Úřad pro ochranu osobních údajů (dále jen ÚOOÚ) původně vydal v r. 2009 stanovisko, dle kterého se rozlišovaly 2 varianty, přičemž každá měla jiné právní důsledky:
- Biometrické údaje jsou na vstupu sejmuty a převedeny na číselnou řadu tak, že není možné zpětně provést rekonstrukci otisku, tj. otisk prstu se neukládá, ukládá se jen číselná řada. V takovém případě se dle ÚOOÚ nejednalo o zpracování osobních údajů (dále jen OÚ) zvláštní kategorie (citlivé OÚ), ale o běžné OÚ a právní důvod tak je zákonný, neboť se jedná o standardní OÚ získané pro evidenci docházky.
- Do druhé kategorie pak ÚOOÚ zařadil systémy aktivně pracující s biometrickými údaji, kde otisk prstu je skutečně uložen v zařízení (systému). V takovém případě se jednalo o OÚ zvláštní kategorie (citlivé OÚ) a jako právní důvod musí existovat souhlas každé dotčené fyzické osoby.
GDPR zařadila biometrické údaje mezi OÚ zvláštní kategorie (citlivé OÚ) a jejich zpracovávání je fakticky obhájitelné jen souhlasem každé dotčené fyzické osoby. ÚOOÚ nově zaujal stanovisko, že se nebude rozlišovat mezi způsobem zpracování popsaným výše v bodech a) a b), tj. jakýkoli systém (zařízení) shromažďující biometrická data (i když jen jako číselnou řadu 0 a 1, binární kód) bude považován za systém zpracovávající OÚ zvláštní kategorie a pro obě varianty popsané výše platí stejná pravidla.
V praxi to pak znamená, že správce takový docházkový systém neobhájí zákonným důvodem, ale musí mít souhlas každého dotčeného zaměstnance, který může být kdykoli odvolán. Navíc tak vzniká správci povinnost zpracovat tzv. „posouzení vlivu na ochranu OÚ“ (DPIA – Data Protection Impact Assessment), neboť se jedná o vysoké riziko pro práva a svobody fyzických osob a správce musí také zvýšit zabezpečení těchto OÚ zvláštní kategorie. ÚOOÚ vydal také stanovisko, že biometrické technologie, i přes jejich větší dostupnost a dosažitelnost (finanční i technickou), nejsou plnou náhradou jiných bezpečnostních řešení a samy o sobě větší bezpečnost nezajišťují. Správce, který biometrii používá, musí předem zkoumat, zda existují vážné hrozby, které instalaci takových systémů odůvodňují, a průběžně posuzovat účinnost biometrického systému. K použití biometrie musí být dán skutečně vážný důvod a zároveň správce musí zkoumat i další dopady na dotčené fyzické osoby (zaměstnance).