Повереник за информације од јавног значаја и заштиту података о личности, оценио је данас да сви послодавци који, у сврху евиденције присутности запослених на послу односно ради контроле коришћења радног времена примењују или намеравају да примене мере обраде биометријских података морају да воде рачуна о томе да такве мере, у највећем броју случајева могу бити неоправдане и супротне закону.

Наглашавајући да такве мере, од којих је најчешћа обрада отисака прстију запослених, чак и кад се примењују уз формалну сагласност, по правилу, представљају недопуштену обраду података Повереник Родољуб Шабић је изјавио следеће:

„Послодавци, на основу Закона о раду и Закона о евиденцијама у области рада, наравно, имају право да обрађују податке о радном времену и његовом коришћењу у оквиру евиденција које су тим законима прописане. За обраду свих  других података који нису прописани законом дужни су да прибаве сагласност лица о чијим подацима се ради. Међутим, чак и кад постоји пристанак запослених за прикупљање биометријских података (снимање отисака прстију) то не значи да је таква обрада података дозвољена.

Наиме, један од основних начела Закона о заштити података личности је начело сразмерности. Оно подразумева да је дозвољено обрађивати само оне податке који су очигледно потребни и примерени за постизање сврхе. Обрада података који су по броју или врсти несразмерни сврси је према одредби чл. 8 тач. 7. Закона је недозвољена.

У правном поретку Србије и поред више упозорења Повереника још увек не постоји закон који опште принципе утврђене Законом о заштити података о личности  прецизније уређује у области биометријских података. Међутим, будући да је заштита података о личности Уставом зајамчено људско право, на његову заштиту се сходно чл. 18 ст. 3 Устава односе важећи међународни стандарди, као и пракса међународних институција које надзиру остваривање тих стандарда.

С тим у вези, подсећам на један од фундаменталних докумената у овој области - Директиву Европског парламента и Савета 95/46 ЕЗ о заштити грађана у вези са обрадом података о личности и о слободном кретању таквих података; као и на стандарде и смернице Article 29 – Data Protection working Party (Радно тело 29), институције основане на основу чл. 29 наведене Директиве.

Ставови овог тела у вези са обрадом биометријских података су познати и заснивају се на схватању да она представља посебно инвазиван и ризичан продор у приватност појединца. Ти ставови стога подразумевају стриктну процену у погледу сразмерности одређених података. Обрада биометријских података дозвољена је само кад је нужна и неопходна (приступ заштићеним просторијама или зонама, чување тајни и сл.), а увођење биометријских мера само ради контроле коришћења радног времена је прекомерно, несразмерно и представља непотребно задирање у приватност појединца."