iSecure logo
Blog

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Dane biometryczne

Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka oka, sposób chodzenia, czy podpis odręczny. RODO wskazuje, iż zabronione jest przetwarzanie tych danych, chyba że zachodzi jedna z przesłanek legalizujących, w postaci, np. zgody osoby, której dane dotyczą. Co ważne, przetwarzanie tego rodzaju danych mocno ingeruje w prawa osoby, której dane dotyczą, w tym prawo do prywatności. Czy w związku z powyższym jest możliwe, by pracodawca mógł zgodnie z prawem przetwarzać dane biometryczne?

Stosunek pracy a przetwarzanie danych biometrycznych

Według Kodeksu pracy pracodawcą może być jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników, zaś pracownikiem jest osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca – do zatrudniania pracownika za wynagrodzeniem. Relację pomiędzy pracodawcą a pracownikiem cechuje podporządkowanie co do rodzaju, miejsca i czasu pracy. To pracodawca, oczywiście ograniczony przepisami prawa, decyduje o przetwarzaniu danych osobowych pracownika. O możliwości przetwarzania danych biometrycznych pracownika stanowi art.  221b § 1 i 2 Kodeksu pracy wskazując, iż przetwarzanie danych biometrycznych pracownika jest dopuszczalne w następujących sytuacjach, gdy:

  1. przekazanie danych osobowych zajdzie z inicjatywy i za zgodą pracownika – za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. a i art. 6 ust. 1 lit. a RODO lub
  2. przetwarzanie przedmiotowych danych wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony, za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. b i art. 6 ust. 1 lit. f RODO.

Ad. 1 Zgoda pracownika na przetwarzanie danych biometrycznych

Przesłanka pierwsza zawiera w sobie dwa istotne elementy, które muszą zajść jednocześnie. Pracodawca może przetwarzać dane biometryczne pracownika jedynie wtedy, gdy pracownik wyraził na to zgodę i zrobił to z własnej inicjatywy. Zgoda pracownika musi mieć charakter dobrowolny, konkretny, jednoznaczny, świadomy i uprzedni. Drugi element przesłanki – działanie pracownika z własnej inicjatywy – stanowi dopełnienie zgody na przetwarzanie danych osobowych z art. 221b § 2 Kodeksu pracy. Uważa się, iż zgoda w relacji pracodawca-pracownik nie posiada cech dobrowolności z uwagi na istnienie stosunku zależności i podporządkowania. Pracownik może czuć presję konieczności wyrażenia zgody na przetwarzanie danych biometrycznych obawiając się negatywnych konsekwencji w sytuacji odmowy udzielenia zgody lub jej wycofania na dalszym etapie przetwarzania. W związku z powyższym zaleca się, aby zgoda nie była stosowana jako podstawa prawna przetwarzania danych osobowych pracownika w sytuacjach, gdy pracownik może odczuwać jakąkolwiek presję ze strony pracodawcy. Decyzja o przekazaniu danych biometrycznych powinna być podjęta przez pracownika dobrowolnie.

Co ważne, według stanowiska Naczelnego Sądu Administracyjnego, wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania (por. wyrok NSA z 1.12.2009 r., I OSK 249/09). Zatem nawet zgoda dobrowolnie wyrażona przez pracownika na przetwarzania jego danych biometrycznych nie będzie postrzegana jako ważna podstawa prawna przetwarzania jego danych biometrycznych w celu ewidencji czasu pracy.

Nieodłącznym elementem pobierania zgody jest również konieczność poinformowania pracownika o możliwości wycofania zgody w każdym czasie.

Ad. 2 Konieczność zapewnienia kontroli dostępu

Pracodawca może przetwarzać dane biometryczne na podstawie przepisów kodeksu pracy:

– gdy zachodzi obiektywna konieczności zapewnienia kontroli dostępu do szczególnie ważnych dla pracodawcy informacji, których ujawnienie może narazić pracodawcę na szkodę, a także

– w sytuacji konieczności zapewnienia dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

Wymogi legalności przetwarzania danych biometrycznych pracownika

 W związku z przetwarzaniem danych biometrycznych pracodawca powinien pamiętać o:

  1. spełnieniu podstawowych zasad przetwarzania danych osobowych z art. 5 RODO, w tym m.in. zasady zgodności z prawem przetwarzania, minimalizacji danych oraz integralności i poufności przetwarzania,
  2. powiadomieniu podmiotu danych o przetwarzaniu danych biometrycznych oraz o tym, jakie przysługują mu w tym zakresie prawa,
  3. odpowiednim upoważnieniu osób, które przetwarzają dane biometryczne pracowników ze wskazaniem zakresu danych osobowych, zobowiązaniu do zachowania poufności, ewentualnie podpisaniu odpowiednich umów powierzenia w sytuacji, gdy dostęp do danych ma podmiot zewnętrzny, np. zewnętrzna firma świadcząca usługi HR,
  4. przeprowadzeniu analizy ryzyka, a jeśli to konieczne – oceny skutków przetwarzania dla ochrony danych osobowych.

Co ważne, przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostało uznane przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z przypadków, kiedy zachodzi konieczność dokonania oceny skutków dla ochrony danych.

  1. zapewnieniu właściwego poziomu bezpieczeństwa przetwarzanych danych, tak fizycznego, prawnego, organizacyjnego, jak i technicznego.

Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

Pracodawca, który nie respektuje przepisów prawa, w tym RODO i Kodeksu pracy w zakresie przetwarzania danych biometrycznych pracowników naraża się na konsekwencję kary administracyjnej, wszczęcia i prowadzenia postępowania cywilnego i karnego, a także możliwości złożenia przez pracownika skargi do Państwowej Inspekcji Pracy czy pozwu w sądzie pracy.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

PLIKI COOKIES PO POLSKU

Ciasteczkowy zawrót głowy  Pliki cookies wykorzystywane są dzisiaj niemal na każdej stronie internetowej. Informacje o użytkowniku danego sprzętu pozwalają dostosować usługi do konkretnej osoby, zebrać informacje statystyczne i analityczne o działaniu serwisu, ale także poznać zachowania odwiedzających/kupujących, które później wyznaczają kierunki kampanii reklamowych.  Pliki cookies to technologia zbierająca dane o użytkownikach, a ich użycie jest […]

Audyt RODO – czy rzeczywiście jest potrzebny i w jaki sposób go przeprowadzić?

Gdy rozmawiam z potencjalnymi klientami, często od nich słyszę, że nie chcą żadnych audytów tylko chcą być zgodni z RODO. Rzeczywiście istnieją w naszej branży podmioty, które oferują gotowe „pakiety” zgodności z RODO w postaci wzorów dokumentacji, klauzul i ogólnych zaleceń. Warto jednak zadać sobie wówczas pytanie czy otrzymując taki pakiet będziecie wiedzieli co z […]

Czy powinienem wyznaczyć Inspektora Ochrony Danych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki