finger-2081169_1280

Wykorzystywanie danych biometrycznych przez pracodawcę na podstawie „zgody” pracownika

Ustawodawca europejski, tworząc RODO zdecydował objąć dane biometryczne podwyższoną ochroną i zakwalifikował je do szczególnej kategorii danych osobowych[1]. W Rozporządzeniu przyjęto ogólną definicję[2] „danych biometrycznych”, czyli danych osobowych, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy[3] lub dane daktyloskopijne.

RODO z zasady zabrania przetwarzania danych biometrycznych, chyba że zostanie spełniona jedna z enumeratywnie wskazanych przesłanek wyłączających zakaz, wśród których znajduje się zgoda podmiotu danych wyrażona w sposób wyraźny i dobrowolny.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

Przechodząc na grunt relacji pracodawcy z pracownikiem zauważyć należy, że coraz bardziej powszechnym zjawiskiem staje się stosowanie rozwiązań biometrycznych w zakładach pracy. Najczęściej wykorzystywany jest odcisk palca, rzadziej skanowanie tęczówki czy siatkówki oka. Rozwiązana te najczęściej spotkać można w związku z przydzielaniem dostępu do budynków i pomieszczeń biurowych oraz rejestracją czasu pracy pracownika. Często spotkać można się z odbieraniem oświadczeń, w których pracownik wyraża zgodę na wykorzystywanie jego danych biometrycznych. Należy jednak odpowiedzieć sobie na pytanie, czy tak wyrażona zgoda stanowi przesłankę legalizującą[4] przetwarzania danych osobowych oraz czy pracodawca w ogóle ma prawo stosować dane biometryczne pracownika.

Aktualnie obowiązujący Kodeks pracy nie zakazuje wprost stosowania rozwiązań wykorzystujących biometrię. Jednak patrząc na ten problem od drugiej strony wskazać należy, iż ten sam Kodeks wskazuje w sposób wyraźny jakich dany od pracownika może żądać pracodawca. W katalogu tym nie pojawiają się dane biometryczne. Przepis art. 22¹ § 1 i 2 ustawy Kodeks pracy dopuszcza bowiem żądanie od pracownika podania wyłącznie danych zaliczonych do określonego w tym przepisie katalogu informacji. Pozostałe informacje o pracowniku ustawodawca uznał generalnie za niedostępne dla pracodawcy. Wprowadził jednak jeden wyjątek (art. 22¹ § 4), tj. pracodawca może żądać podania innych danych osobowych niż określone w art. 22¹ § 1 i 2 ustawy, jeżeli obowiązek ich podania wynika z odrębnych przepisów prawa. Do przedmiotowego zagadnienia nie znajdują jednak zastosowania przepisy, które zezwalałyby na przetwarzanie w celu prowadzenia rejestracji czasu pracy innych danych osobowych niż wymienione w wyżej.

W projekcie ustawy z dnia 7 czerwca 2018 r. – o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 Ustawodawca przewiduje dodanie art. 221b Kodeksu pracy, który będzie wskazywał na wykorzystanie biometrii, które będzie dopuszczalne tylko wtedy, gdy będzie to niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa oraz gdy podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub dostępu do pomieszczeń wymagających szczególnej ochrony.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

Wracając jednak do tematu stosowania rozwiązań biometrycznych przez pracodawcę, kwestię odbieranych od pracowników oświadczeń o wyrażeniu zgody/chęci korzystania z rozwiązań biometrycznych przy dostępie do pomieszczeń oraz rejestracji czasu pracy należy rozpatrywać w kilku aspektach.

Aby zgoda była wyrażona w sposób skuteczny musi być wyrażona m. in. w sposób dobrowolny. Przesłanka ta powinna być oceniana w szczególności w oparciu kryterium równowagi stron, której zaburzenie, wynikające z faktu podległości lub innych przyczyn związanych z sytuacją prawną lub faktyczną podmiotu danych, zaburza swobodę podjęcia decyzji dotyczącej zgody, a w konsekwencji wyklucza urzeczywistnienie tej przesłanki. Relacja pracownik – pracodawca zaburza tę równowagę, a co za tym idzie „dobrowolność” jej wyrażenia byłaby bardzo trudna do obrony przez pracodawcę.

W jednej ze swych decyzji GIODO stwierdził, iż powoływanie zgody wyrażonej przez pracowników jako przesłanki legalizującej przetwarzanie danych biometrycznych w sytuacji, gdy przepisy prawa wskazują katalog danych, które mogą być przez pracodawcę przetwarzane, prowadzi do obchodzenia prawa regulującego te kwestie w sposób jednoznaczny. Złożenie przez pracownika oświadczenia, które jest wyrażeniem zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Pracownik nie inicjuje podania tych danych, lecz zwraca się o nie pracodawca. Podkreślił ponadto, że jedną z podstawowych cech stosunku pracy jest podporządkowanie pracownika pracodawcy w zakresie dotyczącym pracy (art. 22 § 1 ustawy Kodeks pracy), zatem zgoda może być ograniczona z uwagi na nierówność stron. Wskazał również, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest rejestracja czasu pracy (stanowisko potwierdzone wyrokiem NSA o sygn. akt I OSK 1476/10).

Abstrahując jednak od powyższego, należy dodatkowo wskazać na dwie kwestie.

Po pierwsze wykorzystywanie danych biometrycznych do rejestrowania czasu pracy pracownika. Jeszcze na gruncie poprzednio obowiązujących regulacji prawnych dot. ochrony danych osobowych GIODO wydał szereg decyzji, z których wynika zakaz stosowania biometrii dla tak określonego celu. Co ważne, stanowisko to podzieliły także sądy. GIODO wskazał,  że każdy przypadek zastosowania biometrii należy przeanalizować indywidualnie, z uwzględnieniem wszystkich jego aspektów, biorąc m.in. pod uwagę tzw. zasadę adekwatności, zgodnie z którą zbierać można jedynie te dane, które są niezbędne dla osiągnięcia celu, w którym są gromadzone. W decyzji z dnia 22 lutego 2008 r. (znak DIS/DEC- 134/4605/08) GIODO wskazuje, iż złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na rejestrację czasu pracy za pomocą czytnika palców, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Podobne stanowisko wyrażone zostało w decyzji z dnia 9 grudnia 2009 r. (DIS/DEC- 1261/46988/09). Także NSA w swoim wyroku z 2009 r. (sygn. akt I OSK 249/09) przyjął jednoznaczne stanowisko, iż wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.

Po drugie, wykorzystywanie biometrii w dostępie do wszystkich pomieszczeń i dla każdego pracownika. Wykorzystanie biometrii przy dostępie do budynków i pomieszczeń – zgodnie z zasadą minimalizacji – mogłaby być wykorzystana, ale w bardzo ograniczonym zakresie zarówno osobowym jak i obszarowym. Rozwiązanie to można rozważyć przy dostępie do pomieszczeń szczególnie ważnych, kluczowych, takich w których znajdują się cenne informacje (np. serwerownie, laboratoria czy pomieszczenia w których przechowywane byłoby mienie niebezpieczne). Dostęp do tych pomieszczeń – z uwagi na ich specyfikę –  byłby ograniczony do wąskiego grona osób. Tylko w takim  przypadku Spółka mogłaby rozważać stosowanie danych biometrycznych.

Podsumowując, pracodawca będący administratorem danych osobowych zatrudnionego pracownika powinien każdorazowo mieć podstawy legalizujące przetwarzanie danych osobowych. W sytuacji, kiedy podstawą przetwarzania jest „zgoda”, powinna być ona konkretna i  wyrażona w sposób świadomy, jednoznaczny i dobrowolny, a jej wycofanie nie powinna rodzić obaw podmiotu danych o wystąpienie jakichkolwiek negatywnych konsekwencji.

[1] Art. 9 ust. 1 RODO.

[2] Art. 4 pkt. 14 RODO.

[3] Nie będzie to każdy wizerunek czy fotografia, gdyż fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

[4] Art. 9 ust. 2 lut. a RODO.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

26220246_2000758993284607_1921202273396432158_n

Kinga Majczak
Adwokat
kinga.majczak@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej