iSecure logo
  • pl
  • en
    • Blog

    Czy pracodawca może przetwarzać dane biometryczne pracownika?

    Olga Jaworowska
    Kategorie

    Dane biometryczne

    Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka oka, sposób chodzenia, czy podpis odręczny. RODO wskazuje, iż zabronione jest przetwarzanie tych danych, chyba że zachodzi jedna z przesłanek legalizujących, w postaci, np. zgody osoby, której dane dotyczą. Co ważne, przetwarzanie tego rodzaju danych mocno ingeruje w prawa osoby, której dane dotyczą, w tym prawo do prywatności. Czy w związku z powyższym jest możliwe, by pracodawca mógł zgodnie z prawem przetwarzać dane biometryczne?

    Stosunek pracy a przetwarzanie danych biometrycznych

    Według Kodeksu pracy pracodawcą może być jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników, zaś pracownikiem jest osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca – do zatrudniania pracownika za wynagrodzeniem. Relację pomiędzy pracodawcą a pracownikiem cechuje podporządkowanie co do rodzaju, miejsca i czasu pracy. To pracodawca, oczywiście ograniczony przepisami prawa, decyduje o przetwarzaniu danych osobowych pracownika. O możliwości przetwarzania danych biometrycznych pracownika stanowi art.  221b § 1 i 2 Kodeksu pracy wskazując, iż przetwarzanie danych biometrycznych pracownika jest dopuszczalne w następujących sytuacjach, gdy:

    1. przekazanie danych osobowych zajdzie z inicjatywy i za zgodą pracownika – za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. a i art. 6 ust. 1 lit. a RODO lub
    2. przetwarzanie przedmiotowych danych wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony, za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. b i art. 6 ust. 1 lit. f RODO.

    Ad. 1 Zgoda pracownika na przetwarzanie danych biometrycznych

    Przesłanka pierwsza zawiera w sobie dwa istotne elementy, które muszą zajść jednocześnie. Pracodawca może przetwarzać dane biometryczne pracownika jedynie wtedy, gdy pracownik wyraził na to zgodę i zrobił to z własnej inicjatywy. Zgoda pracownika musi mieć charakter dobrowolny, konkretny, jednoznaczny, świadomy i uprzedni. Drugi element przesłanki – działanie pracownika z własnej inicjatywy – stanowi dopełnienie zgody na przetwarzanie danych osobowych z art. 221b § 2 Kodeksu pracy. Uważa się, iż zgoda w relacji pracodawca-pracownik nie posiada cech dobrowolności z uwagi na istnienie stosunku zależności i podporządkowania. Pracownik może czuć presję konieczności wyrażenia zgody na przetwarzanie danych biometrycznych obawiając się negatywnych konsekwencji w sytuacji odmowy udzielenia zgody lub jej wycofania na dalszym etapie przetwarzania. W związku z powyższym zaleca się, aby zgoda nie była stosowana jako podstawa prawna przetwarzania danych osobowych pracownika w sytuacjach, gdy pracownik może odczuwać jakąkolwiek presję ze strony pracodawcy. Decyzja o przekazaniu danych biometrycznych powinna być podjęta przez pracownika dobrowolnie.

    Co ważne, według stanowiska Naczelnego Sądu Administracyjnego, wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania (por. wyrok NSA z 1.12.2009 r., I OSK 249/09). Zatem nawet zgoda dobrowolnie wyrażona przez pracownika na przetwarzania jego danych biometrycznych nie będzie postrzegana jako ważna podstawa prawna przetwarzania jego danych biometrycznych w celu ewidencji czasu pracy.

    Nieodłącznym elementem pobierania zgody jest również konieczność poinformowania pracownika o możliwości wycofania zgody w każdym czasie.

    Ad. 2 Konieczność zapewnienia kontroli dostępu

    Pracodawca może przetwarzać dane biometryczne na podstawie przepisów kodeksu pracy:

    – gdy zachodzi obiektywna konieczności zapewnienia kontroli dostępu do szczególnie ważnych dla pracodawcy informacji, których ujawnienie może narazić pracodawcę na szkodę, a także

    – w sytuacji konieczności zapewnienia dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

    Wymogi legalności przetwarzania danych biometrycznych pracownika

     W związku z przetwarzaniem danych biometrycznych pracodawca powinien pamiętać o:

    1. spełnieniu podstawowych zasad przetwarzania danych osobowych z art. 5 RODO, w tym m.in. zasady zgodności z prawem przetwarzania, minimalizacji danych oraz integralności i poufności przetwarzania,
    2. powiadomieniu podmiotu danych o przetwarzaniu danych biometrycznych oraz o tym, jakie przysługują mu w tym zakresie prawa,
    3. odpowiednim upoważnieniu osób, które przetwarzają dane biometryczne pracowników ze wskazaniem zakresu danych osobowych, zobowiązaniu do zachowania poufności, ewentualnie podpisaniu odpowiednich umów powierzenia w sytuacji, gdy dostęp do danych ma podmiot zewnętrzny, np. zewnętrzna firma świadcząca usługi HR,
    4. przeprowadzeniu analizy ryzyka, a jeśli to konieczne – oceny skutków przetwarzania dla ochrony danych osobowych.

    Co ważne, przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostało uznane przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z przypadków, kiedy zachodzi konieczność dokonania oceny skutków dla ochrony danych.

    1. zapewnieniu właściwego poziomu bezpieczeństwa przetwarzanych danych, tak fizycznego, prawnego, organizacyjnego, jak i technicznego.

    Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

    Pracodawca, który nie respektuje przepisów prawa, w tym RODO i Kodeksu pracy w zakresie przetwarzania danych biometrycznych pracowników naraża się na konsekwencję kary administracyjnej, wszczęcia i prowadzenia postępowania cywilnego i karnego, a także możliwości złożenia przez pracownika skargi do Państwowej Inspekcji Pracy czy pozwu w sądzie pracy.

     

     

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Regulamin sklepu internetowego – o czym należy pamiętać?

    Sklepy internetowe to dzisiaj standard. W zasadzie większość przedsiębiorców sprzedaje swoje produkty w formie on-line. Szczególnie mamy z tym do czynienia przy produktach takich jak: ubrania, jedzenie, sprzęt AGD, elektronika, narzędzia, części zamienne, części samochodowe i wiele innych. Prowadząc sprzedaż swoich produktów za pomocą sklepu internetowego przedsiębiorca w praktyce świadczy usługi drogą elektroniczną. Zgodnie z […]

    Czytaj więcej
    Paweł Wojciechowski

    Program lojalnościowy zgodny z RODO – jak podejść do tematu?

    Słowo wstępu Programy lojalnościowe to jedno z powszechnie stosowanych na rynku narzędzi marketingowych. Rozwiązanie pozwala w sposób efektywny budować długotrwałe relacje z klientami, co ma przełożenie na sprzedaż oferowanych usług czy produktów przez firmę. Z drugiej strony, programy lojalnościowe mają wiele zalet dla klientów, m. in. pozwalają im być na bieżąco z ofertą firmy, nabywać […]

    Czytaj więcej
    Michał Sztąberek

    Czy czwarta rocznica bezpośredniego stosowania RODO coś zmienia?

    Pod koniec maja tego roku wiele firm i specjalistów zajmujących się ochroną danych osobowych publikowało sporo ciekawych podsumowań i felietonów dotyczących 4 lat obecności RODO w naszym życiu. Czy rzeczywiście tak wiele się zmieniło, że warto o tym pisać? Wydaje się, że 4 lata to naprawdę sporo, by przedsiębiorcy na dobre zapoznali się z RODO. […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki