iSecure logo
Blog

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Dane biometryczne

Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka oka, sposób chodzenia, czy podpis odręczny. RODO wskazuje, iż zabronione jest przetwarzanie tych danych, chyba że zachodzi jedna z przesłanek legalizujących, w postaci, np. zgody osoby, której dane dotyczą. Co ważne, przetwarzanie tego rodzaju danych mocno ingeruje w prawa osoby, której dane dotyczą, w tym prawo do prywatności. Czy w związku z powyższym jest możliwe, by pracodawca mógł zgodnie z prawem przetwarzać dane biometryczne?

Stosunek pracy a przetwarzanie danych biometrycznych

Według Kodeksu pracy pracodawcą może być jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników, zaś pracownikiem jest osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca – do zatrudniania pracownika za wynagrodzeniem. Relację pomiędzy pracodawcą a pracownikiem cechuje podporządkowanie co do rodzaju, miejsca i czasu pracy. To pracodawca, oczywiście ograniczony przepisami prawa, decyduje o przetwarzaniu danych osobowych pracownika. O możliwości przetwarzania danych biometrycznych pracownika stanowi art.  221b § 1 i 2 Kodeksu pracy wskazując, iż przetwarzanie danych biometrycznych pracownika jest dopuszczalne w następujących sytuacjach, gdy:

  1. przekazanie danych osobowych zajdzie z inicjatywy i za zgodą pracownika – za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. a i art. 6 ust. 1 lit. a RODO lub
  2. przetwarzanie przedmiotowych danych wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony, za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. b i art. 6 ust. 1 lit. f RODO.

Ad. 1 Zgoda pracownika na przetwarzanie danych biometrycznych

Przesłanka pierwsza zawiera w sobie dwa istotne elementy, które muszą zajść jednocześnie. Pracodawca może przetwarzać dane biometryczne pracownika jedynie wtedy, gdy pracownik wyraził na to zgodę i zrobił to z własnej inicjatywy. Zgoda pracownika musi mieć charakter dobrowolny, konkretny, jednoznaczny, świadomy i uprzedni. Drugi element przesłanki – działanie pracownika z własnej inicjatywy – stanowi dopełnienie zgody na przetwarzanie danych osobowych z art. 221b § 2 Kodeksu pracy. Uważa się, iż zgoda w relacji pracodawca-pracownik nie posiada cech dobrowolności z uwagi na istnienie stosunku zależności i podporządkowania. Pracownik może czuć presję konieczności wyrażenia zgody na przetwarzanie danych biometrycznych obawiając się negatywnych konsekwencji w sytuacji odmowy udzielenia zgody lub jej wycofania na dalszym etapie przetwarzania. W związku z powyższym zaleca się, aby zgoda nie była stosowana jako podstawa prawna przetwarzania danych osobowych pracownika w sytuacjach, gdy pracownik może odczuwać jakąkolwiek presję ze strony pracodawcy. Decyzja o przekazaniu danych biometrycznych powinna być podjęta przez pracownika dobrowolnie.

Co ważne, według stanowiska Naczelnego Sądu Administracyjnego, wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania (por. wyrok NSA z 1.12.2009 r., I OSK 249/09). Zatem nawet zgoda dobrowolnie wyrażona przez pracownika na przetwarzania jego danych biometrycznych nie będzie postrzegana jako ważna podstawa prawna przetwarzania jego danych biometrycznych w celu ewidencji czasu pracy.

Nieodłącznym elementem pobierania zgody jest również konieczność poinformowania pracownika o możliwości wycofania zgody w każdym czasie.

Ad. 2 Konieczność zapewnienia kontroli dostępu

Pracodawca może przetwarzać dane biometryczne na podstawie przepisów kodeksu pracy:

– gdy zachodzi obiektywna konieczności zapewnienia kontroli dostępu do szczególnie ważnych dla pracodawcy informacji, których ujawnienie może narazić pracodawcę na szkodę, a także

– w sytuacji konieczności zapewnienia dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

Wymogi legalności przetwarzania danych biometrycznych pracownika

 W związku z przetwarzaniem danych biometrycznych pracodawca powinien pamiętać o:

  1. spełnieniu podstawowych zasad przetwarzania danych osobowych z art. 5 RODO, w tym m.in. zasady zgodności z prawem przetwarzania, minimalizacji danych oraz integralności i poufności przetwarzania,
  2. powiadomieniu podmiotu danych o przetwarzaniu danych biometrycznych oraz o tym, jakie przysługują mu w tym zakresie prawa,
  3. odpowiednim upoważnieniu osób, które przetwarzają dane biometryczne pracowników ze wskazaniem zakresu danych osobowych, zobowiązaniu do zachowania poufności, ewentualnie podpisaniu odpowiednich umów powierzenia w sytuacji, gdy dostęp do danych ma podmiot zewnętrzny, np. zewnętrzna firma świadcząca usługi HR,
  4. przeprowadzeniu analizy ryzyka, a jeśli to konieczne – oceny skutków przetwarzania dla ochrony danych osobowych.

Co ważne, przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostało uznane przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z przypadków, kiedy zachodzi konieczność dokonania oceny skutków dla ochrony danych.

  1. zapewnieniu właściwego poziomu bezpieczeństwa przetwarzanych danych, tak fizycznego, prawnego, organizacyjnego, jak i technicznego.

Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

Pracodawca, który nie respektuje przepisów prawa, w tym RODO i Kodeksu pracy w zakresie przetwarzania danych biometrycznych pracowników naraża się na konsekwencję kary administracyjnej, wszczęcia i prowadzenia postępowania cywilnego i karnego, a także możliwości złożenia przez pracownika skargi do Państwowej Inspekcji Pracy czy pozwu w sądzie pracy.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Szczepienia przeciw COVID-19 w zakładzie pracy

Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w […]

W jaki sposób stosować przepisy dotyczące obniżki cen na podstawie Dyrektywy Omnibus?

Od 1 stycznia 2023 r. doszło do sporej rewolucji w przepisach ustawy o prawach konsumenta, jak również ustawy o informowaniu o cenach towaru i usług. Same zmiany w prawie konsumenckim były jeszcze szersze niż tylko te, o których wspominamy. W dzisiejszym wpisie postaramy się podsumować zmiany w sposobie prezentacji promocji/obniżek cenowych. Bardziej skupimy się na […]

O przechowywaniu danych w chmurze…

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki