Najnowsze stanowisko UODO rozwiewa wątpliwości pracodawców dotyczące sytuacji, które uprawniają ich do przetwarzania danych biometrycznych pracowników.

W pierwszej połowie maja na stronie internetowej Urzędu Ochrony Danych Osobowych (UODO) przedstawiono stanowisko dotyczące rejestracji czasu pracy za pomocą danych biometrycznych. Zawiera ono także ogólne odniesienie do wykorzystania tego typu danych przez pracodawców. Urząd wskazuje w opublikowanej informacji wprost, że dane biometryczne nie mogą być stosowane do celu, jakim jest ewidencja czasu pracy. UODO stoi na stanowisku, iż w sektorze zatrudnienia przetwarzanie danych biometrycznych jest regulowane przepisami prawa pracy. Zdaniem urzędu istnieją jedynie dwie sytuacje, w których pracodawca może legalnie przetwarzać dane biometryczne. Są to:

  • opisana poniżej wyraźna zgoda podmiotu danych
  • oraz kontrola dostępu do chronionych pomieszczeń lub szczególnie ważnych informacji.

Jak wynika z analizy omawianego stanowiska UODO, do celów realizacji stosunku pracy – w odniesieniu do danych biometrycznych – wyklucza się możliwości stosowania innych podstaw prawnych, o których mowa w art. 9 ust. 2 RODO. Wykorzystanie danych biometrycznych do celów innych niż wyżej wymienione, to naruszenie podstawowych zasad przetwarzania danych, o których mowa w art. 5 RODO, tj. zasad legalności, ograniczenia celu oraz minimalizacji danych.

Czym są dane biometryczne?

Dla porządku i przypomnienia (zgodnie z definicją zawartą w Ogólnym rozporządzeniu o ochronie danych z dnia 27 kwietnia 2016 r., tj. RODO) za dane biometryczne uznajemy dane dotyczące:

  • cech fizycznych,
  • fizjologicznych
  • lub behawioralnych osoby fizycznej,

które wskutek specjalnego przetwarzania technicznego, umożliwiają lub potwierdzają jednoznaczną identyfikację osoby fizycznej, tj. np. linie papilarne.

Co ważne, przetwarzaniem danych biometrycznych nie jest jako takie przetwarzanie wizerunku, tj. przetwarzanie zdjęcia danej osoby fizycznej. O danych biometrycznych możemy mówić wówczas, gdy konkretne zdjęcie, czy też inny sposób utrwalenia wizerunku lub innej cechy fizycznej danej osoby (np. odczyt źrenicy oka) umożliwia – wskutek użycia specjalnych narzędzi technicznych – jednoznaczną identyfikację konkretnej osoby. Decydujący jest zatem czynnik specjalnego przetwarzania technicznego.

Uprawnienie do przetwarzania danych osobowych, w tym biometrycznych

Zgodnie z art. 9 RODO, dane biometryczne, to jeden z rodzajów szczególnych kategorii danych osobowych. Najczęstszym rodzajem danych osobowych szczególnych kategorii, które przetwarzamy w związku z realizacją stosunku pracy, to dane dotyczące stanu zdrowia pracowników.

Należy pamiętać o tym, że przetwarzanie danych osobowych jest co do zasady zabronione. Wyjątkami od tej zasady są:

  • wyraźna zgoda podmiotu danych o ile prawo Unii lub prawo państwa członkowskiego nie przewiduje wyłączenia zastosowania zgody,
  • niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw (np. w dziedzinie prawa pracy lub zabezpieczenia społecznego), o ile takie przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego,
  • niezbędność przetwarzania do ochrony żywotnych interesów osoby fizycznej,
  • przetwarzanie realizowane w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń (np. przez stowarzyszenie lub fundację),
  • przetwarzanie w sytuacji, w której szczególne kategorie danych zostały upublicznione,
  • niezbędność przetwarzania do ustalenia, dochodzenia lub obrony roszczeń,
  • niezbędność przetwarzania ze względu na ważny interes publiczny, na podstawie prawa Unii lub prawa państwa członkowskiego,
  • niezbędność przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, na podstawie prawa Unii lub prawa państwa członkowskiego,
  • niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, tj. m.in. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, na podstawie prawa Unii lub prawa państwa członkowskiego,
  • niezbędność przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, na podstawie prawa unii lub prawa państwa członkowskiego.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Przetwarzanie danych biometrycznych w Kodeksie pracy

Krajowy ustawodawca odniósł się do przetwarzania danych biometrycznych w Kodeksie pracy, a konkretnie w art. 221b. W przytaczanym artykule ustawodawca wskazuje, że:

  • zgoda kandydata do pracy lub pracownika może być podstawą do przetwarzania danych szczególnych kategorii, tj. także danych biometrycznych, tylko jeżeli przekazanie takich danych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika;
  • przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrole dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony;
  • do przetwarzania danych szczególnych kategorii pracodawca może dopuścić wyłącznie te osoby, którym nadano pisemne upoważnienie do przetwarzania takich danych osobowych.

Dane biometryczne a dostęp do chronionych lub ważnych zasobów

Jak wskazują przepisy przytoczone powyżej, krajowy ustawodawca ograniczył stosowanie zgody jako podstawy prawnej do przetwarzania danych szczególnych kategorii, a w tym także w odniesieniu do danych biometrycznych. Zatem korzystając z uprawnień, o których mowa w art. 88 RODO, Kodeks pracy ogranicza zastosowanie zgody tylko do sytuacji, w których przekazanie danych następuje z inicjatywy pracownika. Pracodawca nie może być zatem inicjatorem takiego procesu przetwarzania.

Równocześnie stanowisko unijnej Grupy Roboczej Art. 29 (jeszcze na etapie prac nad RODO) wskazało na istnienie braku równowagi sił w stosunku pracy oraz na możliwość wymuszenia zgody na pracowniku. Niemniej, niezależnie od zgody i inicjatywy, o której mowa w krajowych przepisach, ustawodawca dopuścił możliwość przetwarzania danych biometrycznych, jeżeli jest to niezbędne do nadania dostępu do pomieszczeń, czy też nadania dostępu do szczególnie ważnych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Jest to sytuacja, która wyłącza stosowanie zgody. Na podstawie art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, odnoszących się do stanu zdrowia, czy też biometrycznych. Wydaje się zatem, że analizowany przepis Kodeksu pracy pełni właśnie taką rolę.

Zatem proces przetwarzania, w którym dane biometryczne wykorzystamy do ochrony dostępu, będzie bazował na art. 9 ust. 1 lit. b RODO w zw. z art. 221b Kodeksu pracy. Pracodawca będzie tutaj realizował szczególne prawo, które zabezpieczył dla niego ustawodawca. Oczywiście wdrożenie takiego procesu musi być adekwatne do celu przetwarzania i być poprzedzone odpowiednimi analizami, w tym także oceną ryzyka naruszenia praw i wolności podmiotów danych, czy też dodatkową oceną skutków dla ochrony danych.

Polska krajem pisemnego upoważnienia do przetwarzania danych

Ostatni z paragrafów art. 221b z chwilą ogłoszenia z całą pewnością przyniósł spore zaskoczenie, ponieważ staliśmy się krajem, w którym oficjalnie ustanowiono pisemne upoważnienia do przetwarzania danych osobowych. Należy podkreślić, że tzw. ustawa sektorowa (tj. ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych), nie wprowadziła pisemnych upoważnień do przetwarzania danych tylko do Kodeksu pracy. W interesującym nas obszarze zastrzeżono, że do przetwarzania danych osobowych szczególnych kategorii, pracodawcy mogą dopuszczać wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania danych osobowych, a ponadto osoby te muszą być zobowiązane do zachowania danych w tajemnicy. W praktykach rynkowych można spotkać się z błędnym przekonaniem, iż potrzeba wydania pisemnych upoważnień do przetwarzania danych osobowych wynika z zapisów art. 29 RODO pomimo tego, że w przytaczanym artykule mowa jest tylko o tym, że osoby działające z upoważnienia administratora

„(...) mające dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Analizując uzasadnienie projektu do tzw. ustawy sektorowej można także dojść do wniosku, że „podstawowe”

zobowiązanie do zachowania poufności wynikające z art. 100 Kodeksu pracy jest niewystarczające do bezpiecznego przetwarzania danych osobowych szczególnych kategorii w obrębie stosunku pracy i obliguje się pracodawców do pozyskania dodatkowych oświadczeń.

Były już kary za nieuzasadnione przetwarzanie danych biometrycznych

Przetwarzanie danych biometrycznych w sytuacji innej, niż stosunek pracy, było już przedmiotem decyzji UODO, która wiązała się z nałożeniem kary pieniężnej. Mowa tu o nałożeniu kary 20 000 złotych na szkołę w Gdańsku, która używała czytnika linii papilarnych dla potrzeb wydawania posiłków przez stołówkę szkolną.

AUTOR: Kacper Rączkowiak 

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.