Wykorzystanie danych biometrycznych pracowników
Zastanawiasz się w jakim zakresie możesz wykorzystywać dane biometryczne swoich pracowników? Nie wiesz na jakiej podstawie przetwarzanie tego typu danych jest dozwolone? A może szukasz informacji czym są dane biometryczne? W artykule znajdziesz odpowiedzi na pytania:
- co to są dane biometryczne,
- kiedy pracodawca może przetwarzać dane biometryczne pracowników,
- czy przetwarzanie danych biometrycznych wymaga dokonania oceny skutków dla ochrony danych,
- czy wizerunek pracownika każdorazowo stanowi dane biometryczne.
Co to są dane biometryczne?
Do kategorii tej zalicza się dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy, dane daktyloskopijne (np. odcisk palca), wzór siatkówki oka, itp. Dane biometryczne zalicza się do szerszej kategorii szczególnych danych osobowych.
Danymi biometrycznym będą zatem ww. dane osobowe, o ile służą identyfikacji osoby fizycznej przy użyciu dodatkowych środków technicznych (np. czytnik linii papilarnych, skaner siatkówki oka albo skaner twarzy).
Fotografia pracownika a dane biometryczne
Z wyżej wskazanej definicji danych biometrycznych wynika, że przetwarzanie fotografii nie będzie każdorazowo stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Stąd też, umieszczenie fotografii pracownika na jego identyfikatorze, na stronie internetowej pracodawcy albo w pamiątkowym albumie nie wymaga stosowania niżej opisanych dodatkowych wymogów przewidzianych dla danych biometrycznych. Pamiętaj jednakże, iż posługiwanie się wizerunkiem osoby fizycznej może wymagać jej zgody na gruncie przepisów ustaw szczególnych.
I tak, rozpowszechnianie wizerunku wymaga zezwolenia (zgody) osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest jednakże wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie. Powyższa regulacja może znaleźć zastosowanie do przypadku publikowania wizerunku pracowników na stronie internetowej pracodawcy, a także w jego materiałach promocyjnych.
Na marginesie należy wskazać, że nie będziesz potrzebował zgody na rozpowszechnienie wizerunku, jeżeli należy on do:
- osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych,
- osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, impreza.
Podstawa prawna przetwarzania danych biometrycznych
Zaliczenie danych biometrycznych do szczególnych kategorii danych osobowych skutkuje koniecznością legitymowania się przez pracodawcę jedną z przesłanek przetwarzania przewidzianych dla tego typu danych. Spośród tych przesłanek najczęściej będziesz mógł powołać się na następujące:
- pracownik wyraził wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach – nie jest zatem wystarczające ogólne wyrażenie zgody na przetwarzanie danych osobowych, bądź bliżej nieokreślonych danych biometrycznych. W klauzuli zgody powinieneś wyraźnie wskazać, jakie kategorie danych biometrycznych ona obejmuje oraz w jakich celach będą one przetwarzane (np. w celu identyfikacji pracownika w systemie dostępu do budynku pracodawcy),
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń – dane biometryczne mogą np. potwierdzać obecność określonego pracownika w danym pomieszczeniu oraz w określonym czasie).
Jak widzisz, szczególne kategorie danych osobowych nie mogą być przetwarzane na podstawie ich niezbędności do wykonania umowy, czy też z uwagi na ich niezbędność do realizacji uzasadnionych interesów administratora danych.
Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych stanowi sformalizowaną procedurę analizy skuteczności stosowanych przez administratora lub podmiot przetwarzający środków bezpieczeństwa danych osobowych.
Jej przeprowadzenie jest wymagane, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jako przykład takiej sytuacji wskazuje się przetwarzania na dużą skalę szczególnych kategorii danych osobowych, w tym danych biometrycznych.
Krajowe organy nadzorcze zostały upoważnione do publikowania wykazów rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. W wykazie opublikowanym przez Prezesa Urzędu Ochrony Danych Osobowych wskazano, że okolicznościami takimi są m.in.: przetwarzanie danych biometrycznych klientów lub pracowników w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu np. wejścia do określonych obszarów, pomieszczeń lub uzyskania dostępu do określonego konta w systemie informatycznym w celu np. wykonania zlecenia transakcji w systemie teleinformatycznym lub wypłaty gotówki przy użyciu bankomatu itp.
Natomiast za obszary, które powinny zostać objęte taką oceną uznano m.in. systemy kontroli czasu pracy, systemy kontroli wejścia do określonych pomieszczeń, systemy rozliczeniowo-ewidencyjne operacji bankowych, handlowych, ubezpieczeniowych.