Pracodawca nie może pobierać linii papilarnych - wyrok NSA

Ustawa o ochronie danych osobowych nie może być wykorzystywana do rozszerzenia zakresu danych osobowych wskazanych w kodeksie pracy - orzekł Naczelny Sąd Administracyjny (sygnatura akt: I OSK 1476/10).

Zgodnie z art. 221  § 1 i § 2 k. p. pracodawca może żądać od pracownika podania wyłącznie takich danych, które wylicza ten przepis. Innych tylko wtedy, gdy taki obowiązek wynika z przepisu prawa.

Naczelnik Urzędu Skarbowego w Zawierciu uznał za taki przepis art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Zezwala on na przetwarzanie danych za zgodą osoby, której te dane dotyczą.

W urzędzie od 2006 r. były stosowane dwie metody rejestracji czasu pracy oraz wejść i wyjść pracowników. Mogli wybierać między tradycyjnym systemem kart do rejestracji czasu pracy i metodą wykorzystującą odciski linii papilarnych. Wszyscy zgodzili się na ten drugi sposób. Po uzyskaniu obrazu linii papilarnych system automatycznie typował wybrane cechy odcisku palca i przetwarzał na kod cyfrowy, do którego przypisywano nazwisko pracownika.

Po przeprowadzonej kontroli generalny inspektor ochrony danych osobowych nakazał usunięcie tak przetworzonych danych i zakazał ich dalszego zbierania. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie w skardze kasacyjnej do Naczelnego Sądu Administracyjnego naczelnik urzędu skarbowego twierdził, że wobec pisemnej, dobrowolnej zgody pracowników dane biometryczne w postaci charakterystycznych punktów linii papilarnych były przetwarzane zgodnie z prawem. Pozwalało to też na dokładne rozliczenie czasu pracy.

WSA nie doszukał się jednak nigdzie przepisu, który zezwalałby na przetwarzanie w celu prowadzenia rejestracji czasu pracy innych danych niż wymienione w art. 221  par. 1 i 2 k. p. Wykorzystywanie danych biometrycznych do kontroli czasu pracy pracowników jest nieadekwatne i nie jest niezbędne do osiągnięcia takiego celu  stwierdził.

Także Naczelny Sąd Administracyjny oddalił skargę kasacyjną. Sędzia Andrzej Jurkiewicz powiedział, że pisemna zgoda nie może legalizować naruszania wspomnianego przepisu ani zasady adekwatności zawartej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zasada ta została implementowana do ustawy o ochronie danych osobowych dyrektywą wspólnotową z 1995 r. Wiąże ona wszystkie podmioty pobierające i przetwarzające dane osobowe oraz organy administracji i sądy.