Kinga Majczak - Górecka

Kinga Majczak-Górecka
Adwokat

Wykorzystywanie danych biometrycznych przez pracodawcę na podstawie „zgody” pracownika

Dodano: wrzesień 17, 2018 Kategoria: Administrator danych, Inspektor Ochrony Danych, Ogólne rozporządzenie o ochronie danych osobowych (RODO), Podmiot danych, Wszystkie wpisy Autor: Kinga Majczak-Górecka

Ustawodawca europejski, tworząc RODO zdecydował objąć dane biometryczne podwyższoną ochroną i zakwalifikował je do szczególnej kategorii danych osobowych[1]. W Rozporządzeniu przyjęto ogólną definicję[2] „danych biometrycznych”, czyli danych osobowych, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy[3] lub dane daktyloskopijne.

RODO z zasady zabrania przetwarzania danych biometrycznych, chyba że zostanie spełniona jedna z enumeratywnie wskazanych przesłanek wyłączających zakaz, wśród których znajduje się zgoda podmiotu danych wyrażona w sposób wyraźny i dobrowolny.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

Przechodząc na grunt relacji pracodawcy z pracownikiem zauważyć należy, że coraz bardziej powszechnym zjawiskiem staje się stosowanie rozwiązań biometrycznych w zakładach pracy. Najczęściej wykorzystywany jest odcisk palca, rzadziej skanowanie tęczówki czy siatkówki oka. Rozwiązana te najczęściej spotkać można w związku z przydzielaniem dostępu do budynków i pomieszczeń biurowych oraz rejestracją czasu pracy pracownika. Często spotkać można się z odbieraniem oświadczeń, w których pracownik wyraża zgodę na wykorzystywanie jego danych biometrycznych. Należy jednak odpowiedzieć sobie na pytanie, czy tak wyrażona zgoda stanowi przesłankę legalizującą[4] przetwarzania danych osobowych oraz czy pracodawca w ogóle ma prawo stosować dane biometryczne pracownika.

Aktualnie obowiązujący Kodeks pracy nie zakazuje wprost stosowania rozwiązań wykorzystujących biometrię. Jednak patrząc na ten problem od drugiej strony wskazać należy, iż ten sam Kodeks wskazuje w sposób wyraźny jakich dany od pracownika może żądać pracodawca. W katalogu tym nie pojawiają się dane biometryczne. Przepis art. 22¹ § 1 i 2 ustawy Kodeks pracy dopuszcza bowiem żądanie od pracownika podania wyłącznie danych zaliczonych do określonego w tym przepisie katalogu informacji. Pozostałe informacje o pracowniku ustawodawca uznał generalnie za niedostępne dla pracodawcy. Wprowadził jednak jeden wyjątek (art. 22¹ § 4), tj. pracodawca może żądać podania innych danych osobowych niż określone w art. 22¹ § 1 i 2 ustawy, jeżeli obowiązek ich podania wynika z odrębnych przepisów prawa. Do przedmiotowego zagadnienia nie znajdują jednak zastosowania przepisy, które zezwalałyby na przetwarzanie w celu prowadzenia rejestracji czasu pracy innych danych osobowych niż wymienione w wyżej.

W projekcie ustawy z dnia 7 czerwca 2018 r. – o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 Ustawodawca przewiduje dodanie art. 221b Kodeksu pracy, który będzie wskazywał na wykorzystanie biometrii, które będzie dopuszczalne tylko wtedy, gdy będzie to niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa oraz gdy podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub dostępu do pomieszczeń wymagających szczególnej ochrony.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

Wracając jednak do tematu stosowania rozwiązań biometrycznych przez pracodawcę, kwestię odbieranych od pracowników oświadczeń o wyrażeniu zgody/chęci korzystania z rozwiązań biometrycznych przy dostępie do pomieszczeń oraz rejestracji czasu pracy należy rozpatrywać w kilku aspektach.

Aby zgoda była wyrażona w sposób skuteczny musi być wyrażona m. in. w sposób dobrowolny. Przesłanka ta powinna być oceniana w szczególności w oparciu kryterium równowagi stron, której zaburzenie, wynikające z faktu podległości lub innych przyczyn związanych z sytuacją prawną lub faktyczną podmiotu danych, zaburza swobodę podjęcia decyzji dotyczącej zgody, a w konsekwencji wyklucza urzeczywistnienie tej przesłanki. Relacja pracownik – pracodawca zaburza tę równowagę, a co za tym idzie „dobrowolność” jej wyrażenia byłaby bardzo trudna do obrony przez pracodawcę.

W jednej ze swych decyzji GIODO stwierdził, iż powoływanie zgody wyrażonej przez pracowników jako przesłanki legalizującej przetwarzanie danych biometrycznych w sytuacji, gdy przepisy prawa wskazują katalog danych, które mogą być przez pracodawcę przetwarzane, prowadzi do obchodzenia prawa regulującego te kwestie w sposób jednoznaczny. Złożenie przez pracownika oświadczenia, które jest wyrażeniem zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Pracownik nie inicjuje podania tych danych, lecz zwraca się o nie pracodawca. Podkreślił ponadto, że jedną z podstawowych cech stosunku pracy jest podporządkowanie pracownika pracodawcy w zakresie dotyczącym pracy (art. 22 § 1 ustawy Kodeks pracy), zatem zgoda może być ograniczona z uwagi na nierówność stron. Wskazał również, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest rejestracja czasu pracy (stanowisko potwierdzone wyrokiem NSA o sygn. akt I OSK 1476/10).

Abstrahując jednak od powyższego, należy dodatkowo wskazać na dwie kwestie.

Po pierwsze wykorzystywanie danych biometrycznych do rejestrowania czasu pracy pracownika. Jeszcze na gruncie poprzednio obowiązujących regulacji prawnych dot. ochrony danych osobowych GIODO wydał szereg decyzji, z których wynika zakaz stosowania biometrii dla tak określonego celu. Co ważne, stanowisko to podzieliły także sądy. GIODO wskazał,  że każdy przypadek zastosowania biometrii należy przeanalizować indywidualnie, z uwzględnieniem wszystkich jego aspektów, biorąc m.in. pod uwagę tzw. zasadę adekwatności, zgodnie z którą zbierać można jedynie te dane, które są niezbędne dla osiągnięcia celu, w którym są gromadzone. W decyzji z dnia 22 lutego 2008 r. (znak DIS/DEC- 134/4605/08) GIODO wskazuje, iż złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na rejestrację czasu pracy za pomocą czytnika palców, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Podobne stanowisko wyrażone zostało w decyzji z dnia 9 grudnia 2009 r. (DIS/DEC- 1261/46988/09). Także NSA w swoim wyroku z 2009 r. (sygn. akt I OSK 249/09) przyjął jednoznaczne stanowisko, iż wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.

Po drugie, wykorzystywanie biometrii w dostępie do wszystkich pomieszczeń i dla każdego pracownika. Wykorzystanie biometrii przy dostępie do budynków i pomieszczeń – zgodnie z zasadą minimalizacji – mogłaby być wykorzystana, ale w bardzo ograniczonym zakresie zarówno osobowym jak i obszarowym. Rozwiązanie to można rozważyć przy dostępie do pomieszczeń szczególnie ważnych, kluczowych, takich w których znajdują się cenne informacje (np. serwerownie, laboratoria czy pomieszczenia w których przechowywane byłoby mienie niebezpieczne). Dostęp do tych pomieszczeń – z uwagi na ich specyfikę –  byłby ograniczony do wąskiego grona osób. Tylko w takim  przypadku Spółka mogłaby rozważać stosowanie danych biometrycznych.

Podsumowując, pracodawca będący administratorem danych osobowych zatrudnionego pracownika powinien każdorazowo mieć podstawy legalizujące przetwarzanie danych osobowych. W sytuacji, kiedy podstawą przetwarzania jest „zgoda”, powinna być ona konkretna i  wyrażona w sposób świadomy, jednoznaczny i dobrowolny, a jej wycofanie nie powinna rodzić obaw podmiotu danych o wystąpienie jakichkolwiek negatywnych konsekwencji.

[1] Art. 9 ust. 1 RODO.

[2] Art. 4 pkt. 14 RODO.

[3] Nie będzie to każdy wizerunek czy fotografia, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

[4] Art. 9 ust. 2 lut. a RODO.
Post Views: 15 448

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Kinga Majczak - Górecka

Kinga Majczak-Górecka
Adwokat

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.