Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych pracodawca nie może przetwarzać danych biometrycznych pracowników w celu rejestracji czasu pracy. Nie oznacza to jednak, że pracodawca nie może przetwarzać tego rodzaju danych dla innych celów.

Kiedy można przetwarzać dane biometryczne pracowników?

W świetle przepisów RODO dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy czy dane daktyloskopijne.

Zgodnie z art. 22^1b Kodeksu pracy, dane biometryczne mogą być przetwarzane w następujących sytuacjach:

1. gdy pracownik wyrazi zgodę na przetwarzanie takich danych, jednak wyłącznie w przypadku, gdy przekazanie danych następuje z inicjatywy pracownika;
2. gdy podanie danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.

W praktyce oznacza to, że poza sytuacjami w których dane biometryczne przetwarzane są dla celów związanych z zapewnieniem kontroli dostępu, wykorzystanie danych biometrycznych pracownika przez pracodawcę może mieć miejsce jedynie wówczas, gdy pracownik wyrazi na to zgodę i to pracownik będzie osobą, która wystąpi z inicjatywą przekazania takich danych. Obecnie brak jest wytycznych UODO, które pozwoliłyby ocenić, kiedy można mówić, że pracownik występuje z taką inicjatywą. Niemniej jednak, nie ulega wątpliwości, że Pracodawca nie może wykorzystywać danych biometrycznych pracownika do rejestrowania czasu pracy, o czym przypomina UODO w swoim komunikacie.

O czym należy pamiętać w praktyce?

W praktyce kluczową kwestią, o której należy pamiętać rozważając wprowadzenie mechanizmów wykorzystujących dane biometryczne jest to, czy istnieją mniej inwazyjne środki, za pomocą których administrator danych (pracodawca) mógłby osiągnąć cel przetwarzania.

UODO wypowiadało się już wcześniej na temat wykorzystania danych biometrycznych – co prawda wypowiedzi te nie dotyczyły pracowników, lecz uczniów szkoły, których odciski palców były wykorzystywane do weryfikacji uiszczenia opłaty za posiłek, jednak uwagi te mają charakter uniwersalny. UODO w swojej decyzji nakładającej karę na szkołę podkreśliło, że istnieją inne, mniej inwazyjne metody dokonywania takiej weryfikacji, a sposób wykorzystania danych nie jest proporcjonalny do celu, dla którego są one przetwarzane. W ocenie UODO „z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się z ostrożnością i rozwagą. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych”.

W podobnym tonie wypowiadały się również francuskie i szwedzkie organy nadzoru w swoich decyzjach dotyczących stosowania metod rozpoznawania twarzy w szkołach.

Pracodawcy nie powinni więc zapominać, że nawet jeśli wykorzystują dane biometryczne w celu kontroli dostępu do pomieszczeń lub informacji (a więc dla celów wskazanych wprost w przepisach Kodeksu pracy), ciąży na nich szereg wynikających z RODO obowiązków. W szczególności:

• pracodawca powinien przeprowadzić ocenę skutków dla ochrony danych, uregulowaną w art. 35 RODO, aby zidentyfikować ryzyka związane z przetwarzaniem takich danych – przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu jest jednym z rodzajów operacji przetwarzania objętych opublikowanym przez UODO wykazem operacji przetwarzania, dla których wymagane jest przeprowadzenie takiej oceny;
• do przetwarzania danych biometrycznych mogą być dopuszczone wyłącznie osoby, które posiadają pisemne upoważnienie pracodawcy do przetwarzania takich danych (zgodnie ze stanowiskiem UODO takie upoważnienie może mieć postać elektroniczną) i które zobowiązały się do zachowania otrzymanych danych w tajemnicy;
• pracodawcy powinni regularnie usuwać dane biometryczne pracowników, których przetwarzanie nie jest już celowe, np. pracowników, którzy zmienili stanowisko i nie potrzebują już dostępu do pomieszczeń zabezpieczonych czytnikami danych biometrycznych.

Karolina Romanowska