Przetwarzanie danych biometrycznych – obowiązki pracodawcy RODO

Dane biometryczne, takie jak odciski palców, rozpoznawanie twarzy, skany siatkówki oka czy biometria kształtu ucha, podlegają szczególnej ochronie prawnej na gruncie ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Zgodnie z przepisami, dane te należą do szczególnych kategorii danych osobowych, co oznacza, że co do zasady RODO zakazuje ich przetwarzania, chyba że zachodzą wyjątki wskazane w art. 9 ust. 2 RODO.

Pracodawca planując wprowadzenie systemów biometrycznych, np. w celu kontroli dostępu do poufnych danych lub pomieszczeń, musi mieć świadomość, że przetwarzanie danych biometrycznych to zagadnienie wymagające szczególnej ostrożności (zobacz także: obowiązki pracodawcy).

Jedną z przesłanek legalizujących takie działanie może być wyraźna zgoda pracownika. Niemniej jednak, w relacji pracodawca-pracownik zgoda ta często nie spełnia warunku dobrowolności – z uwagi na nierówną pozycję stron. Dlatego art. 22 Kodeksu pracy ogranicza katalog danych, jakich pracodawca może żądać od pracownika. Uznanie zgody za podstawę przetwarzania danych biometrycznych może być uznane za obejście przepisów prawa, jeśli dane te wykraczają poza wskazany katalog.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) stoi na jednoznacznym stanowisku: przetwarzanie danych biometrycznych w celu ewidencji czasu pracy lub sprawdzania obecności pracowników – nawet za ich zgodą – jest niedozwolone.

Zasada proporcjonalności wskazuje, że stosowanie biometrii w celu kontroli obecności pracownika w miejscu pracy jest nieproporcjonalne do zamierzonego celu i narusza podstawowe prawa pracownika.

Pracodawca może natomiast monitorować służbową pocztę elektroniczną, gdy jest to niezbędne do zapewnienia organizacji pracy (wyrok NSA z dnia 1.12.2009 r., sygn. I OSK 249/09).

Przetwarzanie danych biometrycznych – a obowiązki pracodawcy RODO krok po kroku

Aby legalnie przetwarzać dane biometryczne pracowników, pracodawca powinien:

1. Zidentyfikować podstawę prawną – np. art. 9 ust. 2 RODO, jeśli przetwarzanie jest niezbędne do wykonania obowiązków wynikających z prawa pracy.

2. Ocenić niezbędność – należy wykazać, że stosowanie biometrii jest konieczne, np. w celu zabezpieczenia stref o wysokim poziomie bezpieczeństwa.

3. Przeprowadzić ocenę skutków dla ochrony danych (DPIA) – udokumentować, że dane biometryczne są niezbędne i inne mniej inwazyjne środki (np. karta dostępu) nie wystarczają.

4. Zapewnić alternatywę dla pracownika – np. identyfikator zamiast skanu odcisku palca. Pracownik nie może ponosić negatywnych konsekwencji odmowy zgody.

5. Zastosować odpowiednie zabezpieczenia techniczne i organizacyjne – m.in. szyfrowanie, ograniczenie dostępu, kontrolę uprawnień.

6. Spełnić obowiązek informacyjny – zgodnie z art. 13 RODO.

Przestrzegać zasady minimalizacji danych – przetwarzać tylko te dane, które są absolutnie niezbędne do realizacji celu.

Naruszenie zasad przetwarzania danych biometrycznych – a obowiązki pracodawcy RODO – może prowadzić do poważnych konsekwencji finansowych i prawnych.

Przykłady kar administracyjnych:

• 20.000 zł dla szkoły podstawowej w Gdańsku – za przetwarzanie linii papilarnych uczniów korzystających z usług stołówki (decyzja ZSZZS.440.768.2018).
• 3.819.960 zł dla spółki Morele.net – za brak odpowiednich środków technicznych i organizacyjnych (decyzje ZSPR.421.2.2019, ZSPR.405.67.2019).

Przetwarzanie danych biometrycznych – a obowiązki pracodawcy RODO to temat wymagający znajomości nie tylko przepisów, ale też praktycznych środków wdrożeniowych aby zapobiegać naruszeniom RODO. Jeśli potrzebujesz wsparcia w legalnym wdrożeniu systemów biometrycznych, skontaktuj się z naszą kancelarią – pomożemy Ci znaleźć rozwiązania zgodne z RODO i Twoim profilem działalności.