Jak se to má s autentizací uživatele pomocí otisku prstu nebo rozpoznání obličeje

Některé terminály systému SYSDO umožňují identifikovat uživatele pomocí tzv. biometrie. Znamená to, že autentizace uživatele probíhá buď načtením otisku prstu nebo rozpoznáním jeho obličeje. Nesporné výhody tohoto typu autentizace (kdy se eliminuje např. zapomenutí přístupového čipu nebo jeho zneužití) jsou v současné době omezeny právní regulací. I přes to, že SYSDO pracuje pouze s hashem otisku prstu či snímku obličeje, tj. šablonou vyjádřenou v číselné řadě, z níž není možné zpětně získat původní biometrické údaje, současná právní úprava vnímá i toto jako biometrický údaj. Biometrický údaj pak spadá do zvláštní kategorie osobních údajů, kterou lze zpracovávat pouze na základě souhlasu (nebo v případech popsaných v čl. 9, odst. 2 GDPR). Každý správce osobních údajů by tak měl zpracovávat docházku uživatelů identifikovaných biometrickým způsobem pouze na základě jejich výslovného souhlasu. Tato přísnější pravidla se týkají všech čtecích zařízení a systémů, které identifikují uživatele pomocí otisku prstu či snímku obličeje, ať už slouží k čemukoliv.

Aby byl souhlas se zpracováním hashe otisku prstu či snímku obličeje platný (svobodný), je potřeba uživateli nabídnout i alternativní způsob identifikace. Všechna čtecí zařízení kompatibilní se systémem SYSDO proto nabízí i nebiometrické způsoby identifikace uživatele (pin kód, QR kód, RFID čip / kartu), které lze v případě neuděleného souhlasu využít.

SYSDO pamatuje i na možné odvolání souhlasu. V případě odvolání souhlasu s autentizací pomocí otisku prstu či snímku obličeje je potřeba v systému SYSDO (editace uživatele – autentizace) smazat uživateli veškeré biometrické údaje a nahradit autentizaci jiným – nebiometrickým – typem.