Di recente, l'autorità olandese per la protezione dei dati (AP) ha imposto una multa elevata, vale a dire 725,000 euro, a una società che ha scannerizzato le impronte digitali dei dipendenti per la presenza e la registrazione del tempo. I dati biometrici, come un'impronta digitale, sono dati personali speciali ai sensi dell'articolo 9 del GDPR. Queste sono caratteristiche uniche che possono essere ricondotte a una persona specifica. Tuttavia, questi dati contengono spesso più informazioni di quelle necessarie per, ad esempio, l'identificazione. Il loro trattamento comporta pertanto grandi rischi nel settore dei diritti e delle libertà fondamentali delle persone. Se questi dati finiscono nelle mani sbagliate, ciò potrebbe potenzialmente causare danni irreparabili. I dati biometrici sono quindi ben protetti e il loro trattamento è vietato ai sensi dell'articolo 9 del GDPR, a meno che non vi sia un'eccezione legale per questo. In questo caso, l'AP ha concluso che la società in questione non aveva diritto a un eccezione per l'elaborazione di dati personali speciali.
Fingerprint
Informazioni sull'impronta digitale nel contesto del GDPR e una delle eccezioni, vale a dire necessità, abbiamo già scritto in uno dei nostri blog: "Impronta digitale in violazione del GDPR". Questo blog si concentra sull'altro motivo alternativo di eccezione: autorizzazione. Quando un datore di lavoro utilizza dati biometrici come le impronte digitali nella sua azienda, può, per quanto riguarda la privacy, basarsi con il permesso del suo dipendente?
Per autorizzazione si intende a specifico, informato e inequivocabile espressione di volontà con cui qualcuno accetta un trattamento dei suoi dati personali con una dichiarazione o un'azione attiva non ambigua, ai sensi dell'articolo 4, sezione 11, GDPR. Nel contesto di questa eccezione, il datore di lavoro deve quindi non solo dimostrare che i suoi dipendenti hanno concesso l'autorizzazione, ma anche che ciò è stato inequivocabile, specifico e informato. In questo contesto, la firma del contratto di lavoro o la ricezione del manuale del personale in cui il datore di lavoro ha registrato l'intenzione di eseguire il clock completo con l'impronta digitale non è sufficiente. A titolo di prova, il datore di lavoro deve, ad esempio, presentare una politica, procedure o altra documentazione che dimostri che i suoi dipendenti sono sufficientemente informati sul trattamento dei dati biometrici e che hanno anche dato l'autorizzazione (esplicita) per il loro trattamento.
Se l'autorizzazione è concessa dal dipendente, deve inoltre essere non solo "esplicito' ma anche 'dato liberamente', secondo l'AP. "Esplicito" è, ad esempio, un'autorizzazione scritta, una firma, l'invio di un'e-mail per fornire l'autorizzazione o un'autorizzazione con verifica in due passaggi. 'Liberamente dato' significa che non deve esserci alcuna coercizione dietro di esso (come nel caso in questione: quando si rifiuta di far scansionare l'impronta digitale, viene seguita una conversazione con il direttore / consiglio) o che il permesso può essere una condizione per qualcosa diverso. La condizione "liberamente data" non è comunque soddisfatta dal datore di lavoro quando i dipendenti sono obbligati o, come nel caso in questione, la percepiscono come un obbligo di registrare la propria impronta digitale. In generale, in base a tale requisito, l'AP ha ritenuto che, data la dipendenza derivante dal rapporto tra datore di lavoro e dipendente, è improbabile che il dipendente possa concedere liberamente il proprio consenso. Il contrario dovrà essere dimostrato dal datore di lavoro.
Un dipendente richiede l'autorizzazione ai propri dipendenti per elaborare l'impronta digitale? Quindi l'AP apprende nel contesto di questo caso che in linea di principio ciò non è consentito. Dopotutto, i dipendenti dipendono dal loro datore di lavoro e quindi spesso non sono in grado di rifiutare. Questo non vuol dire che il datore di lavoro non possa mai fare affidamento con successo sulla base dell'autorizzazione. Tuttavia, il datore di lavoro deve disporre di prove sufficienti per presentare il proprio ricorso sulla base del consenso, al fine di elaborare i dati biometrici dei suoi dipendenti, come le impronte digitali. Intendi utilizzare i dati biometrici all'interno della tua azienda o il tuo datore di lavoro ti chiede l'autorizzazione per utilizzare l'impronta digitale, ad esempio? In tal caso, è importante non agire immediatamente e concedere l'autorizzazione, ma prima essere adeguatamente informati. Law & More gli avvocati sono esperti nel campo della privacy e possono fornire informazioni. Hai altre domande su questo blog? Si prega di contattare Law & More.