Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Dopuszczalność przetwarzania danych biometrycznych pracowników

Aktualności 25.03.2019

Monitorowanie czasu pracy przy wykorzystaniu nowych technologii zyskuje co raz większą popularność. W wielu zakładach pracy pracownicy skanują swoje linie papilarne w celu rejestracji godzin przyjścia i wyjścia. Dopuszczalność takich praktyk stoi jednak pod znakiem zapytania. Informacje takie jak cechy źrenicy, linie papilarne, cechy twarzy, kod DNA czy geometria ręki mogą bowiem stanowić dane osobowe, jeśli pozwalając na zidentyfikowanie konkretnej osoby. Wykorzystywanie takich danych przez pracodawcę jest sporne, gdyż w obecnym porządku prawnym brak jest spójnej regulacji dotyczącej przetwarzania danych biometrycznych.

 

Ustawa o ochronie danych osobowych

Obecnie obowiązująca ustawa o ochronie danych osobowych nie zawierają żadnej regulacji odnoszącej się wprost do przetwarzania danych biometrycznych. Przepisy definiują wprawdzie zamknięty katalog tzw. danych wrażliwych, których przetwarzanie jest zakazane, ale tylko niektóre dane biometryczne mieszczą się w tym katalogu, takie jak stan zdrowia czy kod genetyczny. Z tego powodu obowiązki związane z przetwarzaniem pozostałych kategorii danych biometrycznych należy obecnie oceniać na zasadach ogólnych, takich jakie odnoszą się do zwykłych  danych osobowych.

 

Przetwarzanie danych biometrycznych w stosunku pracy

Dopuszczalność przetwarzania danych biometrycznych w relacjach pracowniczych jest kwestionowane przez Generalnego Inspektora Danych Osobowych (GIODO) i sądy administracyjne. Art. 221 Kodeksu pracy wyznacza bowiem zamknięty katalog danych osobowych, jakie pracodawca może przetwarzać na temat pracownika. Należą do nich:

  • imię i nazwisko;
  • imiona rodziców;
  • datę urodzenia;
  • miejsce zamieszkania;
  • wykształcenie;
  • przebieg dotychczasowego zatrudnienia;
  • numer PESEL;
  • inne dane osobowych pracownika jeśli obowiązek ich podania wynika z odrębnych przepisów, w tym imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Kodeks pracy w zakresie nieuregulowanym odsyła do przepisów ustawy o ochronie danych osobowych, które jako przesłanki legalizującą przetwarzanie danych osobowych wymieniają m.in. zgodę osoby, której dane dotyczą, a także istnienie przepisu prawa, który zezwala na przetwarzanie danych osobowych w określonym celu.

 

Zgoda

Powstało zatem pytanie, czy można uznać, że zgoda pracownika może stanowić przesłankę legalizującą przetwarzanie jego danych biometrycznych. W opinii GIODO, zgoda pracownika nie jest wystarczająca, a pracodawca nie może gromadzić danych biometrycznych swoich podwładnych. Wynika to z faktu, że zgoda na przetwarzanie danych osobowych, aby była skuteczna musi być dobrowolna. Wskazuję się jednak, że w relacji pracownik – pracodawca, z uwagi na brak równorzędnej pozycji tych podmiotów, nie może być mowy o dobrowolności. Takie podejście znalazło potwierdzenie w wyroku Naczelnego Sądu Administracyjnego, o sygn. I OSK 249/09 z dnia 1 grudnia 2009 r. który orzekł, że „uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt. 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu Pracy stanowiłoby obejście tego przepisu”. Tym samym, zgodnie ze stanowiskiem NSA, pracownik nie może skutecznie udzielić pracodawcy zgody na przetwarzanie danych osobowych, która spełniałaby wymóg dobrowolności.

 

Przepis prawa

Skoro zgoda pracownika na przetwarzanie danych biometrycznych przez pracodawcę nie jest wystarczająca dla uznania takiej praktyki jako legalnej, jedyną podstawą gromadzenia tej kategorii danych osobowych mógłby być przepis prawa. W obecnym stanie prawnym brakuje jednak regulacji zezwalającej pracodawcom na wykorzystywanie danych biometrycznych swoich podwładnych.

 

Zasada proporcjonalności

Istotnym argumentem przemawiającym za tym, że przetwarzanie danych biometrycznych w celu rejestracji czasu pracy pracowników jest niedozwolone jest również fakt, że należy zadbać aby przetwarzanie danych osobowych było zgodne z zasadą proporcjonalności. Oznacza to, że zbierane dane muszą być adekwatne do celu przetwarzania. Każdorazowo należy zatem ocenić, czy zamierzony cel można osiągnąć innymi – mniej dotkliwymi środkami. W tych okolicznościach, należałoby stwierdzić że skanowanie linii papilarnych w celu rejestrowania przybycia oraz opuszczenia miejsca pracy, nie jest środkiem proporcjonalnym, gdyż czas pracy można kontrolować przy użyciu innych środków, mniej ingerujących w prywatność pracowników, takich jak karty magnetyczne czy księgi obecności. Należy podkreślić, że GIODO dopuszcza wykorzystywanie danych biometrycznych, jeśli służy do realizacji innych celów np. do zabezpieczenia pomieszczeń przed wstępem osób nieuprawnionych czy ochrona informacji poufnych.

 

RODO

Stan rzeczy może ulec diametralnej zmianie wraz z początkiem obowiązywania unijnego ogólnego rozporządzenia o ochronie danych osobowych (RODO). Nowe przepisy wprowadzają definicję danych biometrycznych, zgodnie z którą są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotycząc cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

 

Na gruncie RODO dane biometryczne zostały zaliczone do tzw. szczególnych kategorii danych osobowych obok danych dotyczących stanu zdrowia, wyznania czy orientacji seksualnej. W odniesieniu do tych danych obowiązuje co do zasady zakaz ich przetwarzania. Zakaz ten nie jest jednak bezwzględny, gdyż określone zostały pewne wyłączenia, które umożliwiają zgodne z prawem przetwarzanie danych biometrycznych. Wśród nich można znaleźć przesłankę zgody osoby, której dane dotyczą. W rozumieniu RODO, zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Ponadto, zgoda na przetwarzanie danych biometrycznych, będzie mogła zostać uznana za skuteczną tylko wtedy jeśli będzie wyrażona na przetwarzanie danych w konkretnym celu oraz w sposób wyraźny.

 

Zgoda wyraźna

W dotychczasowym stanowisku Grupa Roboczej Art. 29 (organ konsultacyjny, którego rola jest czuwanie nad przestrzeganiem przez Państwa Członkowskie przepisów o ochronie danych osobowych) zgoda wyraźna rozumiana była jako zgoda udzielona wtedy, „gdy osobie fizycznej przedstawia się propozycję wyrażenia przyzwolenia na konkretny sposób wykorzystania lub ujawnienia jej danych osobowych, a osoba ta aktywnie odpowiada na zadane jej pytanie”. Zgoda nie musi być zebrana w formie pisemnej. Dopuszcza się również wyrażenie zgody ustnie, czy z wykorzystaniem środków komunikacji elektronicznej. Ciężar wykazania, że zgoda została rzeczywiście udzielona, spoczywa jednak na administratorze danych, który się na tą zgodę powołuje. Podkreśla się również, że oprócz wymogu wyraźnego jej udzielenia przez osobę której dane dotyczą, zgoda powinna być w odpowiedni sposób wyodrębniona, tak by osoba udzielająca zgody miała pełną świadomość co do tego, jakiej zgody i w odniesieniu do jakiej kategorii danych osobowych udziela.

 

 

Podsumowując, może to oznaczać, że zgoda pracownika na skanowanie jego linii papilarnych czy tęczówki oka, w świetle rozporządzenia unijnego będzie wystarczająca dla legalnego przetwarzania tych danych. Przepis przewiduje jednak pewien wytrych. Mianowicie, Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych biometrycznych. Od polskiego ustawodawcy zależy czy podejmie dalsze kroki w celu ograniczenia możliwości przetwarzania danych biometrycznych. Nawet jeśli nie zostaną wprowadzone ograniczenia w tym zakresie, decydujące znaczenie dla interpretacji przepisów unijnego rozporządzenia będzie miała dopiero praktyka ich stosowania przez unijne organy nadzorcze.

Karina Wronka
Konsultant prawny w kancelarii BSiW