iSecure logo
Blog

Czy pracodawca może przetwarzać dane biometryczne pracownika?

Dane biometryczne

Według RODO danymi biometrycznymi nazywamy dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, a także behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, np. odciski palców, wizerunek twarzy, kształt małżowiny usznej, głos, kod DNA, tęczówka oka, sposób chodzenia, czy podpis odręczny. RODO wskazuje, iż zabronione jest przetwarzanie tych danych, chyba że zachodzi jedna z przesłanek legalizujących, w postaci, np. zgody osoby, której dane dotyczą. Co ważne, przetwarzanie tego rodzaju danych mocno ingeruje w prawa osoby, której dane dotyczą, w tym prawo do prywatności. Czy w związku z powyższym jest możliwe, by pracodawca mógł zgodnie z prawem przetwarzać dane biometryczne?

Stosunek pracy a przetwarzanie danych biometrycznych

Według Kodeksu pracy pracodawcą może być jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników, zaś pracownikiem jest osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Przez nawiązanie stosunku pracy pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę, a pracodawca – do zatrudniania pracownika za wynagrodzeniem. Relację pomiędzy pracodawcą a pracownikiem cechuje podporządkowanie co do rodzaju, miejsca i czasu pracy. To pracodawca, oczywiście ograniczony przepisami prawa, decyduje o przetwarzaniu danych osobowych pracownika. O możliwości przetwarzania danych biometrycznych pracownika stanowi art.  221b § 1 i 2 Kodeksu pracy wskazując, iż przetwarzanie danych biometrycznych pracownika jest dopuszczalne w następujących sytuacjach, gdy:

  1. przekazanie danych osobowych zajdzie z inicjatywy i za zgodą pracownika – za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. a i art. 6 ust. 1 lit. a RODO lub
  2. przetwarzanie przedmiotowych danych wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony, za podstawę prawną można wskazać 221b§ 2 Kodeksu pracy w zw. z art. 9 ust. 2 lit. b i art. 6 ust. 1 lit. f RODO.

Ad. 1 Zgoda pracownika na przetwarzanie danych biometrycznych

Przesłanka pierwsza zawiera w sobie dwa istotne elementy, które muszą zajść jednocześnie. Pracodawca może przetwarzać dane biometryczne pracownika jedynie wtedy, gdy pracownik wyraził na to zgodę i zrobił to z własnej inicjatywy. Zgoda pracownika musi mieć charakter dobrowolny, konkretny, jednoznaczny, świadomy i uprzedni. Drugi element przesłanki – działanie pracownika z własnej inicjatywy – stanowi dopełnienie zgody na przetwarzanie danych osobowych z art. 221b § 2 Kodeksu pracy. Uważa się, iż zgoda w relacji pracodawca-pracownik nie posiada cech dobrowolności z uwagi na istnienie stosunku zależności i podporządkowania. Pracownik może czuć presję konieczności wyrażenia zgody na przetwarzanie danych biometrycznych obawiając się negatywnych konsekwencji w sytuacji odmowy udzielenia zgody lub jej wycofania na dalszym etapie przetwarzania. W związku z powyższym zaleca się, aby zgoda nie była stosowana jako podstawa prawna przetwarzania danych osobowych pracownika w sytuacjach, gdy pracownik może odczuwać jakąkolwiek presję ze strony pracodawcy. Decyzja o przekazaniu danych biometrycznych powinna być podjęta przez pracownika dobrowolnie.

Co ważne, według stanowiska Naczelnego Sądu Administracyjnego, wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania (por. wyrok NSA z 1.12.2009 r., I OSK 249/09). Zatem nawet zgoda dobrowolnie wyrażona przez pracownika na przetwarzania jego danych biometrycznych nie będzie postrzegana jako ważna podstawa prawna przetwarzania jego danych biometrycznych w celu ewidencji czasu pracy.

Nieodłącznym elementem pobierania zgody jest również konieczność poinformowania pracownika o możliwości wycofania zgody w każdym czasie.

Ad. 2 Konieczność zapewnienia kontroli dostępu

Pracodawca może przetwarzać dane biometryczne na podstawie przepisów kodeksu pracy:

– gdy zachodzi obiektywna konieczności zapewnienia kontroli dostępu do szczególnie ważnych dla pracodawcy informacji, których ujawnienie może narazić pracodawcę na szkodę, a także

– w sytuacji konieczności zapewnienia dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

Wymogi legalności przetwarzania danych biometrycznych pracownika

 W związku z przetwarzaniem danych biometrycznych pracodawca powinien pamiętać o:

  1. spełnieniu podstawowych zasad przetwarzania danych osobowych z art. 5 RODO, w tym m.in. zasady zgodności z prawem przetwarzania, minimalizacji danych oraz integralności i poufności przetwarzania,
  2. powiadomieniu podmiotu danych o przetwarzaniu danych biometrycznych oraz o tym, jakie przysługują mu w tym zakresie prawa,
  3. odpowiednim upoważnieniu osób, które przetwarzają dane biometryczne pracowników ze wskazaniem zakresu danych osobowych, zobowiązaniu do zachowania poufności, ewentualnie podpisaniu odpowiednich umów powierzenia w sytuacji, gdy dostęp do danych ma podmiot zewnętrzny, np. zewnętrzna firma świadcząca usługi HR,
  4. przeprowadzeniu analizy ryzyka, a jeśli to konieczne – oceny skutków przetwarzania dla ochrony danych osobowych.

Co ważne, przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu zostało uznane przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z przypadków, kiedy zachodzi konieczność dokonania oceny skutków dla ochrony danych.

  1. zapewnieniu właściwego poziomu bezpieczeństwa przetwarzanych danych, tak fizycznego, prawnego, organizacyjnego, jak i technicznego.

Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

Pracodawca, który nie respektuje przepisów prawa, w tym RODO i Kodeksu pracy w zakresie przetwarzania danych biometrycznych pracowników naraża się na konsekwencję kary administracyjnej, wszczęcia i prowadzenia postępowania cywilnego i karnego, a także możliwości złożenia przez pracownika skargi do Państwowej Inspekcji Pracy czy pozwu w sądzie pracy.

 

 

Pobierz wpis w wersji pdf

Podobne wpisy:

Nowa decyzja o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”

10 lipca 2023 r. Komisja Europejska przyjęła – na podstawie art. 45 RODO – decyzję o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”. To zwieńczenie długiego procesu budowania nowej regulacji do wymiany danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi, który rozpoczął się wkrótce po uchyleniu poprzedniej decyzji o zapewnieniu odpowiedniego poziomu ochrony […]

Odpowiedzialność finansowa w grupie kapitałowej i nadzór nad procesami

Podmioty działające w ramach grup kapitałowych bardzo często dzielą̨ się̨ informacjami. Kiedy wymiana dotyczy danych osobowych, z zasady niezbędne jest spełnienie wymagań́ określonych w przepisach o ich ochronie. Nadzór nad procesami w grupie kapitałowej jest w gruncie rzeczy bardzo trudny. Jest to zauważalne zjawisko ukazujące się podczas audytu RODO. Zazwyczaj nie zdajemy sobie sprawy z […]

Zakres danych w umowach o świadczenie usług telekomunikacyjnych

Zewnętrzny Inspektor Ochrony Danych (IOD) – wady i zalety

Jako iSecure od dawna świadczymy usługi w zakresie outsourcingu – przed 25 maja 2018 r. była to funkcja zewnętrznego administratora bezpieczeństwa informacji (ABI), a od momentu obowiązywania RODO, zewnętrznego inspektora ochrony danych (IOD). A że działamy na rynku od 2010 r. spokojnie możemy pokusić się o próbę pokazania tak zalet jak i wad takiego outsourcingu. […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki