Zasadą ogólną jest zakaz przetwarzania danych biometrycznych osoby fizycznej w celu jednoznacznego jej zidentyfikowania. RODO przewiduje jednak do niej kilka wyjątków.
Firmy coraz częściej korzystają z nowinek technologicznych pozwalających na uprawnienie procesów – również tych w obszarze HR. Rejestracja czasu pracy za pomocą odcisku palca zamiast karty magnetycznej, logowanie do służbowego telefonu za pomocą skanu twarzy zamiast konieczności zapamiętywania kolejnego numeru PIN – to tylko niektóre z rozwiązań, jakie coraz częściej rozważają pracodawcy, by zabezpieczyć dostęp do swoich danych lub wyeliminować nieprawidłowe zachowania wśród pracowników. Warto jednak pamiętać, że tego typu narzędzia mogą się wiązać z przetwarzaniem szczególnej kategorii danych osobowych zatrudnionych, jakimi są dane biometryczne. To zaś wymaga uwzględnienia szczególnych regulacji rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) oraz kodeksu pracy.
Definicja
RODO definiuje dane biometryczne jako dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną jej identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne.
Kluczowy jest tu proces specjalnego przetwarzania technicznego, który decyduje o tym, czy mamy do czynienia z danymi zwykłymi (wizerunek twarzy na fotografii na identyfikatorze pracownika), czy też z danymi szczególnej kategorii (skan twarzy identyfikujący osobę wchodzącą do pomieszczenia lub logującą się do systemu).
Wśród podstawowych fizycznych cech biometrycznych wymienia się: cechy tęczówki oka, linii papilarnych, owal twarzy, kształt ust, uszu, barwę głosu, siatkówkę oka, układ naczyń krwionośnych na dłoni. Biometrycznymi cechami behawioralnymi są np.: głos lub sposób wykonywania własnoręcznego podpisu.
Przetwarzanie fotografii nie będzie więc zawsze przetwarzaniem szczególnych kategorii danych osobowych. Wynika to z tego, że fotografia będzie definiowana jako dane biometryczne tylko wtedy, gdy będzie przetwarzana specjalnymi metodami technicznymi, które umożliwiają jednoznaczną identyfikację osoby lub potwierdzenie jej tożsamości. Mówi o tym wprost motyw 51 preambuły RODO. Tym samym, jeśli pracodawca przechowuje np. zdjęcie pracownika w jego aktach osobowych, nie oznacza to od razu przetwarzania danych biometrycznych. Wizerunek uznamy za dane biometryczne pracownika dopiero wówczas, kiedy dzięki specjalnym technikom przetwarzania pozwoli na jego identyfikację lub potwierdzenie jego tożsamości (np. za pomocą specjalistycznego skanera).
Pracownicy i niepracownicy
Zasadą jest zakaz przetwarzania danych biometrycznych osób fizycznych w celu jednoznacznego zidentyfikowania osoby fizycznej. Wyjątki w tym zakresie określa art. 9 ust. 2 RODO. Jest to m.in. wyraźna zgoda podmiotu danych na ich przetwarzania w konkretnym celu, ale również – co istotne na płaszczyźnie pracowniczej – niezbędność do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw i interesów osoby, której dane dotyczą. W odniesieniu do pracowników zasady te precyzuje kodeks pracy. Natomiast podstaw i reguł przetwarzania danych biometrycznych osób zatrudnionych na podstawie niepracowniczych form zatrudnienia (umowy o świadczenie usług, w tym B2B, umowy zlecenia, agencyjne itp.) poszukiwać będziemy co do zasady w samym RODO. Z punktu widzenia administratora danych jest to istotne, bo jak widać, stosowanie tego samego narzędzia wykorzystującego biometrię odbywać się może w jednym lub dwóch reżimach prawnych, w zależności od tego, czy adresowane ono będzie do pracowników, czy osób zatrudnionych na innych podstawach.
Podstawy z kodeksu pracy
Zgodnie z art. 221b par. 1 k.p. zgoda kandydata do pracy lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych szczególnych kategorii (w tym biometrycznych) takiej osoby. Możliwe to jest jednak wyłącznie wtedy, gdy przekazanie takich danych następuje z inicjatywy samego kandydata lub pracownika. Niedopuszczalna jest tu więc inicjatywa, w tym propozycja, pozyskania tych danych ze strony pracodawcy.
Brak zgody lub jej wycofanie nie mogą być podstawą niekorzystnego traktowania kandydata lub pracownika ani powodować wobec niego jakichkolwiek negatywnych konsekwencji. W szczególności nie mogą stać się przyczyną odmowy zatrudnienia, wypowiedzenia umowy o pracę lub jej rozwiązania bez wypowiedzenia przez pracodawcę.
W praktyce przetwarzanie danych biometrycznych zgodnie z tą podstawa prawną może okazać się problematyczne. Wynika to z dość restrykcyjnego podejścia Urzędu Ochrony Danych Osobowych do przetwarzania danych osobowych na podstawie zgody w stosunkach pracowniczych. Argumentem jest tu to, że trudno mówić o swobodzie i dobrowolności zgody (a takimi zawsze musi się cechować, by mogła stanowić ważną podstawę przetwarzania) w relacji, która z definicji charakteryzuje się pracowniczym podporządkowaniem wobec przełożonych i obowiązkiem wykonywania ich poleceń.
Artykuł 221b par. 2 k.p. daje natomiast niezależną od zgody pracownika (ale już nie kandydata do pracy) podstawę przetwarzania jego danych biometrycznych. Jest to dopuszczalne, gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
W tym przypadku problematyczne może okazać się jednoznaczne ustalenie tego, czy spełniony został warunek konieczny stosowania takiego rozwiązania, jakim jest „niezbędność” stosowania przez pracodawcę szczególnych środków kontroli dostępu. Oznacza to, że jeśli realizacja tego celu (np. zabezpieczenie dostępu do cennych przedmiotów, materiałów lub baz danych itp.) możliwa jest za pomocą narzędzi mniej ingerujących w prywatność pracownika, pracodawca nie powinien uciekać się do rozwiązań wykorzystujących biometrię.
Zgoda nie zawsze konieczna
Jako podstawę prawną przetwarzania w opisanej sytuacji danych biometrycznych należałoby wskazać wypełnianie przez pracownika jego szczególnych obowiązków w kontekście: dbania o dobro zakładu pracy, ochrony mienia pracodawcy i zachowywania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Obowiązki te narzucają na pracownika przepisy k.p. Pracodawca, który jednak zamierza wprowadzić w firmie kontrolę dostępu do informacji lub pomieszczeń z użyciem biometrii, powinien jednak skonkretyzować je w wewnętrznych regulacjach. Działając na podstawie ww. przesłanek, należy uznać, że zgoda pracownika na wykorzystywanie jego danych biometrycznych nie tylko nie musi, ale nawet nie powinna być pozyskiwana. Takie działanie ze strony pracodawcy wprowadzałoby pracownika w błąd co do jego uprawnień z tym związanych, a samego pracodawcę narażało na odpowiedzialność przed prezesem UODO z tytułu naruszenia przepisów RODO dotyczących podstawowych zasad przetwarzania, w tym warunków zgody.
Kolejnym ważnym aspektem w kontekście zasad adekwatności i minimalizacji danych jest ustalenie przez administratora danych kręgu osób mających dostęp do informacji lub pomieszczeń chronionych przy użyciu narzędzi wykorzystujących biometrię. Jeśli więc dostęp do szczególnie chronionego pomieszczenia lub bazy danych powinno mieć wyłącznie kilkoro pracowników, gromadzenie wrażliwych danych całej załogi byłoby działaniem nieadekwatnym i nadmiarowym. Ustalenie opisanych wyżej okoliczności z pewnością powinno odbywać się indywidualnie w odniesieniu do każdego przypadku.
W odróżnieniu jednak od przetwarzania danych wrażliwych pracownika na podstawie jego zgody, w tym przypadku jako dopuszczalne należałoby uznać wyciągnięcie konsekwencji wobec pracownika, który z nieuzasadnionych przyczyn odmówiłby wykorzystania swoich danych biometrycznych. O takiej sytuacji można jednak mówić wyłącznie wtedy, jeśli pracodawca spełnił wszystkie przesłanki warunkujące przetwarzanie tych danych na podstawie art. 221b par. 2 k.p., a zachowanie pracownika kwalifikować można by jako naruszenie jego obowiązków polegających na dbałości o dobro zakładu pracy, ochronie jego mienia i zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Pisemne upoważnienia i ocena skutków
Biorąc pod uwagę, jak istotne z punktu widzenia praw i wolności podmiotu są dane biometryczne, przepisy zastrzegają, że do ich przetwarzania w organizacji mogą być dopuszczone wyłącznie osoby, które posiadają stosowne pisemne, wydane przez pracodawcę upoważnienie do przetwarzania takich danych. Dodatkowo osoby te mają obowiązek zachowania tych danych w tajemnicy.
Nie mniej istotne dla odpowiedniego zabezpieczenia procesu przetwarzania danych z użyciem biometrii jest dokonanie przez administratora oceny skutków takiego procesu dla ochrony danych (DPIA). Warto wspomnieć, że zgodnie z komunikatem prezesa UODO w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony z 17 czerwca 2019 r. (M.P. z 2019 r. poz. 666) należy do nich m.in. przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu. Jako przykład podaje się systemy rozpoznawania twarzy, weryfikację tożsamości w miejscu pracy w celu kontroli dostępu, weryfikację tożsamości w urządzeniach/aplikacjach (wliczając rozpoznawanie głosu, odcisków palców, twarzy), systemy monitoringu wejść do określonych pomieszczeń itp. ©℗
Podstawa prawna
Podstawa prawna
• art. 221b ustawy z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2023 r. poz. 1465)