Osobní údaje vnímá GDPR velmi široce. Rozsah osobních údajů, které konkrétní zaměstnavatel zpracovává, stanovuje on sám podle toho, k jakému účelu je potřebuje.
Obecně jsou osobními údaji základní identifikační údaje zaměstnance, údaje související s jeho zaměstnáním, docházkou, odměňováním, pracovní pozicí, výkonností, hodnocením a plněním pracovních povinností.
Biometrické docházkové systémy budou například vyžadovat svobodný, informovaný a prokazatelný souhlas zaměstnance. Podle GDPR ho budete muset řádně informovat, umožnit mu souhlas odmítnout a jeho souhlas zdokumentovat.
Dochádzkové systémy by měly být nadizajnované tak, aby měly z technického hlediska nastavená dostatečná bezpečnostní opatření a měly by umožňovat využívání bezpečnostních opatření zavedených v GDPR.
Princip zajištění a prokazování dodržování GDPR znamená, že každý provozovatel by měl být schopen Úřadu prokázat, že postupuje v souladu s GDPR a dokumentovat vše, co se děje s osobními údaji.