Czytniki linii papilarnych w firmie

Odpowiedź:

Zdecydowanie nie należy tego robić. Linie papilarne, o ile służą do jednoznacznego zidentyfikowania osoby fizycznej, czyli np. są przetwarzane za pomocą specjalnego urządzenia, będą zaliczane do danych biometrycznych, czyli szczególnych kategorii danych osobowych. Zgodnie z art. 9 ust. 1 RODO przetwarzanie takich informacji jest co do zasady zabronione. Jednakże istnieją w tym zakresie pewne wyjątki.

Jeden z nich został wskazany w art. 9 ust. 2 lit. a RODO. Zgodnie z treścią tego przepisu przetwarzanie danych biometrycznych jest dopuszczalne, jeżeli osoba, której dane są przetwarzane, wyraziła na to wyraźną zgodę.

Przedstawienie danych biometrycznych dopuszczalne?

Inna przesłanka została wskazana w art. 9 ust. 2 lit. b RODO. W tym wypadku przetwarzanie danych biometrycznych będzie dopuszczalne, jeżeli jest to „(…) niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego (…)”. W przypadku Polski możliwość ewentualnego przetwarzania danych biometrycznych w miejscu pracy została uregulowana w art. 221b ustawy Kodeks pracy. Zgodnie z jego brzmieniem mogą być one przetwarzane w następujących sytuacjach.

Pierwszy przypadek to taki, w którym pracownik bądź osoba ubiegająca się o zatrudnienie sam udziela zgody na przetwarzanie jego danych biometrycznych. W tym miejscu trzeba przypomnieć, że zgoda ta powinna być dobrowolna, świadoma oraz wyrażona w sposób wyraźny, zaś pracownik ma prawo odwołać ją w dowolnym momencie bez żadnych negatywnych konsekwencji dla niego. Oznacza to, że nieudzielenie zgody bądź jej wycofanie nie może być powodem odmowy zatrudnienia, zwolnienia z pracy czy wyciągania jakichkolwiek innych negatywnych konsekwencji. Podkreślić przy tym należy, że w opisywanym przypadku przetwarzanie danych szczególnej kategorii następuje nie tylko za zgodą pracownika bądź osoby ubiegającej się o zatrudnienie, ale też z ich inicjatywy.

Zgoda pracownika

W tym miejscu warto jednak zwrócić uwagę na jeszcze jedną kwestię. Zdaniem polskiego organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych wtedy, kiedy istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Tymczasem według Prezesa UODO relacja pracodawca-pracownik jest dokładnie tego typu sytuacją (https://uodo.gov.pl/pl/138/1521). W związku z tym mając na uwadze stanowisko organu nadzorczego należy bardzo dogłębnie zastanowić się, czy przetwarzanie danych biometrycznych na podstawie zgody pracownika jest bezpieczne z punktu widzenia interesów pracodawcy. Warto zastanowić się, czy jest możliwe jednoznaczne wykazanie, że pracodawca nie wywierał presji na udzielenie zgody lub czy nie stosował innych form „zachęty” wobec swoich podwładnych.

Drugi przypadek, kiedy przetwarzanie danych biometrycznych pracownika jest dopuszczalne, to sytuacja, w której jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Może zatem chodzić np. o serwerownię, pomieszczenie, w którym są przechowywane strategiczne dokumenty itd. Jest to – pomijając cokolwiek wątpliwą przesłankę wspomnianej już wcześniej zgody – w zasadzie jedyny przypadek, kiedy użycie biometrii jest zasadne i ma podstawę prawną. Stanowczo natomiast nie jest rekomendowane stosowanie danych biometrycznych jako „przejściówki”, służącej do otwierania drzwi do standardowych pomieszczeń czy bramek wejściowych w miejscu pracy.

Pisemne upoważnienie

Warto też zauważyć, że do przetwarzania danych biometrycznych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do ich przetwarzania, które zostało wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są zobowiązane do zachowania ich w tajemnicy.

Wprowadzając mechanizmy wykorzystujące dane biometryczne pracodawca każdorazowo powinien przeanalizować, czy istnieją mniej inwazyjne środki, za pomocą których mógłby osiągnąć cel przetwarzania. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.

Podstawa prawna:

Art. 9 ust. 2 lit. a) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Art. 9 ust. 2 lit. b) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Art. 221b ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy