Dane biometryczne – czy pracodawca może je przetwarzać?

clock 5m 14s

Pracodawcy coraz częściej wykorzystują dane biometryczne pracowników do realizacji potrzeb biznesowych. Rozpoznawanie twarzy, odcisk palca i skan siatkówki oka używane są do identyfikacji pracowników lub rejestracji czasu pracy. Metody te cenione są głównie za ich prostotę. Jednak czy są zgodne z prawem? Istnieją surowe przepisy regulujące użycie danych biometrycznych. Sprawdźmy, kiedy pracodawca może je przetwarzać.

Jeszcze kilka lat temu pracownicy rzadko sprzeciwiali się utrwalaniu swojego wizerunku na służbowym identyfikatorze. Dzisiaj, w dobie technologii umożliwiającej rozpoznawanie twarzy i „tagowanie” zdjęć, a także w związku z rosnącą świadomością na temat bezpieczeństwa danych, zdarza się, że pracownicy nie wyrażają zgody na wykonanie fotografii. Nie można się więc dziwić, że czują obawy, udostępniając skan linii papilarnych czy siatkówki oka. Nie wiadomo przecież, jak dane te zostaną wykorzystane, jeśli wpadną w niepowołane ręce.

Czym jest biometria?

Na samym wstępie warto określić i przybliżyć czym jest biometria.

Biometria jest techniką rozpoznania konkretnej osoby dzięki jej unikalnym cechom fizycznym oraz behawioralnym.

Najpopularniejszymi technikami biometrycznymi są systemy oparte o:

  • kształt twarzy
  • wzór linii papilarnych
  • geometrię dłoni
  • układ naczyń krwionośnych
  • dynamikę mowy
  • wzór tęczówki oka

Techniki biometryczne wykorzystywane są również przy analizie DNA, zapachu ciała, emocji, podpisu odręcznego czy sposobu posługiwania się klawiaturą lub kursorem myszy.

Biometria w życiu dziennym

Z technologią bazującą na danych biometrycznych mamy do czynienia częściej niż się wydaje. Sami stosujemy ją, odblokowując telefon za pomocą rozpoznawania twarzy czy odcisku palca. Biometrykę wykorzystuje się również w systemach bankowych i jako zabezpieczenie dostępu do bankomatów. Wzory odcisków palców używa się z kolei w paszportach biometrycznych.

Co to są dane biometryczne i czy podlegają ochronie RODO?

Dane biometryczne to dane szczególnej kategorii danych osobowych (danych wrażliwych), które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej.

Zgodnie z art. 4. pkt. 14. RODO:

"Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne".

Z danymi biometrycznymi mamy więc do czynienia, kiedy zostają spełnione wszystkie wyżej wymienione warunki: utrwalona cecha fizyczna lub behawioralna osoby umożliwia – wskutek użycia specjalnych systemów technicznych – jednoznaczną identyfikację konkretnej osoby.

Dane biometryczne - definicja

Przykłady danych biometrycznych

Dla porządku wymieńmy przykładowe dane biometryczne:

  • odcisk palca i linii papilarnych
  • układ naczyń krwionośnych palca
  • cechy tęczówki oka
  • skan twarzy
  • kształt małżowiny usznej
  • głos
  • podpis uwzględniający nacisk i poziom nachylenia pisma
  • dynamika pisania na klawiaturze
  • sposób poruszania się
  • kod DNA

Należy mieć na uwadze, że wraz z rozwojem technologii, lista danych biometrycznych stale się powiększa.

Czy zdjęcie to dane biometryczne?

To czy fotografia z wizerunkiem twarzy stanowi dane biometryczne, zależy od sposobu jej przetwarzania. Zazwyczaj jednak zdjęcia nie są danymi biometrycznymi, gdyż zgodnie z RODO, mogą nimi być tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Czy i kiedy pracodawca może przetwarzać dane biometryczne pracownika?

Przejdźmy do najważniejszego. Pracodawca może przetwarzać dane biometryczne pracownika tylko w wyjątkowych sytuacjach wskazanych w obowiązujących przepisach prawa. W artykule 21 Kodeksu pracy czytamy, że przetwarzanie danych biometrycznych pracownika dopuszczalne jest

„wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony”.

Kodeks mówi, że pracodawca może przetwarzać dane biometryczne tylko, gdy ich przekazanie następuje z inicjatywy pracownika lub osoby ubiegającej się o zatrudnienie. Zgodna pracownika musi mieć charakter dobrowolny, jednoznaczny, świadomy i uprzedni. Pracodawca nie może zmusić pracownika do podania danych ani wyciągać konsekwencji, gdy ten nie zgodzi się na ich pobranie.

Ponadto do przetwarzania danych biometrycznych dopuszczone są wyłącznie osoby posiadające pisemne upoważnienie. Osoby te zobowiązane są do zachowania tajemnicy.

PODSUMOWUJĄC – pracodawca może przetwarzać dane biometryczne tylko:

  • z inicjatywy i za zgodą pracownika lub osoby ubiegającej się o zatrudnienie
  • gdy ich przetwarzanie wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

Dane biometryczne - kiedy pracodawca może je przetwarzać

Dane biometryczne a kontrola czasu pracy

Zgodnie z powyższym – pracodawca nie może pozyskiwać danych biometrycznych do ewidencji czasu pracy. Chociaż metoda ta jest z pewnością wygodna, to tym samym jest niezgodna z polskim prawem. Biometryczna kontrola czasu pracy nie powinna więc mieć miejsca nawet w przypadku świadomej zgody pracownika.

Wykorzystywanie danych biometrycznych pracownika do monitoringu czasu pracy narusza zasady określone w art. 5 ust. 1 RODO i jest niezgodne z zasadzą legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c). Przetwarzając w ten sposób dane, pracodawca nie jest w stanie wykazać, dlaczego i zgodnie z jakimi przepisami postępuje. Rejestracja biometryczna czasu pracy jest niezasadna i zastąpić ją można innymi metodami jak np. listy obecności lub karty dostępu.

Przeczytaj również: Jak chronić dane osobowe? Podstawowe zasady ochrony danych osobowych

Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

W Polsce na straży prawa związanego z ochroną danych osobowych stoi Prezes UODO (Urzędu Ochrony Danych Osobowych). Warto pamiętać, że za przetwarzanie danych biometrycznych niezgodnie z prawem bądź za ich naruszenie, grozi odpowiedzialność kary pieniężnej, a także ryzyko postępowania cywilnego i karnego. Dodatkowo pracownik może złożyć skargę do Państwowej Inspekcji Pracy oraz złożyć sprawę do sądu pracy.


Potrzebujesz wsparcia w zakresie ochrony danych osobowych? Napisz do nas kontakt@resilia.pl lub sprawdź nasze usługi i szkolenia.


Już niedługo kolejne edycje certyfikowanych szkoleń PECB Certified Data Protection Officer. Zobacz terminy!


Podobał Ci się artykuł? Zaobserwuj nas na Facebooku lub LinkedInie, aby być na bieżąco z podobnymi materiałami.

 

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.