Dane biometryczne – czy pracodawca może je przetwarzać?

calendar 9 marca 2021
clock 5m 14s

Pracodawcy coraz częściej wykorzystują dane biometryczne pracowników do realizacji potrzeb biznesowych. Rozpoznawanie twarzy, odcisk palca i skan siatkówki oka używane są do identyfikacji pracowników lub rejestracji czasu pracy. Metody te cenione są głównie za ich prostotę. Jednak czy są zgodne z prawem? Istnieją surowe przepisy regulujące użycie danych biometrycznych. Sprawdźmy, kiedy pracodawca może je przetwarzać.

Jeszcze kilka lat temu pracownicy rzadko sprzeciwiali się utrwalaniu swojego wizerunku na służbowym identyfikatorze. Dzisiaj, w dobie technologii umożliwiającej rozpoznawanie twarzy i „tagowanie” zdjęć, a także w związku z rosnącą świadomością na temat bezpieczeństwa danych, zdarza się, że pracownicy nie wyrażają zgody na wykonanie fotografii. Nie można się więc dziwić, że czują obawy, udostępniając skan linii papilarnych czy siatkówki oka. Nie wiadomo przecież, jak dane te zostaną wykorzystane, jeśli wpadną w niepowołane ręce.

Czym jest biometria?

Na samym wstępie warto określić i przybliżyć czym jest biometria.

Biometria jest techniką rozpoznania konkretnej osoby dzięki jej unikalnym cechom fizycznym oraz behawioralnym.

Najpopularniejszymi technikami biometrycznymi są systemy oparte o:

  • kształt twarzy
  • wzór linii papilarnych
  • geometrię dłoni
  • układ naczyń krwionośnych
  • dynamikę mowy
  • wzór tęczówki oka

Techniki biometryczne wykorzystywane są również przy analizie DNA, zapachu ciała, emocji, podpisu odręcznego czy sposobu posługiwania się klawiaturą lub kursorem myszy.

Biometria w życiu dziennym

Z technologią bazującą na danych biometrycznych mamy do czynienia częściej niż się wydaje. Sami stosujemy ją, odblokowując telefon za pomocą rozpoznawania twarzy czy odcisku palca. Biometrykę wykorzystuje się również w systemach bankowych i jako zabezpieczenie dostępu do bankomatów. Wzory odcisków palców używa się z kolei w paszportach biometrycznych.

Co to są dane biometryczne i czy podlegają ochronie RODO?

Dane biometryczne to dane szczególnej kategorii danych osobowych (danych wrażliwych), które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej.

Zgodnie z art. 4. pkt. 14. RODO:

Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.

Z danymi biometrycznymi mamy więc do czynienia, kiedy zostają spełnione wszystkie wyżej wymienione warunki: utrwalona cecha fizyczna lub behawioralna osoby umożliwia – wskutek użycia specjalnych systemów technicznych – jednoznaczną identyfikację konkretnej osoby.

Dane biometryczne - definicja

Przykłady danych biometrycznych

Dla porządku wymieńmy przykładowe dane biometryczne:

  • odcisk palca i linii papilarnych
  • układ naczyń krwionośnych palca
  • cechy tęczówki oka
  • skan twarzy
  • kształt małżowiny usznej
  • głos
  • podpis uwzględniający nacisk i poziom nachylenia pisma
  • dynamika pisania na klawiaturze
  • sposób poruszania się
  • kod DNA

Należy mieć na uwadze, że wraz z rozwojem technologii, lista danych biometrycznych stale się powiększa.

Czy zdjęcie to dane biometryczne?

To czy fotografia z wizerunkiem twarzy stanowi dane biometryczne, zależy od sposobu jej przetwarzania. Zazwyczaj jednak zdjęcia nie są danymi biometrycznymi, gdyż zgodnie z RODO, mogą nimi być tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Czy i kiedy pracodawca może przetwarzać dane biometryczne pracownika?

Przejdźmy do najważniejszego. Pracodawca może przetwarzać dane biometryczne pracownika tylko w wyjątkowych sytuacjach wskazanych w obowiązujących przepisach prawa. W artykule 21 Kodeksu pracy czytamy, że przetwarzanie danych biometrycznych pracownika dopuszczalne jest

„wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony”.

Kodeks mówi, że pracodawca może przetwarzać dane biometryczne tylko, gdy ich przekazanie następuje z inicjatywy pracownika lub osoby ubiegającej się o zatrudnienie. Zgodna pracownika musi mieć charakter dobrowolny, jednoznaczny, świadomy i uprzedni. Pracodawca nie może zmusić pracownika do podania danych ani wyciągać konsekwencji, gdy ten nie zgodzi się na ich pobranie.

Ponadto do przetwarzania danych biometrycznych dopuszczone są wyłącznie osoby posiadające pisemne upoważnienie. Osoby te zobowiązane są do zachowania tajemnicy.

PODSUMOWUJĄC – pracodawca może przetwarzać dane biometryczne tylko:

  • z inicjatywy i za zgodą pracownika lub osoby ubiegającej się o zatrudnienie
  • gdy ich przetwarzanie wynika z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w miejscu pracy wymagających szczególnej ochrony.

Dane biometryczne - kiedy pracodawca może je przetwarzać

Dane biometryczne a kontrola czasu pracy

Zgodnie z powyższym – pracodawca nie może pozyskiwać danych biometrycznych do ewidencji czasu pracy. Chociaż metoda ta jest z pewnością wygodna, to tym samym jest niezgodna z polskim prawem. Biometryczna kontrola czasu pracy nie powinna więc mieć miejsca nawet w przypadku świadomej zgody pracownika.

Wykorzystywanie danych biometrycznych pracownika do monitoringu czasu pracy narusza zasady określone w art. 5 ust. 1 RODO i jest niezgodne z zasadzą legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c). Przetwarzając w ten sposób dane, pracodawca nie jest w stanie wykazać, dlaczego i zgodnie z jakimi przepisami postępuje. Rejestracja biometryczna czasu pracy jest niezasadna i zastąpić ją można innymi metodami jak np. listy obecności lub karty dostępu.

Przeczytaj również: Jak chronić dane osobowe? Podstawowe zasady ochrony danych osobowych

Konsekwencje przetwarzania danych biometrycznych niezgodnie z prawem

W Polsce na straży prawa związanego z ochroną danych osobowych stoi Prezes UODO (Urzędu Ochrony Danych Osobowych). Warto pamiętać, że za przetwarzanie danych biometrycznych niezgodnie z prawem bądź za ich naruszenie, grozi odpowiedzialność kary pieniężnej, a także ryzyko postępowania cywilnego i karnego. Dodatkowo pracownik może złożyć skargę do Państwowej Inspekcji Pracy oraz złożyć sprawę do sądu pracy.

Potrzebujesz wsparcia w zakresie ochrony danych osobowych? Napisz do nas [email protected] lub sprawdź nasze usługi i szkolenia.

Już niedługo kolejne edycje certyfikowanych szkoleń PECB Certified Data Protection Officer. Zobacz terminy!

Podobał Ci się artykuł? Zaobserwuj nas na Facebooku lub LinkedInie, aby być na bieżąco z podobnymi materiałami.

 

Podobne wpisy
Co to jest GRC i jak wypływa na realizację celów organizacji?
calendar 4 sierpnia 2021
clock 4m 18s

Złożoność środowiska biznesowego oraz jego nieustanne zmiany utrudniają realizację celów strategicznych. Z pomocą przychodzą rozwiązania z zakresu GRC. Czym dokładnie jest i co oznacza ten […]
Jak chronić dane osobowe? Czym one w ogóle są? Przypominamy definicje i zasady z okazji Europejskiego Dnia Ochrony Danych Osobowych
calendar 28 stycznia 2021
clock 7m 13s

Dane osobowe są niezwykle cennym towarem dla marketingowców, osób zajmujących się sprzedażą i… przestępców. Niemal codziennie słyszymy o wyłudzeniach, wyciekach i kradzieżach prywatności. […]
Aktualizacja normy ISO 27002 i jej wpływ na ISO 27001. Co zmieniono w nowej wersji standardu?
calendar 27 kwietnia 2022
clock 3m 55s

Międzynarodowa norma ISO 27002 została ostatnio poddana przeglądowi i aktualizacji. Jakie zmiany wprowadzono w normie odnoszącej się do środków kontroli bezpieczeństwa informacji? Jaki […]

webinar DORA i NIS2

ZAPISZ SIĘ TERAZ

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!