Czy można rejestrować czas pracy za pomocą danych biometrycznych?

W czasach pandemii COVID-19 oswoiliśmy się z sytuacją, że coraz więcej instytucji przetwarza nasze dane biometryczne, w tym również pracodawcy. Godzimy się na to mając na względzie nowe wytyczne w zakresie ochrony zdrowia i bezpieczeństwa.  Ale coraz szerszy zakres danych biometrycznych wykorzystywanych przez tak liczne podmioty niesie za sobą duże ryzyko nadużyć. Czy pracodawcy mają prawo rejestrować czas pracy za pomocą danych biometrycznych?

Czy można rejestrować czas pracy za pomocą danych biometrycznych?

Dorota Kraskowska

18 maja 2020

Dane biometryczne stanowią szczególną kategorię danych osobowych — są to dane wrażliwe, które wymagającą najwyższego stopnia ochrony. Dane biometryczne wynikają ze specjalnego przetwarzania technicznego i dotyczą cech fizycznych, fizjologicznych lub behawioralnych człowieka. Takie dane umożliwiają jednoznaczną identyfikację danej osoby.

RODO o danych biometrycznych

Zgodnie z artykuł 4 punkt 14 RODO „dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.

Przykłady danych biometrycznych:

  • cechy fizyczne: wizerunek twarzy, kod DNA, układ linii papilarnych, kolor tęczówki, kształt ucha, układ naczyń krwionośnych, 

  • cechy fizjologiczne: sposób poruszania się,

  • cechy behawioralne: sposób, w jaki osoba składa własnoręczny podpis na dokumentach, analiza głosu.

Sama fotografia pracownika nie jest daną biometryczną, więc przetwarzanie zdjęcia nie będzie przetwarzaniem danych biometrycznych. Jeśli na przykład pracodawca ma zdjęcie pracownika, ale nie ma żadnego programu czy systemu, który umożliwiałby porównanie tego zdjęcia z cechą biometryczną pracownika (co jednoznacznie potwierdziło jego tożsamość), to w takim przypadku nie ma mowy o przetwarzaniu danych biometrycznych.

Co istotne, katalog możliwości wykorzystania danych biometrycznych stale się powiększa, dlatego przepisy prawa wymagają ciągłego dostosowania do zmieniającej się sytuacji. Wraz z rozwojem techniki i postępem nauki coraz to nowe kategorie danych mogą być w przyszłości zaliczone do danych biometrycznych. 

Kiedy można przetwarzać dane biometryczne?

Zgodnie art. 9 ust. 1 RODO, nie można przetwarzać danych biometrycznych w celach jednoznacznego zidentyfikowania osoby fizycznej. Od tego przepisu istnieją jednak pewne wyjątki. W określonych sytuacjach prawo dopuszcza przetwarzanie szczególnych kategorii danych osobowych. Art. 9 ust. 2 RODO wymienia następujące przesłanki dopuszczalności przetwarzania szczególnych kategorii danych osobowych, w tym danych biometrycznych. Można przetwarzać tego typu dane, jeśli:

  • istnieje wyraźna zgoda osoby w jednym lub kilku konkretnych celach (jeśli przepisy tego nie zabraniają), przy czym „wyraźna zgoda” może zostać wyrażona ustnie, jednak to po stronie administratora danych będzie leżało ryzyko wykazania, że zgoda, na którą się powołuje, została udzielona,

  • jest to niezbędne do wypełnienia obowiązków i szczególnych praw administratora lub osoby, której dane dotyczą (jeśli jest to dozwolone przepisami),

  • jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,

  • dane w sposób oczywisty zostały upublicznione przez osobę, której dotyczą,

  • istnieją przesłanki związane z ważnym interesem publicznym,

  • jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.

Czy pracodawca może przetwarzać dane biometryczne?

Do mierzenia temperatury naszego ciała przez różne instytucje  już zdążyliśmy się przyzwyczaić (lotniska, zakłady fryzjerskie, gabinety kosmetyczne, przedszkola, szkoły). Czy obrazki widywane dotąd w filmach, gdzie widzimy pracowników otrzymujących dostęp do przestrzeni firmowych po weryfikacji linii papilarnych już niedługo staną się naszą codziennością? Urząd Ochrony Danych Osobowych przypomina, że pracodawcy w Polsce nie mają prawa przetwarzać danych biometrycznych pracowników w celu prowadzenia ewidencji czasu pracy. Takie działania są niezgodne z przepisami RODO.

Pracodawcy mogą legalnie przetwarzać szczególne kategorie danych osobowych — w tym dane biometryczne — wyłącznie wtedy, jeśli wynika to ze szczególnych przesłanek określonych w art. 9 ust. 2 RODO (wymienionych wyżej). Zatem pracodawca będzie mógł przetwarzać dane biometryczne pracownika na przykład wtedy, kiedy wyraził on na to zgodę albo w sytuacji, kiedy tego typu dane były już wcześniej podane do wiadomości publicznej przez pracownika. 

Przetwarzanie danych sensytywnych w uzasadnionych celach musi odpowiednio zabezpieczać prawa i interesy osoby, której dane dotyczą.

Prawo pracy o przetwarzaniu danych biometrycznych

Przepisy Kodeksu pracy nie dają podstawy prawnej do przetwarzania danych biometrycznych pracowników w celu prowadzenia rejestracji czasu pracy. Zgodnie z art. 22¹ᵇ Kodeksu pracy szczególne kategorie danych (w tym dane biometryczne) mogą być przetwarzane wyłącznie za zgodą pracownika lub osoby ubiegającej się o zatrudnienie i z inicjatywy tych osób. I co istotne, zgoda ta musi być dobrowolna i świadoma. Pracownik i kandydat mają prawo odwołać zgodę na przetwarzanie tych danych w dowolnym momencie, bez żadnych negatywnych konsekwencji związanych z wycofaniem zgody.

Dane biometryczne mogą być również przetwarzane wtedy, gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony lub ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Nowoczesne technologie przetwarzające dane biometryczne nie mogą być jeszcze wykorzystywane do rejestracji czasu pracy. W tym celu pracodawcy mogą stosować szereg innych narzędzi, jak np. różnego rodzaju elektroniczne systemy RCP ( Rejestracja Czasu Pracy), wykorzystujące czytniki zbliżeniowe i identyfikatory imienne, czy klasyczne listy obecności, wciąż popularne w wielu polskich firmach i instytucjach. 

Odejście pracownika z pracy. Jak długo przechowywać dane osobowe?Odejście pracownika z pracy. Jak długo przechowywać dane osobowe? Alicja Skibińska

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!