Objavljeno: 28.6.2024.
Nastavno na Vaš upit o korištenju pametne kartice s fotografijom zaposlenika sukladno propisima o zaštiti podataka te pitanja vezano uz biometrijske podatke, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 u cijelosti je obvezujuća i izravno se primjenjuje od 25. svibnja 2018. godine, a za čiju primjenu i provođenje na području Republike Hrvatske je nadležna Agencija za zaštitu osobnih podataka.
Sukladno članku 4. stavku 1. točki 1. Opće uredbe o zaštiti podataka osobni podaci znače svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
U točki 14. propisano je kako su biometrijski podaci osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci.
U članku 5. Opće uredbe o zaštiti podataka propisano je kako osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenja količine podataka), točni i prema potrebi ažurni, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Nastavno na Vaš upit u vezi korištenja pametnih kartica sa fotografijom zaposlenika u svrhu njihovog kretanja kroz poslovne prostorije ističemo kako za svaku obradu osobnih podataka mora postojati pravni temelj iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, a prilikom obrade osobnih podataka uvijek je potrebno voditi se načelima iz članka 5. Opće uredbe o zaštiti podataka, te s tim u vezi naglašavamo da je na Vama kao voditelju obrade da prosudite temeljem kojeg pravnog temelja vršite pojedinu obradu osobnih podataka.
Nastavno na Vaš upit o obradi biometrijskih podataka ističemo primjenu članka 22. stavka 2. Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18) u kojemu je propisano da se obrada biometrijskih podataka u privatnom sektoru može provoditi samo ako je propisana zakonom ili ako je nužna za zaštitu osoba, imovine, klasificiranih podataka, poslovnih tajni ili za pojedinačno i sigurno identificiranje korisnika usluga, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka. Pravni temelj za obradu biometrijskih podataka ispitanika radi sigurnog identificiranja korisnika usluga izričita je privola takvog ispitanika dana u skladu s odredbama Opće uredbe o zaštiti podataka.
Člankom 23. navedenog Zakona propisano je da je dopuštena obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka.
