lucrează. Ceea ce poate fi doar parțial adevărat. Sistemul îi poate ajuta pe angajatori să realizeze pontajul sau să vadă care e raportul între zilele de telemuncă și cele de muncă la birou, de exemplu.
În „universul GDPR”, există principiul transparenței față de persoana ale cărei date sunt prelucrate și un drept la informare al persoanelor vizate de prelucrări. Dreptul la informare permite subiecților vizați să înțeleagă ce se va face cu datele lor și, când e cazul, să ia decizii informate și să aibă mai mult control asupra datelor lor personale. Ca operator de date, angajatorul are obligația de a fi transparent cu privire la prelucrarea datelor și de a informa lucrătorii atunci când datele culese într-un scop ajung să fie folosite, ulterior, și într-un alt scop.
De pildă, în cazul în care angajatorul urmează să folosească datele rezultate în urma utilizării cardurilor de acces pentru a sancționa angajații care întârzie la program. Autoritatea irlandeză de supraveghere arăta, într-un studiu de caz, că angajatorul trebuie să fie transparent cu lucrătorii în privința tuturor scopurilor în care vor fi folosite datele personale prelucrate ale acestora. În cazul concret, angajatorul cerceta disciplinar un lucrător care întârzia la program în mod curent, iar proba sa erau datele oferite de sistemul de acces, desigur.
„În acest caz, angajatorul nu informase reclamantul cu privire la utilizarea datelor de pe cardul de acces în scopul procedurii disciplinare. (În timpul investigației, angajatorul a informat Agenția de Protecție a Datelor că cazul reclamantului a fost singurul în care au fost utilizate datele de pe cardul de acces în scop disciplinar.) De asemenea, angajatorul nu informase reclamantul sau ceilalți angajați că datele de pe cardurile de acces colectate în locul de muncă urmau să fie utilizate în scopuri de gestionare a timpului de lucru.
Angajatorul nu informase corect reclamantul cu privire la utilizarea datelor de pe cardul de acces în scopul gestionării timpului de lucru și în scopuri disciplinare. Agenția de Protecție a Datelor a concluzionat, prin urmare, că angajatorul nu a obținut și prelucrat aceste date în mod corect”, scrie autoritatea irlandeză de supraveghere.
Dar nu se presupune oricum că datele din sistem pot să-i furnizeze angajatorului și astfel de informații - respectiv, minutul exact când un angajat vine sau pleacă din incintă, de câte ori iese din birou la fumat în fața clădirii, își cumpără mâncare ș.a.m.d.? Deși presupunerea poate fi rezonabilă și e foarte posibil ca mulți angajați să-și dea seama că informațiile furnizate de sistemul de acces pot să arate tabloul complet al punctualității lor la locul de muncă, angajatorul nu se poate apăra prin astfel de presupuneri. În eventualitatea unui control, acesta va trebui să demonstreze că a fost suficient de transparent și că și-a informat în mod complet angajații. Totodată, faptul că la operator ajunge o cantitate uriașă de date personale, nu înseamnă că toate vor fi efectiv prelucrate pentru a fi folosite la ceva. În egală măsură, un alt angajator ar putea decide să nu monitorizeze punctualitatea angajaților săi în niciun fel, întrucât nu este relevantă pentru acesta.
„Acest caz demonstrează importanța corectitudinii și transparenței în protejarea drepturilor subiecților vizați de prelucrări. Operatorii, cum ar fi angajatorii, pot avea temeiuri valabile pentru prelucrarea datelor personale - temeiul executării contractului, interesul legitim sau altele - cu toate acestea, principiile protecției datelor prevăzute în articolul 5 din GDPR trebuie respectate indiferent de temeiul legal invocat”, scrie autoritatea irlandeză. În cazul concret, angajatorul a fost nevoit să elimine probele obținute cu încălcarea GDPR din cadrul cercetării disciplinare.