Wykorzystanie danych biometrycznych pracownika

Zastanawiasz się, czym są dane biometryczne pracownika? Nie wiesz, na jakiej podstawie prawnej możesz przetwarzać tego typu dane? A może zastanawiasz się, czy na pracodawcy ciążą dodatkowe obowiązki w przypadku przetwarzania danych biometrycznych? Z artykułu dowiesz się:

  • co to są dane biometryczne pracownika,
  • kiedy dozwolone jest przetwarzanie danych biometrycznych przez pracodawcę,
  • jakie obowiązki wiążą się z przetwarzaniem danych biometrycznych.

Dane biometryczne

Dotychczas to pojęcie nie było definiowane na gruncie przepisów o ochronie danych osobowych. Sytuacja ta zmieniła się pod rządami ogólnego rozporządzenia o ochronie danych [RODO]. Jeżeli zastanawiasz się, czy przetwarzasz tego typu dane, to będzie tak gdy łącznie spełnione będą następujące warunki:

  • przetwarzane przez ciebie dane mają charakter danych osobowych, czyli pozwalają na bezpośrednią albo chociażby pośrednią identyfikację konkretnej osoby fizycznej,
  • dane te dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, takie jak wizerunek twarzy lub dane daktyloskopijne, skan siatkówki oka, itp.,
  • dane osobowe są przetwarzane w specjalny sposób techniczny umożliwiający lub potwierdzający jednoznaczną identyfikację tej osoby – oznacza to, że samo przechowywanie zdjęcia pracownika w jego aktach osobowych nie będzie stanowić jeszcze przetwarzania danych biometrycznych. Stanie się, tak gdy wizerunek pracownika będzie wykorzystywany do jego identyfikacji, np. przez specjalny system zainstalowany na wejściu do zakładu pracy.

Przetwarzanie danych biometrycznych

RODO dane biometryczne klasyfikuje, jako należące do kategorii szczególnych danych osobowych. Oznacza to, że abyś mógł je przetwarzać, musisz legitymować się jedną z ustawowych przesłanek przetwarzania. Co ważne, w przypadku tych danych, podstawy tej nie znajdziesz w Kodeksie pracy. Musisz zatem posługiwać się wyłącznie warunkami wskazanymi w RODO. W stosunkach pracowniczych przesłanką taką może być obecnie wyraźna zgoda pracownika na tego typu przetwarzanie jego danych osobowych. Na marginesie należy wskazać, że obecnie trwają prace legislacyjne nad ustawą mającą ułatwić pozyskiwanie danych biometrycznych pracowników przez pracodawcę. Projektowane zmiany dotyczyć będą danych gromadzonych w celu ochrony dostępu do szczególnych informacji lub pomieszczeń.

Określenie zgody, jako „wyraźnej” wyklucza jej domniemanie z okoliczności danego przypadku, np. samego faktu zawarcia umowy o pracę. W praktyce oznacza to zatem, że będąc pracodawcą powinieneś przedłożyć pracownikowi klauzulę umożliwiająca wybór, czy dana osoba wyraża zgodę, czy też jej nie wyraża. Brak zgody przy tym nie może prowadzić do dyskryminacji pracownika. Nie możesz również wymuszać zgody na pracownikach. Na gruncie RODO bowiem zgoda musi być wyrażona dobrowolnie.

Obowiązki związane z przetwarzaniem danych biometrycznych

RODO nie wprowadza odrębnych obowiązków administratora względem danych biometrycznych. Niemniej, z uwagi na fakt że są to dane osobowe szczególne, powinieneś co najmniej rozważyć kilka dodatkowych działań:

  • o ochronę danych osobowych i ich legalne przetwarzanie powinieneś zadbać już w fazie projektowania danego procesu przetwarzania przy użyciu danych biometrycznych – powinieneś zatem zadbać o środki techniczne, organizacyjne i informatyczne chroniące dane biometryczne przed wyciekiem, chodzi tutaj o różnego typu zabezpieczenia przed dostępem do danych biometrycznych przez osoby trzecie, w tym celu zasadne będzie wprowadzenie odrębnej procedury (polityki) postępowania z danymi biometrycznymi,
  • jeżeli przetwarzasz dane osobowe szczególne na dużą skalę, to konieczne może być powołanie przez ciebie inspektora ochrony danych,
  • w przypadku przetwarzania danych biometrycznych klientów lub pracowników w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu np. wejścia do określonych obszarów, pomieszczeń lub uzyskania dostępu do określonego konta w systemie informatycznym w celu np. wykonania zlecenia transakcji w systemie teleinformatycznym – poprzez systemy takie, jak: system kontroli czasu pracy, systemy kontroli wejścia do określonych pomieszczeń, systemy rozliczeniowo-ewidencyjne konieczne będzie przeprowadzenie przez ciebie procedury oceny skutków dla ochrony danych. Stanowi ona sformalizowany i rozbudowany audyt planowanych operacji przetwarzania pod kątem ich bezpieczeństwa dla ochrony danych. W ocenie skutków przetwarzania należy zamieścić także proponowane rozwiązania techniczne i organizacyjne mające ograniczać zidentyfikowane ryzyko naruszenia danych osobowych,
  • jeżeli ww. ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko naruszenia ochrony danych osobowych, gdybyś nie zastosował dodatkowych środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania będziesz miał obowiązek dokonania uprzednich konsultacji z Prezesem Urzędu Ochrony Danych Osobowych. Ich celem jest urzędowa weryfikacja, czy proponowane przez ciebie środki bezpieczeństwa będą wystarczające. Jeżeli ww. organ nadzorczy uzna, że zaproponowane środki są niewystarczające, może polecić tobie wdrożenie dodatkowych rozwiązać zwiększających bezpieczeństwo przetwarzania danych biometrycznych,
  • w związku z przetwarzaniem szczególnych kategorii danych osobowych, powinieneś również prowadzić rejestr czynności przetwarzania, a gdy występujesz w charakterze podmiotu przetwarzającego, także rejestr kategorii operacji przetwarzania,
  • pamiętaj również, że dostęp do danych osobowych mogą mieć wyłącznie pracownicy upoważnieni przez ciebie.

Pozdrawiamy
Zespół Prawa Ochrony Danych Osobowych
Kancelaria Adwokatów i Radców Prawnych Klisz i Wspólnicy

Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub naszą stronę na facebooku (Facebook adwokat Wrocław). To, że artykuł Ci się spodobał do dla nas bardzo ważną wskazówką, a także mocną dawką motywacji do dalszego pisania. Dziękujemy i życzymy Ci miłego dnia.