Pemrosesan Data Biometrik Dijelaskan
Baru-baru ini, Otoritas Perlindungan Data Belanda (AP) mengenakan denda besar, yaitu 725,000 euro, pada sebuah perusahaan yang memindai sidik jari karyawan untuk pencatatan kehadiran dan waktu. Data biometrik, seperti sidik jari, adalah data pribadi khusus dalam pengertian Pasal 9 GDPR. Ini adalah karakteristik unik yang dapat ditelusuri kembali ke satu orang tertentu. Namun, data ini sering kali berisi lebih banyak informasi daripada yang diperlukan untuk, misalnya, identifikasi.
Oleh karena itu, pemrosesannya menimbulkan risiko besar di bidang hak asasi dan kebebasan manusia. Jika data ini jatuh ke tangan yang salah, hal ini berpotensi menyebabkan kerusakan yang tidak dapat diperbaiki. Oleh karena itu, data biometrik dilindungi dengan baik, dan pemrosesannya dilarang berdasarkan Pasal 9 GDPR, kecuali ada pengecualian hukum untuk ini. Dalam kasus ini, AP menyimpulkan bahwa perusahaan yang dimaksud tidak berhak atas pengecualian untuk memproses data pribadi khusus.
Sidik jari
Tentang sidik jari dalam konteks GDPR dan salah satu pengecualian, yaitu kebutuhan, kami sebelumnya menulis di salah satu blog kami: 'Sidik jari melanggar GDPR'. Blog ini berfokus pada landasan alternatif lain untuk pengecualian: izin. Ketika seorang majikan menggunakan data biometrik seperti sidik jari di perusahaannya, dapatkah ia, sehubungan dengan privasi, mencukupi dengan izin karyawannya?
Dengan izin yang dimaksud a spesifik, informasi dan tidak ambigu ekspresi kemauan yang dengannya seseorang menerima pemrosesan data pribadinya dengan pernyataan atau tindakan aktif yang tidak ambigu, menurut Pasal 4, bagian 11, GDPR. Dalam konteks pengecualian ini, pemberi kerja karenanya tidak hanya harus menunjukkan bahwa karyawannya telah memberikan izin, tetapi juga bahwa hal ini telah jelas, spesifik, dan berdasarkan informasi.
Penandatanganan kontrak kerja atau penerimaan buku pedoman personalia yang di dalamnya pemberi kerja hanya mencatat niat untuk absensi secara lengkap dengan sidik jari, tidak cukup dalam konteks ini, AP menyimpulkan. Sebagai bukti, pemberi kerja harus, misalnya, menyerahkan kebijakan, prosedur atau dokumentasi lain, yang menunjukkan bahwa karyawannya cukup mendapat informasi tentang pemrosesan data biometrik dan bahwa mereka juga telah memberikan izin (eksplisit) untuk pemrosesannya.
Jika izin tersebut diberikan oleh karyawan, maka itu tidak hanya harus 'eksplisit' tetapi juga 'diberikan secara bebas', menurut AP. 'Eksplisit' misalnya adalah izin tertulis, tanda tangan, mengirim email untuk memberikan izin, atau izin dengan verifikasi dua langkah. 'Diberikan secara bebas' berarti tidak boleh ada paksaan di baliknya (seperti yang terjadi pada kasus yang dimaksud: ketika menolak pemindaian sidik jari, percakapan dengan direktur/dewan diikuti) atau bahwa izin mungkin merupakan syarat untuk sesuatu yang berbeda.
Syarat 'diberikan secara bebas' dalam hal apa pun tidak dipenuhi oleh pemberi kerja ketika karyawan diwajibkan atau, seperti dalam kasus yang dimaksud, menganggapnya sebagai kewajiban untuk merekam sidik jarinya. Secara umum, berdasarkan persyaratan ini, AP menganggap bahwa mengingat ketergantungan yang timbul dari hubungan antara pemberi kerja dan karyawan, kecil kemungkinan karyawan dapat dengan bebas memberikan persetujuannya. Hal yang sebaliknya harus dibuktikan oleh pemberi kerja.
Apakah seorang karyawan meminta izin dari karyawannya untuk memproses sidik jarinya? Kemudian AP mengetahui dalam konteks kasus ini bahwa pada prinsipnya hal ini tidak diperbolehkan. Bagaimanapun, karyawan bergantung pada atasan mereka dan karena itu sering kali tidak dalam posisi untuk menolak. Ini bukan berarti bahwa atasan tidak akan pernah dapat mengandalkan alasan izin tersebut.
Namun, pemberi kerja harus memiliki bukti yang cukup untuk mengabulkan permohonan bandingnya atas dasar persetujuan, agar dapat memproses data biometrik karyawannya, seperti sidik jari. Apakah Anda bermaksud menggunakan data biometrik di dalam perusahaan Anda atau apakah pemberi kerja Anda meminta izin untuk menggunakan sidik jari Anda, misalnya? Dalam hal tersebut, penting untuk tidak langsung bertindak dan memberikan izin, tetapi terlebih dahulu mendapatkan informasi yang benar. Hukum & More lawyers are expert in the field of privacy and can give you with information. Apakah Anda memiliki pertanyaan lain tentang blog ini? Silakan hubungi Law & More.