Objavljeno: 28.6.2024.
Slijedom Vašeg upita u kojem u bitnom pitate trebate li provesti test legitimnog interesa u slučaju obrade biometrijskih podataka ispitanika te trebate li obradu propisati internim pravilima kako bi Vaši zaposlenici bili s istom upoznati, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Provođenje testa legitimnog interesa radi obrade biometrijskih podataka
Ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
U slučaju obrade osobnih podataka posebne kategorije iz članka 9. stavka 1. Opće uredbe o zaštiti podataka (zdravstveni podaci), osim pravnog temelja iz članka 6. stavka 1. Opće uredbe o zaštiti podataka potrebno je ispuniti jednu od taksativno navedenih iznimaka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
Nadalje, Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) uređeno je obrađivanje biometrijskih osobnih podataka u javnom sektoru.
Člankom 21. stavkom 1. Zakona o provedbi Opće uredbe o zaštiti podataka određeno je kako se u tijelima javne vlasti obrada biometrijskih podataka može se provoditi samo ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka.
Člankom 23. navedenog zakona propisano je sljedeće “dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka”.
U tom slučaju poslodavci bi trebali osigurati alternativnu mogućnost identifikacije za zaposlenike, primjerice karticu ili kod, uz mogućnost povlačenja privole u svakom trenutku.
S tim u vezi, moguće je da je navedeno propisano profesionalnim zakonskim ili podzakonskim aktima koji uređuju djelatnost kojom se bavite. Ako jest, onda postoji pravni temelj iz članka 6. stavka 1. točke (c) Opće uredbe o zaštiti podataka. Međutim, ukoliko to nije slučaj te s obzirom na odredbu članka 23. Zakona o provedbi Opće uredbe o zaštiti podataka, pravni temelj iz članka 6. stavka 1. može biti isključivo privola iz točke (a) Opšće uredbe o zaštiti podataka.
Nadalje, s obzirom na odredbu članka 9. stavka 2. Opće uredbe o zaštiti podataka iznimka od načelne zabrane obrade posebnih kategorija podataka može biti izričita privola iz točke (a) Opće uredbe o zaštiti podataka, uz poštovanje uvjeta nametnutog odredbom Zakona o provedbi Opće uredbe o zaštiti podataka u smislu osiguranja alternativne mogućnosti identifikacije za zaposlenike.
S tim u vezi, provođenje testa legitimnog interesa nije potrebno budući da nije riječ o obradi koja se temelji na članku 6. stavku 1. točki (f) Opće uredbe o zaštiti podataka.
Propisivanje obrade biometrijskih podataka internim pravilima
Člankom 29. stavkom 2. Zakona o radu („Narodne novine“ broj 93/14, 127/17, 98/19, 151/22, 46/23, 64/23) određeno je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.
Dakle, na voditelju obrade je da sukladno svojim pravnim obvezama odredi i jasno propiše u internim dokumentu/ima koje osobne podatke prikuplja i u koju svrhu, primjenjujući pritom odredbe citiranih pravnih akata u skladu s načelom transparentnosti iz članka 5. stavka 1. točke (a) Opće uredbe o zaštiti podataka.
Dodatno napominjemo budući da se radi o obradi osobnih podataka većeg rizika, potrebno je primijeniti sve tehničke i organizacijske mjere zaštite propisane Općom uredbom o zaštiti podataka.