Wpisywanie się na papierową listę obecności czy odbijanie przy wejściu i wyjściu z zakładu identyfikatora wydają się nieco przestarzałymi rozwiązaniami w porównaniu z systemem, który ewidencjonuje czas pracy za pomocą czytnika linii papilarnych, czy identyfikuje pracowników po tęczówce oka. Czy takie rozwiązania są jednak legalne? Jakiej ochronie podlegają dane biometryczne pracownika? Kiedy pracodawca ma prawo je gromadzić i przetwarzać?
Co to są dane biometryczne?
Zgodnie z art. 4. pkt. 14. RODO:
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają
jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Czy dane biometryczne podlegają ochronie RODO? Zdecydowanie tak. Należą do szczególnych kategorii danych osobowych, których przetwarzanie jest ograniczone prawnie.
Dane biometryczne: przykłady
Dane biometryczne RODO określa jako jednoznacznie identyfikujące konkretną osobę. Mogą nimi być więc m.in.:
- odciski linii papilarnych,
- tęczówka oka,
- skan twarzy,
- układ naczyń krwionośnych palca,
- głos.
Czy zdjęcie to dane biometryczne? Wszystko zależy od sposobu jego przetwarzania. Jak czytamy w preambule RODO: Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Czy dane biometryczne mogą posłużyć do rejestracji czasu pracy?
Rejestracja czasu pracy może być prowadzona na wiele różnych sposobów. Choć odczytywanie odcisków czy skanowanie twarzy wydają się wygodne, nie są jednak dopuszczalne przez polskie prawo. Powodów jest kilka. Po pierwsze w Kodeksie pracy, a mówiąc dokładniej w art. 221, znajduje się zamknięty katalog danych osobowych, których żądać może pracodawca od kandydatów w procesie rekrutacji oraz od pracowników – na liście nie ma danych biometrycznych.
Po drugie, zgodnie z RODO, dane powinny być: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). Tradycyjna czy elektroniczna rejestracja czasu pracy może odbywać się na wiele sposobów, nie ma zatem uzasadnienia, by stosować biometrię, nawet jeśli pracownicy wyrażają dobrowolną i świadomą zgodę na gromadzenie i przetwarzanie danych.
Reasumując, kontrola czasu pracy powinna być prowadzona w inny sposób, bez wykorzystywania do tego celu danych biometrycznych zatrudnionych osób. W uzasadnionych przypadkach i za zgodą pracownika dane mogą być stosowane np. do identyfikowania osób wchodzących do pomieszczeń ze szczególnie ograniczonym ze względu na ochronę interesów pracodawcy dostępem.
