Dane biometryczne – czy pracodawca może je przetwarzać?
Pracodawcy coraz częściej wykorzystują dane biometryczne pracowników do realizacji potrzeb biznesowych. Rozpoznawanie twarzy, odcisk palca i skan siatkówki oka używane są do identyfikacji pracowników lub rejestracji czasu pracy. Metody te cenione są głównie za ich prostotę. Jednak czy są zgodne z prawem? Istnieją surowe przepisy regulujące użycie danych biometrycznych. Sprawdźmy, kiedy pracodawca może je przetwarzać.
Jeszcze kilka lat temu pracownicy rzadko sprzeciwiali się utrwalaniu swojego wizerunku na służbowym identyfikatorze. Dzisiaj, w dobie technologii umożliwiającej rozpoznawanie twarzy i „tagowanie” zdjęć, a także w związku z rosnącą świadomością na temat bezpieczeństwa danych, zdarza się, że pracownicy nie wyrażają zgody na wykonanie fotografii. Nie można się więc dziwić, że czują obawy, udostępniając skan linii papilarnych czy siatkówki oka. Nie wiadomo przecież, jak dane te zostaną wykorzystane, jeśli wpadną w niepowołane ręce.
Czym jest biometria?
Na samym wstępie warto określić i przybliżyć czym jest biometria.
Biometria jest techniką rozpoznania konkretnej osoby dzięki jej unikalnym cechom fizycznym oraz behawioralnym.
Najpopularniejszymi technikami biometrycznymi są systemy oparte o:
- kształt twarzy
- wzór linii papilarnych
- geometrię dłoni
- układ naczyń krwionośnych
- dynamikę mowy
- wzór tęczówki oka
Techniki biometryczne wykorzystywane są również przy analizie DNA, zapachu ciała, emocji, podpisu odręcznego czy sposobu posługiwania się klawiaturą lub kursorem myszy.
Biometria w życiu dziennym
Z technologią bazującą na danych biometrycznych mamy do czynienia częściej niż się wydaje. Sami stosujemy ją, odblokowując telefon za pomocą rozpoznawania twarzy czy odcisku palca. Biometrykę wykorzystuje się również w systemach bankowych i jako zabezpieczenie dostępu do bankomatów. Wzory odcisków palców używa się z kolei w paszportach biometrycznych.
Co to są dane biometryczne i czy podlegają ochronie RODO?
Dane biometryczne to dane szczególnej kategorii danych osobowych (danych wrażliwych), które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej.
Zgodnie z art. 4. pkt. 14. RODO:
„Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Z danymi biometrycznymi mamy więc do czynienia, kiedy zostają spełnione wszystkie wyżej wymienione warunki: utrwalona cecha fizyczna lub behawioralna osoby umożliwia – wskutek użycia specjalnych systemów technicznych – jednoznaczną identyfikację konkretnej osoby.
Przykłady danych biometrycznych
Dla porządku wymieńmy przykładowe dane biometryczne:
- odcisk palca i linii papilarnych
- układ naczyń krwionośnych palca
- cechy tęczówki oka
- skan twarzy
- kształt małżowiny usznej
- głos
- podpis uwzględniający nacisk i poziom nachylenia pisma
- dynamika pisania na klawiaturze
- sposób poruszania się
- kod DNA
Należy mieć na uwadze, że wraz z rozwojem technologii, lista danych biometrycznych stale się powiększa.
Czy zdjęcie to dane biometryczne?
To czy fotografia z wizerunkiem twarzy stanowi dane biometryczne, zależy od sposobu jej przetwarzania. Zazwyczaj jednak zdjęcia nie są danymi biometrycznymi, gdyż zgodnie z RODO, mogą nimi być tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Czy i kiedy pracodawca może przetwarzać dane biometryczne pracownika?
Przejdźmy do najważniejszego. Pracodawca może przetwarzać dane biometryczne pracownika tylko w wyjątkowych sytuacjach wskazanych w obowiązujących przepisach prawa. W artykule 21 Kodeksu pracy czytamy, że przetwarzanie danych biometrycznych pracownika dopuszczalne jest
„wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony”.
Kodeks mówi, że pracodawca może przetwarzać dane biometryczne tylko, gdy ich przekazanie następuje z inicjatywy pracownika lub osoby ubiegającej się o zatrudnienie. Zgodna pracownika musi mieć charakter dobrowolny, jednoznaczny, świadomy i uprzedni. Pracodawca nie może zmusić pracownika do podania danych ani wyciągać konsekwencji, gdy ten nie zgodzi się na ich pobranie.
Ponadto do przetwarzania danych biometrycznych dopuszczone są wyłącznie osoby posiadające pisemne upoważnienie. Osoby te zobowiązane są do zachowania tajemnicy.
PODSUMOWUJĄC – pracodawca może przetwarzać dane biometryczne tylko:
- z inicjatywy i za zgodą pracownika lub osoby ubiegającej się o zatrudnienie
- gdy ich przetwarzanie wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.
Dane biometryczne a kontrola czasu pracy
Zgodnie z powyższym – pracodawca nie może pozyskiwać danych biometrycznych do ewidencji czasu pracy. Chociaż metoda ta jest z pewnością wygodna, to tym samym jest niezgodna z polskim prawem. Biometryczna kontrola czasu pracy nie powinna więc mieć miejsca nawet w przypadku świadomej zgody pracownika.
Wykorzystywanie danych biometrycznych pracownika do monitoringu czasu pracy narusza zasady określone w art. 5 ust. 1 RODO i jest niezgodne z zasadzą legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c). Przetwarzając w ten sposób dane, pracodawca nie jest w stanie wykazać, dlaczego i zgodnie z jakimi przepisami postępuje. Rejestracja biometryczna czasu pracy jest niezasadna i zastąpić ją można innymi metodami jak np. listy obecności lub karty dostępu.
Przeczytaj również: Jak chronić dane osobowe? Podstawowe zasady ochrony danych osobowych
Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem
W Polsce na straży prawa związanego z ochroną danych osobowych stoi Prezes UODO (Urzędu Ochrony Danych Osobowych). Warto pamiętać, że za przetwarzanie danych biometrycznych niezgodnie z prawem bądź za ich naruszenie, grozi odpowiedzialność kary pieniężnej, a także ryzyko postępowania cywilnego i karnego. Dodatkowo pracownik może złożyć skargę do Państwowej Inspekcji Pracy oraz złożyć sprawę do sądu pracy.
Potrzebujesz wsparcia w zakresie ochrony danych osobowych? Napisz do nas [email protected] lub sprawdź nasze usługi i szkolenia.
Już niedługo kolejne edycje certyfikowanych szkoleń PECB Certified Data Protection Officer. Zobacz terminy!
Podobał Ci się artykuł? Zaobserwuj nas na Facebooku lub LinkedInie, aby być na bieżąco z podobnymi materiałami.