Przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy. Pracodawca legalnie przetwarza dane biometryczne swoich pracowników, jeżeli wynika to ze szczególnych przesłanek określonych w RODO oraz znajduje podstawę w obowiązujących przepisach prawa.
Dane biometryczne to dane szczególnej kategorii, które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej. Dane tego typu mogą być przetwarzane tylko w wyjątkowych sytuacjach (art. 9 ust. 2 RODO). Przykładowo, osoba, której dane dotyczą, wyraziła na to wyraźną zgodę lub przetwarzanie dotyczy danych osoby, która w sposób oczywisty je upubliczniła. Jednak do takich sytuacji nie należy przetwarzanie danych osobowych, w tym zwłaszcza danych biometrycznych, do celów odnotowywania obecności pracownika w pracy.
Aby przetwarzanie tej kategorii danych w dziedzinie prawa pracy było legalne, RODO wskazuje na przesłanki, które muszą być spełnione (określono je w art. 9 ust. 2 lit. b). Chodzi o to, aby przetwarzania tego rodzaju danych było niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracownika lub pracodawcę. Ponadto podstawą przetwarzania powinien być przepis prawa, który regulowałby jednoznacznie możliwość przetwarzania danych sensytywnych w określonych celach oraz przewidywał odpowiednie zabezpieczenia praw i interesów osoby, której dane dotyczą.
Jeśli chodzi o sektor zatrudnienia, to przetwarzanie danych biometrycznych regulują przepisy prawa pracy. Nie dają one podstawy prawnej do przetwarzania przez pracodawcę danych biometrycznych pracowników w celu rejestracji czasu pracy. Zgodnie z art. 22¹ᵇ Kodeksu pracy szczególne kategorie danych, w tym dane biometryczne (art. 9 ust. 1 RODO), mogą być przetwarzane:
- za zgodą osoby ubiegającej się o zatrudnienie bądź pracownika wyłącznie, gdy ich przekazanie następuje z inicjatywy tych osób,
- wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Oznacza to, że istnieją dwie sytuacje, w których pracodawca może legalnie przetwarzać dane zaliczane do szczególnej kategorii.
Pierwsza to sytuacja, w której pracownik bądź osoba ubiegająca się o zatrudnienie sam udziela zgody na przetwarzanie jego danych biometrycznych. W tym miejscu trzeba przypomnieć, że zgoda ta, jak wymaga RODO, powinna być dobrowolna, świadoma, a pracownik ma prawo odwołać ją w dowolnym momencie bez żadnych negatywnych konsekwencji dla niego. Jednak, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Tymczasem w relacji pracodawca-pracownik występuje nierównowaga tych dwóch podmiotów.
Podkreślić jednak należy, że przetwarzanie danych szczególnej kategorii musi nastąpić nie tylko za zgodą pracownika bądź osoby ubiegającej się o zatrudnienie, ale przede wszystkim z inicjatywy tych osób.
Do drugiej sytuacji należy zaliczyć przetwarzanie danych biometrycznych, które wynika wyłącznie z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w zakładzie pracy wymagających szczególnej ochrony.
Pracodawca zatem, wykorzystując dane biometryczne pracownika do rejestracji czasu pracy, naruszyłby zasady określone w RODO (art. 5 ust. 1). W szczególności przetwarzałby dane wbrew zasadzie legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c), ponieważ nie byłby w stanie wykazać, dlaczego i na jakiej podstawie prawnej przetwarza dane biometryczne pracowników do celów związanych z weryfikowaniem ich obecności w pracy.
Zaznaczyć należy, że pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników. Cel ten może osiągnąć, wykorzystując np. listy obecności czy indywidulane identyfikatory lub karty dostępu.
W marcu Prezes UODO nałożył 20 tys. zł kary na Szkołę Podstawową nr 2 w Gdańsku w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci. Placówka wykorzystywała czytnik biometryczny jako narzędzia do identyfikacji dzieci i weryfikacji uiszczenia opłaty za posiłek. „Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się ze szczególną ostrożnością i rozwagą” - podkreślił PUODO wydając decyzję o nałożeniu kary na gdańską szkołę.
Komunikat UODO / SG