logo
23.08.2018 11:57
1
Hledáme do firmy docházkový systém a zaujala nás možnost identifikace otiskem prstu. Tato metoda by měla zajistit, že zaměstnanec bude vždy fyzicky u přístroje v době identifikace. U čipu hrozí ztráta (prst má každý pořád u sebe :-)) nebo záměna (není zaručeno kdo u přístroje opravdu stojí). Otisk prstu by zajistil zcela automatickou kontrolu docházky bez nutnotnosti kontroly člověkem - na konci měsíce by si účetní pouze vyjela výsldek. Navíc lze napojit na dvěře, takže je to i pohodlnější než klíč.

Jak je to ale ochrannou osobních údajů? přijde mi to docela na hraně. Našel jsem vyjádření UOOU ale je takové, že se vyjadřují nepřímo aby nejspíše nepřevzali zdopovědnost. Řešil už to někdo prosím přímo s UOOU? Těch systémů je docela dost, ale moc tomu z právního pohledu nevěřím. Jedná se oběžný sklad (žádný speciální pracoviště).
Děkuji.

P.S.: Prosím o vynechání komentářů že je to zotročování, že se má kontrolovat výsledek práce a ne čas apod. Případně uvítám i jiný návrh, jak zajistit identifikaci zaměstnance (kamera bude taky dle mého problémová). Děkuji.

Co se právě děje na Webtrhu?

23.08.2018 12:13
2
Do pracovní smlouvy bude třeba zavést dodatek, že s poskytnutím biometrických údajů zaměstnanec souhlasí. Toto ale obecně platí i pro karty a čipy, pokud se v rámci docházkového systému zaznamenává a sleduje pohyb zaměstnance po areálu (třeba ve spojení s elektronickými zámky na dveřích).

Nicméně kvalitní terminály se snímači otisků prstů nejsou nejlevnější. Ať už se bude jednat o jakéhokoli výrobce zařízení, u nižších modelů lze očekávat obyčejný čínský senzor. Dál malou paměť pro databázi uložených otisků prstů (většinou jeden zaměstnanec zaznamenává alespoň 4 různé otisky). Čím je paměť plnější, tím déle trvá vyhodnocení. Často pak také dochází k zamítnutí - z hlediska bezpečnosti je pro takový systém lepší, aby otisk neprošel, než aby byl do budovy vpuštěn někdo cizí. Funkčnost nakonec omezuje mnoho faktorů - i lehce poškozené lůžko prstu, mastnota, špína, vlhkost v zimě, pot v létě. Výběr zařízení chce opravdu nepodcenit a nebo se biometrice raději vyhnout. Karetní a čipové snímače jsou ve stejné cenové hladině mnohem spolehlivější.
23.08.2018 12:15
3
Děkuji za vysvětlení a výpis možných problémů.
23.08.2018 13:38
4
V rámci GDPR - kvůli Zvláštní kategorii - která otisk prstu je - bych pak doporučoval ukládat data šifrovaně.
23.08.2018 18:52
5
Původně odeslal bingoplayer
Děkuji za vysvětlení a výpis možných problémů.
Ja by som doplnil.. ani tie clanky nemusite citat, len tie nadpisy stacia.

Postřehy z bezpečnosti: objeven univerzální otisk prstu - Root.cz
https://www.root.cz/zpravicky/nefott...radnou-otisky/
Čtečku otisků prstů iPhone 5S lze oklamat - Root.cz
https://www.root.cz/zpravicky/z-tele...tvrdi-hackeri/
Snímač otisků prstů Samsung Galaxy S5 je možné obejít - Root.cz
24.08.2018 13:47
6
Zpracování citlivých osobních údajů je v rámci GDPR, až na výjimky, zakázáno (článek 9). Sem spadá i otisk prstu. Jsou dva typy docházkových systémů. První ukládá v sobě přímo otisk prstu - tento je v zásadě zakázaný a neprojde. Druhý v sobě ukládá hash otisku takže není možné z něho otisk zpětně dostat. Tento je možné použít za předpokladu, že:


- zpracujete analýzu rizik

- provedete posouzení dopadu na práva subjektu údajů DPIA

- provedete posouzení pomocí balančního testu


toto vše za předpokladu, že chcete systém nasadit legálně. Pokud nejste rizikové pracoviště pak legálnost nasazení bude vždy na hraně i když to právníci vypapírují.


Viz. vyjádření úřadu:


Obecné nařízení o ochraně osobních údajů v článku 9 odst. 1 zakazuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Podle článku 9 odst. 2 písm. b) se odstavec 1 nepoužije, pokud je zpracování nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů.

Podle článku 9. odst. 4 členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování biometrických údajů. Tyto možnosti by členské státy měly mít i podle recitálu 53 obecného nařízení. Podle recitálu 91 by mělo být v případech, kdy se osobní údaje zpracovávají v návaznosti na zpracování biometrických údajů, vypracováno posouzení vlivu na ochranu osobních údajů.

Jaký bude výklad těchto ustanovení, zda bude za zpracování biometrických údajů považováno i vstupní použití otisků prstů, aniž by docházelo k jejich uchovávání v databázi správce, či zda bude takový postup po posouzení vlivu na ochranu osobních údajů považován při dodržení stanovených záruk za přípustný, není zatím zřejmé. Mělo by to být předmětem jednotného celoevropského přístupu k této problematice, o kterém bude Úřad informovat.