Ustawa o ochronie danych osobowych nie może być wykorzystywana do rozszerzenia zakresu danych osobowych wskazanych w kodeksie pracy - orzekł Naczelny Sąd Administracyjny (sygnatura akt: I OSK 1476/10).
Zgodnie z art. 221 § 1 i § 2 k. p. pracodawca może żądać od pracownika podania wyłącznie takich danych, które wylicza ten przepis. Innych tylko wtedy, gdy taki obowiązek wynika z przepisu prawa.
Naczelnik Urzędu Skarbowego w Zawierciu uznał za taki przepis art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Zezwala on na przetwarzanie danych za zgodą osoby, której te dane dotyczą.
W urzędzie od 2006 r. były stosowane dwie metody rejestracji czasu pracy oraz wejść i wyjść pracowników. Mogli wybierać między tradycyjnym systemem kart do rejestracji czasu pracy i metodą wykorzystującą odciski linii papilarnych. Wszyscy zgodzili się na ten drugi sposób. Po uzyskaniu obrazu linii papilarnych system automatycznie typował wybrane cechy odcisku palca i przetwarzał na kod cyfrowy, do którego przypisywano nazwisko pracownika.
Po przeprowadzonej kontroli generalny inspektor ochrony danych osobowych nakazał usunięcie tak przetworzonych danych i zakazał ich dalszego zbierania. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie w skardze kasacyjnej do Naczelnego Sądu Administracyjnego naczelnik urzędu skarbowego twierdził, że wobec pisemnej, dobrowolnej zgody pracowników dane biometryczne w postaci charakterystycznych punktów linii papilarnych były przetwarzane zgodnie z prawem. Pozwalało to też na dokładne rozliczenie czasu pracy.
