Biometrická evidence docházky: nevyhnutelná součást pokroku nebo cesta do pekel?

V posledních letech je ve veřejné správě patrný rostoucí tlak na digitalizaci a zefektivňování procesů. Mnohé instituce řeší, jak snížit administrativní zátěž v personální a mzdové agendě, například při evidenci pracovní doby. Biometrické docházkové systémy, zejména využívající otisky prstů, se jeví jako lákavé a moderní řešení. Nabízejí možnost zrušení dodatečných karet či čipů, kterých máme v peněženkách i tak až příliš, a přesnou evidenci docházky zaměstnanců, jež může být propojena s dalšími systémy, které samospráva v personální agendě využívá.

Nicméně to, co vypadá velmi efektivně, může být z pohledu práva na ochranu osobních údajů velkým problémem, a to i dle kontrolní praxe ÚOOÚ.

Hash kód jako biometrický údaj

Biometrické systémy typicky zpracovávají otisky prstů pomocí tzv. hash kódů. Při prvním přiložení prstu je jeho otisk převeden do číselného vyjádření a při opětovném přiložení dochází k porovnávání s uloženými hash kódy. Z hash kódu nelze otisk zpětně rekonstruovat.

Ačkoliv by se tedy mohlo zdát, že samotný hash kód nemůže být osobním údajem, je tomu právě naopak. Jedná se totiž pro každého o unikátní údaj, jenž vyjadřuje fyzické znaky osoby, která svůj otisk prstu do systému poskytla. V případě takto vytvořeného hash kódu jde tedy o biometrické osobní údaje a správce (ten, kdo určil účel a prostředky zpracování) tak naplňuje definici zpracování zvláštních osobních údajů dle čl. 9 nařízení o ochraně osobních údajů (GDPR).^[1]

Souhlas jako prostředek legitimizace

Zpracování zvláštní kategorie osobních údajů je v zásadě zakázáno, pokud neexistuje nezpochybnitelný právní titul dle čl. 9 odst. 2 GDPR. Toho si jsou zaměstnavatelé, obvykle po konzultaci s pověřencem, vědomi (i když se setkáváme i se situacemi, kdy zaměstnavatel takový docházkový systém zavede jen na základě toho, že mu dodavatel tvrdí, že má vše v souladu s GDPR) a snaží se legitimizovat zpracování biometrických údajů tím, že způsob evidence přes otisk prstu je jen jedním z možných způsobů evidence docházky a každý zaměstnanec si může zvolit mezi otiskem a čipem či kartou. Dále poukazují na to, že zaměstnanec, který se pro evidenci v podobě otisku prstu rozhodne, podepíše souhlas se zpracováním dle čl. 9 odst. 2 písm. 1 GDPR, tedy z pohledu regulace má prý být vše v pořádku.

Výsledky kontrolní činnosti ÚOOÚ z roku 2024^[2] ovšem opět ukázaly, že souhlas v pracovněprávních vztazích má své limity. Úřad argumentuje, že v pracovněprávním vztahu existuje mezi zaměstnavatelem (obcí) a zaměstnancem přirozená nerovnováha, a proto souhlas v takovém prostředí nelze považovat za skutečně „svobodný“.

Biometrika překračuje zásadu minimalizace zpracování

Podstatným závěrem kontrol je otázka nezbytnosti zpracování biometrických údajů pro evidenci docházky. Zásadním kamenem úrazu u většiny samospráv je nedodržení zásady minimalizace dat. Evidence docházky sice představuje legitimní účel, ovšem biometrika je pro jeho dosažení „nepřiměřeným nástrojem“. Pokud existují méně invazivní metody, které většina zaměstnavatelů vedle biometriky od počátku standardně využívá, například prostřednictvím již zmíněných karet nebo čipů, a které zároveň umožňují dosažení stejného cíle, tedy evidence docházky, je použití otisku prstu s ohledem na stanovený účel považováno za nadbytečné zpracování. Pro běžného zaměstnance samosprávy nebo i zřízených organizací samospráv neexistuje dostatečně silný bezpečnostní důvod, který by vyvažoval citelný zásah do jeho integrity prostřednictvím biometrického skenu.

Co to prakticky znamená? Pro obecní rozpočet může být rozhodnutí zefektivnit evidenci docházky pomocí biometrických docházkových systémů nakonec samo o sobě velmi neefektivní.

Biometrika jen v případě velmi kritických situací

Znamená tedy výše uvedené, že biometrika na radnicích nemá své místo vůbec? ÚOOÚ připouští výjimky, avšak pouze pro účely ochrany kritických zájmů nebo vysoce zabezpečených prostor. Pokud by obec chtěla využít biometrický zámek například pro vstup do centrálního serveru či skladu vysoce citlivých datových nosičů, může být takový postup obhajitelný. Klíčovým krokem je však provedení tzv. posouzení vlivu na ochranu osobních údajů (DPIA) a tzv. balančního testu ještě před pořízením příslušné technologie. V těchto analýzách musí obec prokázat, že riziko panující v daném prostoru je natolik závažné, že použití čipové karty již není postačující k zajištění potřebné úrovně zabezpečení.

Efektivní digitalizace není biometrika

Poučení pro praxi? Samosprávy by měly při modernizaci personální agendy postupovat obezřetně. Před pořízením nového docházkového systému je nezbytné konzultovat záměr s pověřencem pro ochranu osobních údajů (DPO). Pokud dodavatel tvrdí, že jeho řešení je „plně v souladu s GDPR“, ale zároveň nabízí biometrickou čtečku pro plošnou evidenci docházky, měl by to být pro vedení obce jasný signál k opatrnosti. Cesta k efektivnímu obecnímu úřadu vede prostřednictvím chytré digitalizace, která však musí být skutečně chytrá, což v daném kontextu znamená také její přiměřenost. Tento často přehlížený, avšak klíčový požadavek je třeba mít vždy na paměti.

Lenka Matějová
koordinátorka služeb pověřenců pro ochranu osobních údajů

Celý článek si můžete pročíst v únorovém vydání zpravodaje SMSka. Aktuální číslo si přečtete v elektronické podobě zde. Archiv s předchozími vydáními si otevřete zde.