Izin sebagai pengecualian untuk memproses data biometrik

Baru-baru ini, Otoritas Perlindungan Data Belanda (AP) memberlakukan denda besar, yaitu 725,000 euro, pada perusahaan yang memindai sidik jari karyawan untuk pendaftaran kehadiran dan waktu. Data biometrik, seperti sidik jari, adalah data pribadi khusus dalam arti Pasal 9 GDPR. Ini adalah karakteristik unik yang dapat ditelusuri kembali ke satu orang tertentu. Namun, data ini sering mengandung lebih banyak informasi daripada yang diperlukan untuk, misalnya, identifikasi. Karena itu pemrosesan mereka menimbulkan risiko besar di bidang hak-hak dasar dan kebebasan orang. Jika data ini sampai ke tangan yang salah, ini berpotensi menyebabkan kerusakan yang tidak dapat diperbaiki. Karena itu, data biometrik terlindungi dengan baik, dan pengolahannya dilarang berdasarkan Pasal 9 GDPR, kecuali ada pengecualian hukum untuk ini. Dalam hal ini, AP menyimpulkan bahwa perusahaan tersebut tidak berhak atas pengecualian untuk memproses data pribadi khusus.

Tentang sidik jari dalam konteks GDPR dan salah satu pengecualian, yaitu kebutuhan, kami sebelumnya menulis di salah satu blog kami: 'Sidik jari melanggar GDPR'. Blog ini berfokus pada landasan alternatif lain untuk pengecualian: izin. Ketika seorang majikan menggunakan data biometrik seperti sidik jari di perusahaannya, dapatkah ia, sehubungan dengan privasi, mencukupi dengan izin karyawannya?

Izin sebagai pengecualian untuk memproses data biometrik

Dengan izin yang dimaksud a spesifik, informasi dan tidak ambigu ekspresi kemauan yang dengannya seseorang menerima pemrosesan data pribadinya dengan pernyataan atau tindakan aktif yang tidak ambigu, menurut Pasal 4, bagian 11, GDPR. Dalam konteks pengecualian ini, majikan karenanya tidak hanya harus menunjukkan bahwa karyawannya telah memberikan izin, tetapi juga bahwa hal ini tidak ambigu, spesifik dan terinformasi. Menandatangani kontrak kerja atau menerima manual personalia di mana pemberi kerja hanya mencatat niat untuk sepenuhnya menggunakan sidik jari, tidak cukup dalam konteks ini, AP menyimpulkan. Sebagai bukti, pengusaha harus, misalnya, menyerahkan kebijakan, prosedur, atau dokumentasi lain, yang menunjukkan bahwa karyawannya cukup diberi informasi tentang pemrosesan data biometrik dan bahwa mereka juga telah memberikan (eksplisit) izin untuk memprosesnya.

Jika izin tersebut diberikan oleh karyawan, maka itu tidak hanya harus 'eksplisit' tetapi juga 'diberikan secara bebas', menurut AP. 'Eksplisit', misalnya izin tertulis, tanda tangan, pengiriman email untuk memberi izin, atau izin dengan verifikasi dua langkah. 'Diberikan secara bebas' berarti bahwa tidak boleh ada paksaan di baliknya (seperti yang terjadi dalam kasus yang dipertanyakan: ketika menolak untuk memindai sidik jari, mengikuti percakapan dengan direktur / dewan) atau bahwa izin dapat menjadi syarat untuk sesuatu berbeda. Syarat 'diberikan secara cuma-cuma' dalam hal apapun tidak dipenuhi oleh majikan ketika karyawan diwajibkan atau, seperti dalam kasus yang bersangkutan, mengalaminya sebagai kewajiban untuk mencatat sidik jarinya. Secara umum, berdasarkan persyaratan ini, AP menganggap bahwa dengan adanya ketergantungan yang timbul dari hubungan antara pemberi kerja dan karyawan, kecil kemungkinannya karyawan tersebut dapat dengan bebas memberikan persetujuannya. Hal sebaliknya harus dibuktikan oleh majikan.

Apakah seorang karyawan meminta izin dari karyawan mereka untuk memproses sidik jari mereka? Kemudian AP belajar dalam konteks kasus ini bahwa pada prinsipnya ini tidak diperbolehkan. Bagaimanapun, karyawan bergantung pada majikan mereka dan karena itu sering tidak dalam posisi untuk menolak. Ini bukan untuk mengatakan bahwa majikan tidak pernah dapat berhasil mengandalkan tanah izin. Namun, majikan harus memiliki bukti yang cukup untuk membuat bandingnya atas dasar persetujuan berhasil, untuk memproses data biometrik karyawannya, seperti sidik jari. Apakah Anda berniat menggunakan data biometrik di perusahaan Anda atau apakah majikan Anda meminta izin untuk menggunakan sidik jari Anda, misalnya? Dalam hal ini, penting untuk tidak bertindak segera dan memberikan izin, tetapi untuk pertama-tama diinformasikan dengan benar. Law & More pengacara adalah ahli di bidang privasi dan dapat memberi Anda informasi. Apakah Anda memiliki pertanyaan lain tentang blog ini? Mohon hubungi Law & More.

Bagikan