Autorizzazione come eccezione per l'elaborazione di dati biometrici

Di recente, l'autorità olandese per la protezione dei dati (AP) ha imposto una multa elevata, vale a dire 725,000 euro, a una società che ha scannerizzato le impronte digitali dei dipendenti per la presenza e la registrazione del tempo. I dati biometrici, come un'impronta digitale, sono dati personali speciali ai sensi dell'articolo 9 del GDPR. Queste sono caratteristiche uniche che possono essere ricondotte a una persona specifica. Tuttavia, questi dati contengono spesso più informazioni di quelle necessarie per, ad esempio, l'identificazione. Il loro trattamento comporta pertanto grandi rischi nel settore dei diritti e delle libertà fondamentali delle persone. Se questi dati finiscono nelle mani sbagliate, ciò potrebbe potenzialmente causare danni irreparabili. I dati biometrici sono quindi ben protetti e il loro trattamento è vietato ai sensi dell'articolo 9 del GDPR, a meno che non vi sia un'eccezione legale per questo. In questo caso, l'AP ha concluso che la società in questione non aveva diritto a un eccezione per l'elaborazione di dati personali speciali.

Informazioni sull'impronta digitale nel contesto del GDPR e una delle eccezioni, vale a dire necessità, in precedenza abbiamo scritto in uno dei nostri blog: "Impronta digitale in violazione del GDPR". Questo blog si concentra sull'altro terreno alternativo, ad eccezione: autorizzazione. Quando un datore di lavoro utilizza dati biometrici come le impronte digitali nella sua azienda, può, per quanto riguarda la privacy, basarsi con il permesso del suo dipendente?

Autorizzazione come eccezione per l'elaborazione di dati biometrici

Per autorizzazione si intende a specifico, informato e inequivocabile espressione di volontà con cui qualcuno accetta un trattamento dei suoi dati personali con una dichiarazione o un'azione attiva non ambigua, ai sensi dell'articolo 4, sezione 11, GDPR. Nel contesto di questa eccezione, il datore di lavoro deve quindi non solo dimostrare che i suoi dipendenti hanno concesso l'autorizzazione, ma anche che ciò è stato inequivocabile, specifico e informato. In questo contesto, la firma del contratto di lavoro o la ricezione del manuale del personale in cui il datore di lavoro ha registrato l'intenzione di eseguire il clock completo con l'impronta digitale non è sufficiente. A titolo di prova, il datore di lavoro deve, ad esempio, presentare una politica, procedure o altra documentazione che dimostri che i suoi dipendenti sono sufficientemente informati sul trattamento dei dati biometrici e che hanno anche dato l'autorizzazione (esplicita) per il loro trattamento.

Se l'autorizzazione è concessa dal dipendente, deve inoltre essere non solo "esplicito' ma anche 'dato liberamente', secondo l'AP. Per "esplicito" si intende ad esempio l'autorizzazione scritta, la firma, l'invio di un'e-mail per fornire l'autorizzazione o l'autorizzazione con la verifica in due passaggi. "Liberamente dato" significa che non deve esserci alcuna coercizione (come nel caso in questione: quando si rifiuta di sottoporre a scansione l'impronta digitale, segue una conversazione con il direttore / il consiglio) o tale autorizzazione può essere una condizione per qualcosa diverso. La condizione "liberamente fornita" non è in ogni caso soddisfatta dal datore di lavoro quando i dipendenti sono obbligati o, come nel caso in questione, lo percepiscono come un obbligo di registrazione dell'impronta digitale. In generale, in base a questo requisito, l'AP ha ritenuto che, data la dipendenza risultante dalla relazione tra il datore di lavoro e il dipendente, è improbabile che il dipendente possa concedere liberamente il proprio consenso. Il datore di lavoro dovrà dimostrare il contrario.

Un dipendente richiede l'autorizzazione ai propri dipendenti per elaborare l'impronta digitale? Quindi l'AP apprende nel contesto di questo caso che in linea di principio ciò non è consentito. Dopotutto, i dipendenti dipendono dal loro datore di lavoro e quindi spesso non sono in grado di rifiutare. Questo non vuol dire che il datore di lavoro non possa mai fare affidamento con successo sulla base dell'autorizzazione. Tuttavia, il datore di lavoro deve disporre di prove sufficienti per presentare il proprio ricorso sulla base del consenso, al fine di elaborare i dati biometrici dei suoi dipendenti, come le impronte digitali. Intendi utilizzare i dati biometrici all'interno della tua azienda o il tuo datore di lavoro ti chiede l'autorizzazione per utilizzare l'impronta digitale, ad esempio? In tal caso, è importante non agire immediatamente e concedere l'autorizzazione, ma prima essere adeguatamente informati. Law & More gli avvocati sono esperti nel campo della privacy e possono fornire informazioni. Hai altre domande su questo blog? Si prega di contattare Law & More.

Condividi