iSecure logo
Blog

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Dane biometryczne

Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka oka, sposób chodzenia, czy podpis odręczny. RODO wskazuje, iż zabronione jest przetwarzanie tych danych, chyba że zachodzi jedna z przesłanek legalizujących, w postaci, np. zgody osoby, której dane dotyczą. Co ważne, przetwarzanie tego rodzaju danych mocno ingeruje w prawa osoby, której dane dotyczą, w tym prawo do prywatności. Czy w związku z powyższym jest możliwe, by pracodawca mógł zgodnie z prawem przetwarzać dane biometryczne?

Stosunek pracy a przetwarzanie danych biometrycznych

Według Kodeksu pracy pracodawcą może być jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników, zaś pracownikiem jest osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca – do zatrudniania pracownika za wynagrodzeniem. Relację pomiędzy pracodawcą a pracownikiem cechuje podporządkowanie co do rodzaju, miejsca i czasu pracy. To pracodawca, oczywiście ograniczony przepisami prawa, decyduje o przetwarzaniu danych osobowych pracownika. O możliwości przetwarzania danych biometrycznych pracownika stanowi art.  221b § 1 i 2 Kodeksu pracy wskazując, iż przetwarzanie danych biometrycznych pracownika jest dopuszczalne w następujących sytuacjach, gdy:

  1. przekazanie danych osobowych zajdzie z inicjatywy i za zgodą pracownika – za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. a i art. 6 ust. 1 lit. a RODO lub
  2. przetwarzanie przedmiotowych danych wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony, za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. b i art. 6 ust. 1 lit. f RODO.

Ad. 1 Zgoda pracownika na przetwarzanie danych biometrycznych

Przesłanka pierwsza zawiera w sobie dwa istotne elementy, które muszą zajść jednocześnie. Pracodawca może przetwarzać dane biometryczne pracownika jedynie wtedy, gdy pracownik wyraził na to zgodę i zrobił to z własnej inicjatywy. Zgoda pracownika musi mieć charakter dobrowolny, konkretny, jednoznaczny, świadomy i uprzedni. Drugi element przesłanki – działanie pracownika z własnej inicjatywy – stanowi dopełnienie zgody na przetwarzanie danych osobowych z art. 221b § 2 Kodeksu pracy. Uważa się, iż zgoda w relacji pracodawca-pracownik nie posiada cech dobrowolności z uwagi na istnienie stosunku zależności i podporządkowania. Pracownik może czuć presję konieczności wyrażenia zgody na przetwarzanie danych biometrycznych obawiając się negatywnych konsekwencji w sytuacji odmowy udzielenia zgody lub jej wycofania na dalszym etapie przetwarzania. W związku z powyższym zaleca się, aby zgoda nie była stosowana jako podstawa prawna przetwarzania danych osobowych pracownika w sytuacjach, gdy pracownik może odczuwać jakąkolwiek presję ze strony pracodawcy. Decyzja o przekazaniu danych biometrycznych powinna być podjęta przez pracownika dobrowolnie.

Co ważne, według stanowiska Naczelnego Sądu Administracyjnego, wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania (por. wyrok NSA z 1.12.2009 r., I OSK 249/09). Zatem nawet zgoda dobrowolnie wyrażona przez pracownika na przetwarzania jego danych biometrycznych nie będzie postrzegana jako ważna podstawa prawna przetwarzania jego danych biometrycznych w celu ewidencji czasu pracy.

Nieodłącznym elementem pobierania zgody jest również konieczność poinformowania pracownika o możliwości wycofania zgody w każdym czasie.

Ad. 2 Konieczność zapewnienia kontroli dostępu

Pracodawca może przetwarzać dane biometryczne na podstawie przepisów kodeksu pracy:

– gdy zachodzi obiektywna konieczności zapewnienia kontroli dostępu do szczególnie ważnych dla pracodawcy informacji, których ujawnienie może narazić pracodawcę na szkodę, a także

– w sytuacji konieczności zapewnienia dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

Wymogi legalności przetwarzania danych biometrycznych pracownika

 W związku z przetwarzaniem danych biometrycznych pracodawca powinien pamiętać o:

  1. spełnieniu podstawowych zasad przetwarzania danych osobowych z art. 5 RODO, w tym m.in. zasady zgodności z prawem przetwarzania, minimalizacji danych oraz integralności i poufności przetwarzania,
  2. powiadomieniu podmiotu danych o przetwarzaniu danych biometrycznych oraz o tym, jakie przysługują mu w tym zakresie prawa,
  3. odpowiednim upoważnieniu osób, które przetwarzają dane biometryczne pracowników ze wskazaniem zakresu danych osobowych, zobowiązaniu do zachowania poufności, ewentualnie podpisaniu odpowiednich umów powierzenia w sytuacji, gdy dostęp do danych ma podmiot zewnętrzny, np. zewnętrzna firma świadcząca usługi HR,
  4. przeprowadzeniu analizy ryzyka, a jeśli to konieczne – oceny skutków przetwarzania dla ochrony danych osobowych.

Co ważne, przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostało uznane przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z przypadków, kiedy zachodzi konieczność dokonania oceny skutków dla ochrony danych.

  1. zapewnieniu właściwego poziomu bezpieczeństwa przetwarzanych danych, tak fizycznego, prawnego, organizacyjnego, jak i technicznego.

Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

Pracodawca, który nie respektuje przepisów prawa, w tym RODO i Kodeksu pracy w zakresie przetwarzania danych biometrycznych pracowników naraża się na konsekwencję kary administracyjnej, wszczęcia i prowadzenia postępowania cywilnego i karnego, a także możliwości złożenia przez pracownika skargi do Państwowej Inspekcji Pracy czy pozwu w sądzie pracy.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Profilowanie klientów – nowe plany zarobkowe Alior Banku

Powierzenie po duńsku, czyli jak przy pomocy klocków w art. 28 ust. 3 stworzyć umowę powierzenia?

Od czasu wejścia w życie RODO minęło już ponad dwa lata. 25 maja 2018 roku umowa powierzenia była niemalże całkowicie nieznana biznesowi, a idea zawierania umowy w przypadkach przetwarzania danych osobowych w imieniu zlecającego dopiero nabierała na znaczeniu – mimo, że samo umowne powierzanie danych osobowych było obowiązkiem jeszcze przed obowiązywaniem stosowania RODO (na podstawie ustawy […]

Wymiana doświadczenia

Twoja zgoda nie musi być taka formalna, czyli o sztuce pisania klauzul

Niektórzy mówią, że zgoda to najważniejsza przesłanka przetwarzania danych. To oczywiście nieprawda, ponieważ RODO przewiduje sześć równorzędnych i w pełni autonomicznych „opcji” na bazie których można oprzeć działania na danych osobowych. Ale faktem jest, że zgoda jest dość często wykorzystywana – zwłaszcza w kontekście marketingowym. Czy słusznie tak często po nią sięgamy? Tu prostej odpowiedzi […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki