Apibendrinusi patikrinimų rezultatus VDAI parengė rekomendacijas, kaip ir kada galima pirštų antspaudus tvarkyti patekimo į sporto klubus (o ir kitur) ir darbo vietos kontrolės tikslu.
Pirma, VDAI nustatė, kad visi tikrinti sporto klubai (lankytojų) pirštų antspaudus naudojo remdamiesi iš klientų gautu sutikimu. Ir išties BDAR (aka GDRP) leidžia tvarkyti specialiųjų kategorijų asmens duomenis (o biometriniai duomenys tokiais yra), jei duomenų subjektas davė aiškų sutikimą.
Tačiau toks kliento sutikimas turi būti laisvas, konkretus, nedviprasmiškas ir duotas turint išsamią informaciją apie tai, kaip ir kokiais tikslais asmens duomenys bus naudojami. Be to prašymas duoti sutikimą tvarkyti duomenis turi būti pateikiamas klientui tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
Sutikimas taip pat nebus laikomas laisvu, jei nesutikus klientas negalės naudotis paslaugomis.
Greta to, klientui turi būti sudarytos sąlygos identifikuotis ne pirštų antspaudu, o kitu būdu (pvz. kortele, kurioje paprastai nebūna biometrinių duomenų).
Antra, klientas gali bet kada atšaukti savo duotą sutikimą. Tokia galimybė klientui turi būti išaiškinta ir realiai užtikrinta. Ir vėlgi, jei klientas atšaukia duotą sutikimą, jis negali nuo to nukentėti (pvz. negalima nutraukti jam paslaugų teikimo), nes tokiu atveju duotas sutikimas nebus laisvas.
Trečia, net ir tuo atveju, jei gavote kliento sutikimą, prieš pradėdami tvarkyti asmens duomenis privalote atlikti poveikio duomenų apsaugai įvertinimą ir išsiaiškinti, ar apskritai yra pagrindas tokius asmens duomenis tvarkyti, įvertinti galinčius kilti pavojus, ir tai, kokios būtų pakankamos saugumo priemonės šiems pavojams sumažinti.
Ketvirta, darbuotojų pirštų antspaudų, VDAI nuomone, įėjimo kontrolės tikslu išvis negalima tvarkyti.
VDAI nuosekliai laikosi pozicijos, kad darbuotojas negali duoti laisvo sutikimo, nes jo derybinė galia daug mažesnė. Kitaip tariant, darbuotojas neturi realios galimybės darbdaviui pasakyti „ne“.
Ar tokia VDAI pozicija taikoma visai darbo rinkai, sunku spręsti. Įdomu, ar individualiais atvejais būtų galima su VDAI ginčytis ir jai įrodinėti, kad ne darbuotojo, o darbdavio derybinė galia daug mažesnė ir pastarasis nebegali darbuotojui pasakyti „ne“. Juk ne iš vieno kliento girdėjome apie kai kurių specialybių darbuotojų trūkumą ir baimę, kad programuotojas trenks durimis, nes darbuotojo siūlomi vaisiai nebuvo pakankamai švieži (istorija tikra).
Taigi, kadangi darbuotojo sutikimas nėra tinkamas pagrindas tvarkyti pirštų antspaudus, įėjimo kontrolės tikslu, VDAI nuomone, jų išvis negalima tvarkyti.
Penkta, jei renkate biometrinius duomenis, turite užtikrinti jų saugumą pasirinkdami tinkamas technines priemones. Turint omenyje, kad biometriniai duomenys yra laikomi jautresniais, ir techninės apsaugos priemonės turėtų būti saugesnės, nei tvarkant kitus duomenis.
Apibendrinant, patariu pirštų antspaudus įėjimo kontrolei naudoti tik gerai įvertinus, ar tai verta ir ar nėra kitų ne mažiau efektyvių būdų tam pačiam tikslui pasiekti. Jei visgi nusprendėte klientų pirštų antspaudus rinkti, informuokite klientus apie tai, kaip naudosite jų pirštų antspaudus, gaukite jų laisvą sutikimą, sudarykite galimybes duotą sutikimą lengvai atšaukti, prieš pradėdami įvertinkite, ar apskritai yra pagrindas tokius asmens duomenis tvarkyti, užtikrinkite tinkamą techninę šių duomenų apsaugą.
Na, o darbuotojų pirštų antspaudų įėjimo kontrolei išvis geriau nenaudoti.