• Bd. Regina Maria Nr. 32 , Sector 4, Bucuresti

Pontaj cu amprenta - conformitate GDPR

Pontaj cu amprenta - conformitate GDPR

Pontaj cu amprenta - conformitate GDPR

 În acest articol vom analiza conformitatea sistemelor de pontaj pe bază de amprentă la GDPR și legilația națională privind datele cu caracter personal, având în vedere particularitățile tehnice ale unora dintre aceste sisteme, dispozițiile legale relevante și  hotârârile judecătorești pronunțate în contextual contestării sancțiunilor aplicate de către Autoritatea de Supraveghere pentru utilizarea acestor sisteme.

 

*

Fluxurile mari de personal,  particularități ale activității unora dintre operatori - ce impun măsuri sporite de securizare a accesului, particularitățile locului/modului de prestare a activității sau, pur și simplu, dorința de a digitaliza gestionarea aspectelor ce țin de evidența timpului muncii, determină companiile să dorescă implementarea unor astfel de sisteme.

De multe ori, motivația implementării lor vine pe fondul identificării unor abateri ale angajaților – absențe nemotivate / părăsirea unității înainte de încheierea programului – angajații, fie se auto-pontează pentru intervale mai lungi de timp decât cele reale, fie își roagă colegii să semneze tabelele nominale în locul lor ori le împrumută cardurile de access pentru a-i ponta. 

Pe lângă faptul că simplifică substantial munca departamentului HR, având integrate multiple ale funcții, sistemele de pontaj pe bază de amprentă descurajează substantial practicile amintite anterior, oferind o mai mare exactitate a datelor – exigență legală impusă evidenței timpului de muncă (evident, atâta timp cât modificările manuale ulterioare asupra datelor colectate sunt reduse la minim).

*

De regulă, aceste sisteme nu permit pontarea pe baza unei imagini a amprentei – angajatul trebuie să fie efectiv prezent pentru a se ponta – și, au particularitatea că la momentul amprentării imaginea amprentei nu este salvata ca atare ci transpusă, în timp real, într-o secvență alfa-numerică lungă, unică, asociată exclusiv angajatului în cauză, pe baza căreia se asigură individualizarea sa.

Printr-un marketing eficient s-ar putea sugera ideea că astfel de sisteme se plasează în afara sferei de incidență GDPR, atâta timp cât nu se stochează efectiv date biometrice sau, cel puțin, s-ar putea sugera conformitatea lor by default, indiferent de contextul particular al operatorului de la momentul implementării, în virtutea unor expertize informatice favorabile / alte Certificări europene pentru softurile asociate, prezentate de furnizori.

*

În primul rand, se impune a se clarifica dacă astfel de sisteme, în ansamblul lor, intră în sfera de reglementare a GDPR (și, evident, a legislației naționale) și, mai departe, dacă în modul lor specific de funcționare există ori nu prelucrare de date biometrice în ințelesul GDPR.

În al doilea rând, se cere a se clarifica în ce masură exclusiv consimțămatul valabil exprimat, cu infomare prealabilă adecvată a persoanelor vizate, este suficient pentru implementarea legală a sistemului prin prisma exigentelor de proportionalitate/limitare la minim a datelor/posibilitatea de a utiliza cu succes căi mai putin intruzive, având în vedere motivațiile particulare la implementare ale sistemului de către un operator.

*

1. NU se poate susține că sistemele de pontare pe bază de amprentă nu intră în sfera de reglementare a GDPR, și, corelativ în sfera compețentelor autorității de supraveghere, pentru următoarele argumente:

  • În practica instanțelor judecatorești au fost luate în analiză sisteme de pontaj pe baza de amprentă de natura celor descrise anterior, care aveau, într-adevăr, un spectru larg de măsuri tehnico-informatice de conformitate integrate  (extragerea de trăsaturi unice ale amprentei, într-un număr minim necesar și suficient, transpunerea acestor caracteristici unice în secvențe alfa-numerice fără a se colecta imaginea în sine a amprentei, imposibilitatea de a se recreia amprenta pornind în sens invers, de la secvențele alfanumerice, Certificări de soft obținute de la organisme de certificare în baza unor directive europene, faptul că astfel de sisteme au fost considerate conforme de alte autoritati de supraveghere din statele europene).

Este adevarat că majoritatea hotărârilor judecătorești pronunțate până la acest moment se fundamentează pe vechea reglementare, dar care, este oricum în mare măsură, similară în esență, cu cea actuală, asupra problematicii analizate.

Pornind de la aceleși particularități tehnico-informatice ante-referite, invocate în apărare de opratorii sancționați, se identifică, într-adevăr și hotărâri diametral opuse  (Decizia 11/2019 a Curții de Apel București – menține Sentița de anulare a sancțiuni în privința utilizării sistemului de pontaj pe bază de amprentă vs Decizia 21/2019 a Curții de Apel București – admite apelul Autorității și schimbă în tot Sențința din fond, respingând total plângerea contravențională a operatorului)  dar in niciun caz nu s-a pus problema ca aceste sisteme nu ar intra în sfera de aplicare a GDPR și a garanțiilor și măsurilor corelative de care este ținut operatorul. Dimpotrivă, instanțele au reținut expres că vorbim de prelucrare de date personale în înțelesul legii.

  • Aplicația/interfața utilizată, la care este conectat cititorul de amprente, asigură “colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere” a datelor anagajatilor, chiar dacă datele sunt stocate într-o altă sursă – deci s-ar putea considera că prin aplicație se realizează operațiuni de prelucrare în intelesul GDPR, supsuse condițiilor de legalitate aferente
  • Nu în ultimul rănd, un aspect definitoriu este că se utilizeaza un sistem informatic/ noi tehnologii - susceptibile de riscuri mai ridicate, autoritatile europene ridicând un semnal general de atenționre sub aspectul acestora la Paragraful (89) din Preambulul GDPR și, mai departe, s-ar putea considera ca sistemul permite crearea de profiluri în intelesul art. 4 pct. (4) din GDPR respectiv permite a se <<evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, […]  comportamentul, locul în care se află persoana fizică>>

*

2. In particular, referitor la aspectul prelucarii de date biometrice, în contextul în care sistemul nu ar colecta imaginea unei amprente și nu ar exista o stocare a acesteia

Juridic, s-ar putea considera și în sensul  că amprenta este suspusă din start unui proces de prelucrare prin simplul fapt că este solicitată la fiecare acces, deci, în esență, identificarea este tot pe baza de amprenta, chiar daca este o identificare indirecta (de altfel, vorbim de o prelucrare cu caracter de continuitate).

Noțiunea de prelucrare nu este limitată/condiționată în mod necesar de cea de stocare prealabilă, definiția prelucrarii fiind una extem de extinsă, nelimitată la enumerarea exemplificativă a acțiunilor cu date din definiția legala și presupune, defapt <<orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal>>.

De altfel, optica autoritatii cu privire la faptul ca sisteme de acest tip realizează, defapt, o prelucrare de date biometrice se pare ca s-a menținut în timp (independent de reglementarile/aprecierile autoritatilor de reglementare din alte state)  – deși practica identificată la nivelul Curții de Apel Bucuresti și a altor Curți de Apel din țată vizează operațiuni de prelucrau ce intrau sub incidența vechii reglementari în materie, în mare măsură, în aceste cauze sancțiunile s-au aplicat și, subsecvent, litigiile s-au judecat la instanță după adoptarea GDPR în 2016 (deși, aplicarea a survenit abia în 2018)  – autoritatea cunoștea noua optică europeană dar nu și-a schimbat abordarea – trebuie încercate mai intâi căi mai puțin intruzive.

De altfel, inclusiv amenzile aplicate sub imperiul GDPR pentru utilizarea sistemelor de pontaj pe bază de amprentă (în cazul cărora nu cunoaștem particularitățile tehnice și justificările la implementare invocate în aparare) denota ca acesata optică nu s-a schimbat în esența.

A se vedea in acest sens comunicatul de presa al ANSPDC privind sanctionarea,  in temeiul GDPR, al unui operator privat, pentru folosirea unui sistem de pontaj pe bază de amprentă. Societatea a contestat sancțiunea aplicată la Tribunalul Constanța în 2020, contestația sa fiind respinsă în fond și ulterior, în apel, la Curtea de Apel Constanța s-a obținut înlocuirea amenzii cu avertismetul, deci evident faptele reținute considerându-se a fi în sfera GDPR.

*

3. Referitor la temeiurile și condițiile în care s-ar putea implementa, în mod legal, un sistem de pontaj pe bază de amprentă

Amprentele sunt date biometrice, deci date speciale în intelesul art. 4 pct. 14 din GDPR și, de principiu, conform art. 9 alin. (1) GDPR prelucrarea este lor interzisă/corelativ, permisă numai în situațiile de excepție prevăzute de lege.

Dacă scopul exclusiv în care se va folosi sistemul este pentru pontare, excepțiile care ar putea fi incidente, teoretic, pentru cazul unui operator care a recurs deja fără succes la sisteme alternative (cartele de acces), sunt cele de la art. 9 alin. (2) lit. a) si b) din GDPR/ art. 5 alin. (2) din Legea 190/2018 – respectiv consimțămantul persoanelor vizate (când cadrul legal ar permite înlaturarea interdicției prin simplul consimtamant, dat în cunostinșă de cauza și cu informare prealabilă de către persoana vizată) sau îndeplinirea unor obligatii legale / uzarea de drepturile recunoscute de lege operatorului, sau un interes legitim prevalent al operatorului, numai dacă prelucrarea este făcută cu respectarea condițiilor expres prevăzute în acest sens.

Deci vorbim, aparent, de trei temeiuri disticte ale prelucrarii – consimțămantul persoanelor vizate (în conditiile în care ar fi unicul temei de prelucrare, consimtamantul se poate retrage oricând și operatorul trebuie să înceteze prelucrarea, fara a afecta legalitataea prelucrării până la acel moment) / obligație legală sau drept recunoscut de lege / interes legitim prevalent.

Daca scopul pontării pe bază de amprentă ține inclusiv de implementarea unor masuri de protecție a sănătății publice (pentru cazul firmelor cu anumite profile ale activității, pentru care legea impune măsuri suplimentare de securitate, igientă etc) atunci survine un temei distinct de prelucrare – încadrabil la art. 6 alin. (1) lit. d) GDPR, dincolo de drepturile si interesele proprii ale operatorului, context în care s-ar putea justifica mai lesne introducerea sistemului și aplicabilitatea situatiilor de exceptie ale GDPR de la art. 9 alin. (2) lit. a) (și ref. protejarea intereselor vitale ale unei terțe personae), lit. h) (și ref. aspecte ce țin de prevenția în medicina muncii) și / sau i)  (ref. motive ce țin de interes public). Nici aici, evident, încadrarea nu este ferită de marja largă de apreciere a Autorității de supraveghere.

*

4. Pentru implementarea sistemului la firmele care nu s-ar justifica asemenea obligatii legale particulare, chestiunea caracterului suficient al consimțămantului este  susceptibilă de concluzii în ambele sensuri

Este adevărat că ținerea pontajului și, cu atat mai mult, ținerea unei evidente exacte sub acest aspect intră atât în rândul obligațiilor legale, și inclusiv în rândul drepturilor legale corelative ale angajatorului. Modalitatea în care alege, însă, o societate să și țină acest pontaj ar putea fi apreciată, mai degrabă, în sfera intereselor sale legitime, context in care legalitatea prelucrarii e data de prevalența acestor interese față de drepturile și interesele persoanelor vizate, care se apreciază inclsuiv prin respectarea cerinței proporționalității / principiului reducerii la minim a datelor -  pentru că inclusiv în acest context distinct reglementat se face trimitere la <<măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate>> .

Inclusiv autoritățile europene, în contextul în care conchid asupra legalității prelucrării de date biometrice în general, pe temeiuri de prelucrare “superioare” din sfera publică, trimit în mod necear la principiile generale în care trebuie realizată orice prelucrare, deci inclusiv la proporționalitate – a se vedea Paragraf (51) din Preambulul GDPR.

Acesta a fost și considerentul pentru care, în temeiul art. 4 lit. c) din Legea 677/2001 (legea anterioară în materie), Curtea de Apel București a apreciat că existența consimțământului persoanelor vizate NU înlătură exigența proportionalității – deci strict consimțământul nu ar fi suficient. O interpretare a noii reglementari în materie, în maniera expusa mai sus, ar conduce la aceeași concluzie.

Referitor la argumentul în favoarea acestor sisteme, privind un caracter mai exact al evidenței, autoritatea a sustinut în instanșă ca oricum exactitate nu se atinge pentru ca datele oferite de aceste sisteme atesta strict orele de intrare / ieșire din unitate iar nu si timpii efectivi de lucru în unitate.

Pentru minimizarea riscurilor, apreciem că trebuie asigurată, în orice caz, și respectarea condițiilor înscrise la art. 5 alin. (2) din Legea 190/2018:

  1. Se va intocmi prealabil introducerii sistemului o evaluare de impact în care
  • se va analiza și concluziona dacă interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate (în functie de specificul activitatii fiecăreia dintre firmele vizate de implementare); 
  • se va detalia și dovedi în ce masură modalităţile mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa;

 b) Daca concluziiile evaluarii sunt favorabile, Angajatorul va consulta sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare si va intocmi dovezile privind rezultatul acestei consultări

c) se va realiza informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor și, eventual, se va obține ȘI consimșământul acestora, producându-se și dovezile aferente în acest sens (ele trebuie păstrate pe întreaga durată de utilizare a sistemului + pe întreaga durată a termenului de prescripție pentru aplicarea sancțiunii de către autoritatea de date)

d) Prin documentele GDPR de implementare aferente acestui sistem se vor stabili durate de stocare proporţionale cu scopul prelucrării / în concordanță cu obligațiile legale de păstrare și măsuri specifice de securitate și confidențialitate, care vor fi aduse la cunoștința angajaților implicați în utilizarea sistemului.

14 Mai 2024
Cercetarea disciplinara a angajatilor

Ultimele articole

Contestatia la executare
Contestatia la executare
14 Mai 2024
Control Autoritatea de date - procedura si contestarea sanctiunilor
Control Autoritatea de date - procedura si contestarea sanctiunilor
14 Mai 2024
Cumparare imobil - analiza juridica prealabila
Cumparare imobil - analiza juridica prealabila
14 Mai 2024
Recuperarea mai rapida a creantelor – ordonanta de plata
Recuperarea mai rapida a creantelor – ordonanta de plata
14 Mai 2024
Delegarea
Delegarea
14 Mai 2024
Delistarea de la bursa
Delistarea de la bursa
14 Mai 2024

Serviciile noastre

Informații de contact

Bd. Regina Maria Nr. 32 , Sector 4, Bucuresti

+40 787 555 822

savin@legalproadvisory.com

Aveti nelamuriri?

Căutați ajutorul unui avocat?

Avocat Bucuresti