Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/57

Kraj:

Holandia

Data wydania decyzji:

30.04.2020 r.

Podmiot kontrolowany:

Pracodawca

Wysokość kary (EUR):

725.000

Podstawa prawna naruszenia

Art. 5, art. 9 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Firma naruszyła przepisy dotyczące ochrony danych osobowych, przetwarzając dane biometryczne swoich pracowników (odciski palców) bez odpowiedniej podstawy prawnej.

 

Opis wydarzeń

  1. Zgłoszenie i rozpoczęcie dochodzenia: 5 lipca 2018 roku wpłynęło zgłoszenie do holenderskiego organu nadzorczego (AP) o obowiązkowym skanowaniu odcisków palców pracowników w firmie. Pracownicy używali odcisków palców do rejestrowania czasu pracy.
  2. Proces dochodzenia:
    • Wrzesień i październik 2018: AP skontaktowało się z sygnalistą, aby uzyskać więcej informacji.
    • Listopad 2018: Przeprowadzono niezapowiedzianą kontrolę w firmie, a wyniki przesłano do firmy w lutym 2019.
    • Marzec 2019: Kolejna kontrola w firmie, wyniki przesłano w maju 2019.
    • Czerwiec 2019: Firma otrzymała projekt raportu, na który odpowiedziała w lipcu 2019.
    • Wrzesień 2019: AP wysłało zawiadomienie o zamiarze nałożenia kary, na które firma odpowiedziała w październiku 2019.
  3. Ustalenia:
    • Firma przechowywała odciski palców 337 pracowników od stycznia 2017 r. do kwietnia 2019 r.
    • Pracownicy nie byli odpowiednio informowani o przetwarzaniu ich danych biometrycznych, a zgoda na przetwarzanie nie była uzyskiwana w sposób zgodny z RODO.
    • Przetwarzanie danych biometrycznych nie było konieczne do celów bezpieczeństwa ani uwierzytelniania.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przegląd polityk i procedur: Zaleca się przegląd i aktualizację polityk oraz procedur dotyczących ochrony danych osobowych, aby zapewnić zgodność z RODO.
  2. Szkolenie pracowników: Przeprowadzenie szkoleń dla pracowników na temat ochrony danych osobowych i wymogów RODO.
  3. Uzyskanie zgody: W przypadku konieczności przetwarzania danych biometrycznych, należy uzyskać wyraźną, świadomą i dobrowolną zgodę od pracowników.

 

Zdaniem Prezesa UODO pracodawca nie może przetwarzać danych biometrycznych pracowników w celu ewidencji czasu pracy.

Dane biometryczne mogą być wykorzystywane m.in. w celu:

  • zapewnienia bezpieczeństwa osobowego,
  • zapewnienia bezpieczeństwa przemysłowego,
  • ochrony informacji,
  • weryfikacji osób podejrzanych i ocenie ich udziału w przestępstwach,
  • wydawania dokumentów identyfikacyjnych (paszportów),
  • kontroli dostępu do określonych sfer bezpieczeństwa.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO