Rzeczpospolita Prawo

Odcisk palca: kiedy pracodawca może wykorzystywać dane biometryczne pracowników

Pracodawcy nie mogą wykorzystywać danych biometrycznych zatrudnionych osób w oderwaniu od zasady adekwatności. Ich stosowanie nie jest uzasadnione, gdy ten sam cel można osiągnąć w inny sposób.

Aktualizacja: 24.06.2017 18:00 Publikacja: 24.06.2017 16:00

Odcisk palca: kiedy pracodawca może wykorzystywać dane biometryczne pracowników

Foto: Fotolia.com

Daniel Michalski

Rozwój technologii pozwalających pozyskać i przetwarzać dane biometryczne powoduje ich coraz powszechniejsze wykorzystywanie w biznesie. Wynika to przede wszystkim z możliwości ich zastosowania jako optymalnego rozwiązania w systemach dostępowych, szczególnie gdy może to stanowić jeden ze sposobów zabezpieczenia wartościowych zasobów (w tym również danych osobowych).

W przededniu wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej: RODO), konieczna jest jednak analiza, na ile tego typu dane i ich przetwarzanie może być problematyczne i generować ryzyka po stronie pracodawcy.

Polskie prawo, dyrektywa 95/46/WE

Ani przepisy aktualnie obowiązującej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922; dalej: ustawa) ani Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: Dyrektywa) nie definiują wprost pojęcia danych biometrycznych. Co istotne, dane biometryczne nie są wymienione wprost w art. 27 ust. 1 ustawy, który definiuje zamknięty katalog danych osobowych wrażliwych, a więc takich, których przetwarzanie jest zabronione, tj. danych:

- ujawniających pochodzenie rasowe lub etniczne,

- ujawniających poglądy polityczne,

- ujawniających przekonania religijne lub filozoficzne,

- ujawniających przynależność wyznaniową, partyjną lub związkową,

- o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym,

- dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

z wyłączeniem przypadków enumeratywnie określonych w art. 27 ust. 2 ustawy.

Ustawa wychodzi tu nieco dalej niż Dyrektywa. Niektóre z danych objętych tym przepisem (stan zdrowia, kod genetyczny) mieści się w kategorii danych biometrycznych.

Z upływem lat realne sytuacje i rozwój technologiczny pokazał, że ustawowy podział na dane osobowe wrażliwe i niewrażliwe nie do końca im sprostał, a w przypadku danych biometrycznych nie zapewnia ich pełnej ochrony jako danych wrażliwych. Łatwo wyobrazić sobie sytuację, w której dochodzi do nieuprawnionego ujawnienia danych wrażliwych takich jak pochodzenie etniczne, czy danych biometrycznych, np. odcisku palca bądź innych podobnych danych oraz skutki ujawnienia każdego z tych danych, znacząco poważniejsze w przypadku danych biometrycznych.

Kodeksowe reguły

Zgodnie z art. 221 kodeksu pracy pracodawca może żądać odpowiednio od kandydatów do pracy lub pracowników danych osobowych takich jak: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia oraz niektóre inne dane osobowe (w tym numer PESEL) oraz dane osobowe dzieci pracownika – jeśli jest to niezbędne dla skorzystania przez pracownika ze szczególnych uprawnień pracowniczych. W powyższym zakresie nie mieszczą się dane biometryczne.

Zgodnie z § 1 ust. 1 rozporządzenia ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (dalej: rozporządzenie MPiPS), pracodawca może zbierać dane osobowe z wykorzystaniem kwestionariusza stanowiącego załącznik nr 1 do rozporządzenia ministra pracy i polityki socjalnej z 26 czerwca 2006 r. zmieniającego rozporządzenie MPiPS. Zastosowanie tego formularza nie jest obligatoryjne. Jednak co do zasady pracodawca może modyfikować formularz poprzez rezygnację z niektórych danych bądź umieszczenie dodatkowych, jeśli obowiązek ich podania wynika z określonych przepisów ustawowych, np. w przypadku potwierdzenia niekaralności w odniesieniu do pracowników służby cywilnej.

Na marginesie warto przypomnieć, że – zgodnie z porozumieniem zawartym 14 grudnia 2012 r. przez Państwową Inspekcję Pracy z Generalnym Inspektorem Ochrony Danych Osobowych – PIP w zakresie prowadzonej kontroli ma również prawo kontrolować pracodawców pod kątem zgodności przetwarzania danych osobowych z właściwymi przepisami prawa regulującymi ochronę danych osobowych.

Liczne kontrowersje

W aktualnym stanie prawnym brak jest spójnej regulacji dotyczącej przetwarzania danych biometrycznych. Jako przykład może tu posłużyć m.in. kwestia monitoringu wizyjnego. Jest on uregulowany w pojedynczych przepisach m.in. ustawy o Centralnym Biurze Antykorupcyjnym czy ustawy o Policji, które przyznają tym służbom uprawnienia do wykorzystywania monitoringu w związku z realizacją powierzonych im zadań. Dalej jednak orzecznictwo i komentarze pokazują, że wiele kwestii związanych z przetwarzaniem danych biometrycznych budzi wątpliwości. W odniesieniu do danych biometrycznych pracowników lub kandydatów do pracy na pewno jest to kwestia dobrowolności wyrażenia przez nich zgody.

Między innymi J. Stelina (A. Sobczyk (red.), Kodeks pracy. Komentarz, Warszawa 2017, komentarz do art. 221, Legalis) wskazuje, że kwestia zgody pracownika lub kandydata do pracy jako przesłanka legalizująca działanie pracodawcy jest sporna. Po pierwsze dlatego, że zwykle pracodawcy nie mają wpływu na to, jakiego rodzaju dane dostarczają kandydaci do pracy aplikując na dane stanowisko. Najczęściej są to dane przekraczające zakres określony w art. 221 k.p.

O ile więc pracodawca ma prawo żądać od kandydata do pracy lub odpowiednio pracownika danych określonych wprost w art. 221 k.p. (w tym przypadku zgoda pracownika nie jest przesłanką legalizującą ich przetwarzanie), o tyle autor akcentuje, że należy pamiętać o generalnej zasadzie stosunku pracy, zgodnie z którą „zgoda pracownika nie może powodować zmniejszenia uprawnień pracowniczych wynikających z przepisów prawa pracy".

Warto tu przywołać m.in. wyrok NSA z 1 grudnia 2009 r. (I OSK 249/09, ONSAiWSA 2011, nr 2, poz. 39). NSA wskazuje w nim, że: „1. Uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (art. 23 ust. 1 pkt 1 OchDanychOsU) za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 KP stanowiłoby naruszenie tego przepisu KP. 2. Wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania w rozumieniu art. 26 ust. 1 pkt 3 OchDanychOsU".

Na marginesie warto wspomnieć, że o ile kwestię dobrowolności zgody kandydata do pracy jest łatwiej uzasadnić np. chęcią korzystnego przedstawienia swojej kandydatury, o tyle w odniesieniu do pracownika dobrowolność takiej zgody musi budzić wątpliwości.

Dla uzupełnienia obrazu warto też przywołać wcześniejsze orzeczenie warszawskiego WSA z 27 listopada 2008 r. (II SA/ Wa 903/08). Dotyczyło ono wykorzystywania danych biometrycznych (odcisk palca) pracowników LG Electronics w Mławie w ramach elektronicznego systemu kontroli obecności w pracy. WSA stwierdził, że pracodawca ma prawo wykorzystać dane biometryczne w takim systemie pod warunkiem uzyskania na to zgody pracownika. Oczywiście trudno w tym przypadku mówić o zachowaniu wymogu dobrowolności wyrażenia takiej zgody.

Zasady przetwarzania

Rozważając wykorzystanie rozwiązań technicznych agregujących dane biometryczne, pracodawca każdorazowo powinien mieć na uwadze, aby były one przetwarzane zgodnie z podstawowymi zasadami przetwarzania danych osobowych – tj. zasadą legalizmu, adekwatności, celowości i ograniczenia czasowego.

Legalność pozyskania danych osobowych w odniesieniu do danych biometrycznych oznacza, że osoba, której dane mają być przetwarzane, musi wyrazić na to dobrowolną zgodę. Oznacza to nie tylko możliwość braku wyrażenia zgody lub jej cofnięcia, ale też zapewnienie przez pracodawcę wariantu alternatywnego. Tak jak w przypadku powołanego przypadku z orzeczenia WSA w Warszawie (II SA/Wa 903/08) GIODO wielokrotnie krytycznie odnosił się do przetwarzania danych biometrycznych w oderwaniu od zasady adekwatności (m.in. http://www.giodo.gov.pl/348/id_art/3358/j/pl/, odczyt 7 czerwca 2017 r.). Czym innym jest bowiem wprowadzenie systemu pozwalającego na kontrolowanie obecności i godzin pracy, który dla spełnienia założonych celów zamiast wykorzystania danych biometrycznych może opierać się np. na kartach/chipach dostępowych, liście kontrolnej itp., a czym innym jest wprowadzenie systemu dostępowego, zabezpieczającego szczególnie chronione zasoby (np. kancelarie tajne, serwerownie itd.), gdzie zastosowanie bardziej zaawansowanych systemów jest uzasadnione obiektywnymi okolicznościami.

Warto również pamiętać o kwestii prawnie usprawiedliwionego celu, dla którego zbierane są dane biometryczne. W tym kontekście pracodawca już na etapie projektowania danego systemu, np. dostępowego, powinien zminimalizować liczbę pobieranych danych w taki sposób, aby wykluczyć możliwość zarzutu pobierania danych nadmiarowo, na zapas. Konieczne jest również uwzględnienie ograniczeń czasowych. Zatem o ile dany pracownik z racji powierzonych mu obowiązków ma np. dostęp do stref/zasobów podlegających szczególnej ochronie i wymagających zabezpieczeń wykorzystujących dane biometryczne, o tyle w przypadku każdorazowej zmiany obowiązków bądź wygaśnięcia stosunku pracy dane biometryczne przetwarzane przez pracodawcę dla powyższych celów powinny zostać usunięte.

—Daniel Michalski

Zdaniem autora

Grupa Robocza art. 29 i RODO - Daniel Michalski, radca prawny, prawnik w kancelarii MDDP Olkiewicz i Wspólnicy

W aktualnej sytuacji prawnej wydaje się, że z punktu widzenia pracodawcy zamierzającego przetwarzać dane biometryczne najwłaściwsze jest oparcie się na rekomendacjach Grupy Roboczej art. 29 i właściwych przepisach RODO. W opinii 3/2012 w sprawie zmian sytuacji w dziedzinie technologii biometrycznych z 27 kwietnia 2012 r. podkreślono, że dane biometryczne – jako jedną ze szczególnych kategorii danych osobowych – można przetwarzać tylko wtedy, gdy istnieje podstawa prawna dla takiego przetwarzania i pod warunkiem, że przetwarzane dane są prawidłowe, odpowiednie i nienadmierne w stosunku do celów, dla których są przetwarzane.

RODO w art. 4 ust. 14 definiuje dane biometryczne jako wynikające ze specjalnego przetwarzania technicznego dotyczące cech fizycznych, fizjologicznych i behawioralnych. Zalicza je – zgodnie z art. 9 ust. 1 RODO – do danych tzw. szczególnej kategorii, których przetwarzanie jest co do zasady zabronione z wyłączeniem warunków wymienionych w art. 9 ust. 2. Przepis ten dopuszcza przetwarzanie danych biometrycznych w niektórych okolicznościach związanych z wypełnianiem obowiązków lub wykonywaniem szczególnych uprawnień przez administratora lub osobę, której dane dotyczą w dziedzinie pracy, a także m.in. oceny zdolności pracownika do pracy. Zachowana jest również pewna furtka w art. 9 ust. 2 a) w postaci zgody osoby, której dotyczą dane wymienione w tym przepisie. Warto przy tym pamiętać, że zgoda w rozumieniu RODO to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, przyzwalające na przetwarzanie danych. Sankcje i ich wysokość wprowadzone przez RODO powodują, że pracodawcy powinni z o wiele większą rozwagą traktować nowości technologiczne w zakresie rozwiązań agregujących i przetwarzających dane osobowe pracowników.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Kadry Dane Osobowe

Rozwój technologii pozwalających pozyskać i przetwarzać dane biometryczne powoduje ich coraz powszechniejsze wykorzystywanie w biznesie. Wynika to przede wszystkim z możliwości ich zastosowania jako optymalnego rozwiązania w systemach dostępowych, szczególnie gdy może to stanowić jeden ze sposobów zabezpieczenia wartościowych zasobów (w tym również danych osobowych).

W przededniu wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej: RODO), konieczna jest jednak analiza, na ile tego typu dane i ich przetwarzanie może być problematyczne i generować ryzyka po stronie pracodawcy.

Pozostało 93% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Ministerstwo Zdrowia
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Kiedy można wyłączyć grunty z produkcji rolnej
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie