Poradnik Pracownika

Przetwarzanie danych biometrycznych pracownika przez zakład pracy

Szybki postęp techniczny i globalizacja niosą nowe wyzwania w dziedzinie ochrony danych osobowych. Skala ich zbierania i wymiany znacząco wzrosła. Dzięki nowym technologiom zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Jak powinno wyglądać przetwarzanie danych biometrycznych pracownika?

Co to są dane biometryczne?

Zgodnie z art. 4 pkt 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L nr 119, str. 1), popularnie zwanego RODO, danymi biometrycznymi są dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Biometria to nauka zajmująca się badaniem prawidłowości kierujących zmiennością cech populacji organizmów żywych, posługująca się metodami statystyki matematycznej, a także technika dokonywania pomiarów istot żywych (Słownik Języka Polskiego PWN, sjp.pwn.pl).

Do cech biometrycznych zaliczyć należy m.in.:

  • cechy tęczówki oka,
  • linie papilarne palców,
  • geometrię twarzy,
  • geometrię dłoni,
  • DNA,
  • zapach,
  • kształt ust,
  • kształt uszu,
  • barwę głosu,
  • siatkówkę oka,
  • kształt linii zgięcia wnętrza dłoni,
  • układ naczyń krwionośnych na dłoni lub przegubie ręki,
  • własnoręczny podpis.

Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości [motyw 51 RODO].

Generalny zakaz przetwarzania danych biometrycznych i wyjątki od tego zakazu

Przepis art. 9 RODO zabrania przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej (podobnie jak danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, dotyczących zdrowia, seksualności lub orientacji seksualnej).

Zakaz ten nie ma zastosowania, jeżeli zachodzą okoliczności wymienione w art. 9 ust. 2 RODO – m.in. gdy:

  • osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.

Dane biometryczne w przepisach Kodeksu pracy

Zgodnie z art. 221b § 1 Kodeksu pracy pracodawca może przetwarzać dane biometryczne (i pozostałe dane, o których mowa w art. 9 ust. 1 RODO), gdy spełnione zostaną łącznie dwa warunki:

  • osoba ubiegająca się o zatrudnienie lub pracownik, których dane dotyczą, wyrażają na to zgodę;
  • przekazanie danych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie ich jest niezbędne ze względu na kontrolę dostępu do:

  • szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub
  • pomieszczeń wymagających szczególnej ochrony (art. 221b § 2 Kodeksu pracy).

Przykład 1.

U pracodawcy trwają prace nad opracowaniem nowej, unikalnej technologii, która ma znacząco zwiększyć jakość i ilość wytwarzanych produktów. Prace są prowadzone w warunkach ostrej walki konkurencyjnej. Pracodawcy zależy na zachowaniu pełnej tajemnicy przebiegu i wyników prowadzonych prac. Dlatego uznał, że dostęp do pomieszczeń, w których przechowywana jest dokumentacja wspomnianych prac, powinien być chroniony w szczególny sposób. Z tego powodu wprowadził rozwiązania techniczne umożliwiające tam wstęp na podstawie skanowania linii papilarnych palca. W związku z tym cechy (układ) linii papilarnych palca wskazującego prawej ręki pracowników zostały wprowadzone do bazy danych administrowanej przez pracodawcę w celu wykorzystania ich jako kryterium dostępu do chronionych pomieszczeń.

Nawiązując do przykładu, można zaproponować następującą treść stosownego upoważnienia:

UPOWAŻNIENIE DO PRZETWARZANIA BIOMETRYCZNYCH DANYCH OSOBOWYCH

 

Upoważniam ...................................... (imię i nazwisko pracownika) do przetwarzania biometrycznych danych osobowych pracowników ...................................... (nazwa pracodawcy) w zakresie cech (układu) linii papilarnych palca wskazującego prawej ręki w celu zapewnienia identyfikacji osób uprawnionych do wstępu do chronionych pomieszczeń pracodawcy.

 

......................................

data i podpis pracodawcy

lub osoby reprezentującej pracodawcę

 

Zobowiązuję się do zachowania w tajemnicy przetwarzanych przeze mnie danych osobowych.

 

......................................

data i podpis pracownika

Osoba upoważniona do przetwarzania danych

W myśl art. 221b § 3 Kodeksu pracy do przetwarzania danych, o których mowa w art. 9 ust. 1 RODO, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby te są obowiązane do zachowania ich w tajemnicy.

Odpowiedzialność za bezprawne przetwarzanie danych biometrycznych pracownika

Jak stanowi art. 107 Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2019 roku poz. 1781), kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli jednak ten czyn dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, sprawca czynu podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Ochrona ta odnosi się w szczególny sposób do danych wrażliwych, do których zaliczają się dane biometryczne – ich przetwarzanie jest generalnie zakazane, choć przepisy przewidują wyjątki od tego zakazu. Wtedy konieczne jest dochowanie szczególnej staranności w celu zapobieżenia udostępnieniu tych danych osobom niepowołanym.