Обрада биометријских података, као што су снимак отиска прста или биометријски шаблон (извлачење главних карактеристика из слике отиска прста и њихово чување у бази података ради упоређивања карактеристика биометријског шаблона и самог прста, тј. отиска прста, чиме се врши јединствена идентификација лица, без обзира на то што се не може репродуковати у слику отиска прста) није дозвољена.
Наиме, није спорно да послодавац има право и обавезу да контролише податке о радном времену и његовом коришћењу од стране својих запослених, а што произилази из Закона о раду („Сл. гласник РС", број 24/2005, 61/2005 и 54/2009) и Закона о евиденцијама у области рада („Сл.лист СРЈ" бр. 46/96 и „Сл. Гласник РС", бр. 101/2005 – др. Закон и 36/2009 – др. закон), којим је прописано које податке послодавац мора да води у оквиру Евиденције о запосленим лицима (члан 5.), а које у оквиру Евиденције о зарадама запослених (члан 24.). За све податке који се обрађују о запосленима, а који нису прописани Законом о евиденцијама у области рада, потребно је прибавити пристанак лица у складу са одредбама члана 10. и 15. Закона о заштити података о личности. Међутим, чак и ако постоји пристанак запослених за прикупљање биометријских података (путем снимања отисака прстију), таква обрада података није дозвољена. Наиме, према одредби члана 8. тач. 7. Закона о заштити података о личности дозвољено је обрађивати само оне податке који су по броју или врсти сразмерни сврси обраде. Другим речима, могу се прикупљати и обрађивати само они подаци који су у циљу постизања сврхе нужно неопходни. То подразумева да се у сваком конкретном случају за сваку врсту податка мора преиспитати да ли је обрада неког податка нужна и неопходна за остварење сврхе обраде. Другим речима, поставља се питање да би се контролисало коришћење радног времена запослених да ли је нужно и неопходно вршити снимање отисака прстију запослених или се та сврха може постићи и на други, мање инвазиван начин?
У нашем правном поретку не постоји закон који на општи и системски начин уређује обраду биометријских података, као врсте података о личности. Међутим, будући да је заштита података о личности чланом 42. Устава Републике Србије зајемчена као посебно људско право, у тумачењу и заштити овог људског права потребно је применити одговарајуће, важеће међународне стандарде људских права. Сходно одредби чл. 18. став 3. Устава Републике Србије, одредбе о људским и мањинским правима тумаче се у корист унапређења вредности демократског друштва, сагласно важећим међународним стандардима људских и мањинских права, као и пракси међународних институција које надзиру њихово спровођење. Одредбом члана 5. Конвенције о заштити лица у односу на аутоматску обраду података, која је постала део унутрашњег правног поретка на основу Закона о потврђивању Конвенције о заштити лица у односу на аутоматску обраду података („Сл. лист СРЈ – Међународни уговори", бр. 1/92 и „Сл. лист СЦГ – Међународни уговори", бр. 11/2005 – др.закон) прописано је да лични подаци који се аутоматски обрађују:
(а) лојално се и законито добијају и обрађују,
(б) унети су за тачно утврђене и легитимне сврхе и не користе се ненаменски,
(ц) адекватни су, релевантни и одговарајућег обима у односу на сврхе за које су и унети,
(д) брижљиво су сложени и, када је потребно, благовремени,
(д) похрањени су у облику који омогућује идентификацију заинтересованих лица у периоду који не премашује онај неопходан период за сврхе за које су и похрањени.
Директива Европског парламента и Савета 95/46/ЕЗ од 24.10.1995. године о заштити грађана у вези са обрадом података о личности и о слободном кретању таквих података је један од темељних докумената права Европске Уније, који регулише обраду података о личности, штититећи основна права и слободе физичких лица, а нарочито право на приватност, као једно од фундаменталних људских права. Релевантна међународна институција која се бавила биометријским подацима и која је успоставила одређене стандарде и смернице у тој области, јесте Радна Група 29, основано чланом 29. наведене Директиве 95/46/ЕЗ од 24.10.1995. године, а чија је надлежност прописана чланом 30. исте Директиве. Ово тело има саветодавни статус и независно је у свом раду. Према Радном документу о биометрији, који је усвојила Радна Група 29 дана 1. августа 2003. године, биометријски подаци се могу користити само уколико су адекватни, релевантни и ако нису прекомерни.
Сврха за коју се биометријски подаци могу користити и обрађивати мора бити јасно одређена, при чему је неопходно извршити процену сразмерности и законитости обраде, узимајући у обзир ризик који таква обраде може представљати за заштиту основних права и слобода појединаца, а нарочито да ли се намеравана сврха обраде може постићи на мање инванзиван начин. Ово подразумева стриктну процену у погледу сразмерности обрађиваних података. Централизовано чување биометријских података такође повећава ризик од употребе биометријских података, као кључно за повезивање различитих база података, које може довести до детаљних профила о навикама појединаца како у јавном тако и у приватном сектору. Стога је употреба биометријских података нужна и неопходна само у случајевима када је то неопходно за обављање делатносности руковаоца (то се цени зависно од тога којом делатношћу се бави послодавац), заштиту података о личности или пословних тајни, безбедности људи и сл.
Увођење биометријских мера само и искључиво ради контроле коришћења радног времена је прекомерно, несразмерно и њихово увођење представља непотребно задирање у приватност појединца, јер се сврха обраде може постићи и на друге начине, бољом организацијом запослених, одређивањем лица која ће контролисати одлазак и долазак запослених и сл, а штета која може настати злоупотребом ових података већа је од користи коју руковалац података може имати.