Postęp technologiczny niewątpliwie zdominował XXI wiek. W związku z tym pracodawcy coraz częściej stosują narzędzia wykorzystujące dane biometryczne pracowników do realizacji potrzeb związanych z prowadzeniem działalności gospodarczej. W celu identyfikacji pracowników oraz rejestracji czasu pracy coraz częściej sięgają do narzędzi pozwalających na rozpoznawanie twarzy, identyfikacji poprzez zbieranie odcisków palca, a nawet skanu siatkówki oka. Czy takie rozwiązania są jednak legalne? Tekst ekspercki przygotował Mateusz Grosicki, partner w kancelarii Graś i Wspólnicy.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w art. 4 pkt. 14 definiuje dane biometryczne jako: „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają, lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Biometrycznymi danymi osobowymi są np. wzór linii papilarnych, układ naczyń krwionośnych, wzór tęczówki oka, geometria dłoni czy wykorzystywana przez nas w życiu codziennym przy autoryzacji telefonów geometria twarzy.
Podstawy korzystania przez pracodawcę z danych biometrycznych
Pracodawca może przetwarzać biometryczne dane osobowe zgodnie z art. 21 Kodeksu Pracy wyłącznie w sytuacji kiedy jest do niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Zgodnie z art. 221B Kodeksu Pracy pracodawca może korzystać z danych biometrycznych również w celu ograniczenia dostępu do pomieszczeń wymagających szczególnej ochrony.
Kluczową kwestią jest wynikający z art. 9 ust. 2 Rozporządzenia RODO fakt możliwości przetwarzania takich danych wyłącznie za wyraźnie udzieloną zgodą osoby, której dane dotyczą. Dla celów dowodowych ważne jest, aby taka zgoda miała formę pisemną. Pracodawca musi również poinformować oraz umożliwić pracownikowi możliwość wycofania w każdej chwili takiej zgody bez wyciągania wobec niego negatywnych konsekwencji.
Kontrola czasu pracy a dane biometryczne
Zgodnie z Wyrokiem Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r. w sprawie o sygnaturze akt I OSK 249/09 korzystanie z danych biometrycznych do kontroli czasu pracy jest zjawiskiem nieproporcjonalnym do zamierzonego celu ich przetwarzania. Zatem nawet dobrowolnie wyrażona zgoda nie daje pracodawcy podstaw do wykorzystania danych biometrycznych w celu ewidencji czasu pracy.
Legalność przetwarzania danych biometrycznych pracownika
Podsumowując, pracodawca może przetwarzać dane biometryczne pracownika wyłącznie gdy:
1. Spełnia podstawowe zasady przetwarzania danych osobowych z art. 5 RODO,
2. Powiadomi pracownika o przysługujących mu prawach
3. Upoważni pracownika przetwarzającego dane biometryczne, zobowiązując go do zachowania poufności
4. Posiada podstawę prawną do przetwarzania danych biometrycznych
5. Zapewni odpowiedni poziom bezpieczeństwa przetwarzania danych biometrycznych
6. Przeprowadzi analizę ryzyka
7. Uzyska zgodę pracownika do przetwarzania jego danych biometrycznych
Konsekwencje niezgodne z prawem przetwarzania danych biometrycznych
Pracodawca, który przetwarza dane biometryczne w sposób niezgodny z prawem, naraża się na wszczęcie postępowania przed Prezesem Urzędu Danych Osobowych oraz odpowiedzialność administracyjną, w tym nałożenia kar finansowych.
Należy również wskazać ryzyko odpowiedzialności cywilnej oraz karnej. Pracownikowi, którego dane biometryczne są przetwarzane niezgodnie z prawem, przysługuje również możliwość złożenia skargi do Państwowej Inspekcji Pracy oraz wytoczenia powództwa przed sądem pracy.