puodo

Dane biometryczne są jedną z kategorii danych wrażliwych, wskazanych w art. 9 ust. 1 RODO. Wykorzystanie tego rodzaju danych osobowych jest możliwe tylko w szczególnych przypadkach. RODO oraz przepisy prawa krajowego nie dają podstaw do wykorzystywania tych danych w celach rejestracji czasu pracy.

Czym są dane biometryczne?

Dane biometryczne to dane pozyskane wskutek specjalnego przetwarzania technicznego. Dotyczą one cech fizycznych, fizjologicznych lub behawioralnych człowieka, a także umożliwiają identyfikację lub potwierdzenie tożsamości danej osoby. Obok m.in. danych dotyczących zdrowia czy światopoglądu są zaliczane do tak zwanych danych wrażliwych, których przykłady zostały wymienione w art. 9 ust. 1 RODO.

Przetwarzanie danych wrażliwych będzie możliwe, pod warunkiem że zostanie wykazana jedna z podstaw przetwarzania wymienionych w art. 9 ust. 2 RODO, np. zgoda podmiotu danych. Jednak wykorzystanie danych wrażliwych w sektorze zatrudnienia jest dodatkowo ograniczone przez RODO. Zgodnie z art. 9 ust 2 lit b RODO przetwarzanie takich danych jest możliwe, gdy  jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy, o ile pozwalają na to przepisy prawa. To oznacza, że pracodawca chcąc przetwarzać dane wrażliwe pracownika musi wskazać przepis prawa dający mu do tego uprawnienie.

Kiedy pracodawca może legalnie przetwarzać dane biometryczne pracownika?

Warunki wykorzystania danych wrażliwych przez pracodawcę uregulowano w art. 22^1b Kodeksu pracy, zgodnie z którym tego rodzaju dane osobowe mogą być przetwarzane, gdy:

• następuje to za zgodą pracownika, a pracownik wystąpił z inicjatywą przekazania takich danych;
• wykorzystywane będą dane biometryczne niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub w celu dostępu do pomieszczeń wymagających szczególnej ochrony.

W pierwszej sytuacji  zgoda pracownika musi spełniać wymagania RODO, tj. świadom, dobrowolna i możliwa do odwołania bez wywoływania negatywnych skutków dla pracownika. Co istotne, w takim przypadku dane osobowe powinny być przekazane z inicjatywy samego pracownika. Z uwagi na specyficzny charakter danych biometrycznych, w literaturze wskazuje się, że omawiana regulacja w odniesieniu do tych danych prawdopodobnie nie będzie miała szerszego zastosowania w praktyce[1].

Jeśli chodzi o drugi przypadek, nie można mieć wątpliwości, że pracodawca może wykorzystać dane biometryczne tylko w ściśle określonych przypadkach.

W związku z tym należy uznać, że przepisy prawa krajowego nie dają podstaw do przetwarzania danych biometrycznych w celu rejestracji czasu pracy.

Taki sposób wykorzystania danych biometrycznych stanowiłby także naruszenie podstawowych zasad przetwarzania wskazanych w art. 5 RODO, w szczególności zasady legalizmu  i minimalizacji danych. Pierwsza z zasad nakłada na administratora obowiązek przetwarzania danych osobowych zgodnie z prawem, w tym również wskazanie podstawy przetwarzania. Natomiast zasada minimalizacji danych zobowiązuje administratora do przetwarzania jedynie danych niezbędnych do osiągnięcia wyznaczonego celu.

Aspekt minimalizacji danych w odniesieniu do danych biometrycznych szczególnie podkreślił Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 lutego 2020 r. W uzasadnieniu decyzji wskazano, że wykorzystanie danych biometrycznych musi być niezbędne do osiągnięcia wyznaczonego celu przetwarzania. Jeśli osiągnięcie celu przetwarzania jest możliwe przy zastosowaniu innych środków – mniej ingerujących w prywatność jednostki, należy z nich skorzystać. Jako alternatywy Prezes Urzędu Ochrony Danych Osobowych wskazał np. karty identyfikacyjne.

[1] D. Dörre-Kolasa, Ochrona danych osobowych pracowników, (w:) D. Lubasz (red.), Meritum. Ochrona danych osobowych, Warszawa 2020.