Dane biometryczne w coraz szerszym zakresie zaczynają służyć identyfikacji osób. Niepokój budzi ich wykorzystywanie w miejscu pracy. Zwłaszcza, że kodeks pracy nie zawiera w tym zakresie żadnych regulacji.
Przykładem powszechnego wykorzystywania danych biometrycznych są nowe dokumenty paszportowe. Celem ich wprowadzenia było m.in. ograniczenie przestępstw związanych z fałszerstwem dokumentów.
W związku z dostosowaniem polskich przepisów do wymogów unijnego rozporządzenia, w paszportach wydawanych od końca czerwca 2009 r. umieszcza się dane biometryczne polskich obywateli. Zawarta w ustawie z 13 lipca 2006 r. o dokumentach paszportowych (DzU nr 143, poz. 1027 ze zm.) definicja danych biometrycznych obejmuje wizerunek twarzy i odciski palców umieszczane w paszportach w formie elektronicznej. Ustawa wprost legitymizuje przetwarzanie tych danych osobowych.
Pojawia się pytanie – w jakim zakresie i w jakich celach można legalnie wykorzystywać dane biometryczne w środowisku pracy?
Rejestr wejść i wyjść
Nie każdy cel uzasadnia przetwarzanie danych biometrycznych, nawet jeżeli ich „właściciel" wyrazi na to zgodę. W związku z technicznymi możliwościami wykorzystywania przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców pracowników do rejestracji czasu pracy, na gruncie polskiego prawa pojawiły się uzasadnione wątpliwości, czy takie praktyki nie naruszają praw zatrudnionych.
Pracodawca może żądać wyłącznie danych osobowych wymienionych w przepisach kodeksu pracy, a innych tylko wtedy, gdy pozwalają na to odrębne przepisy prawa. Od osób ubiegających się o zatrudnienie można wymagać podania: imienia (imion) i nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania (adresu do korespondencji), wykształcenia oraz przebiegu dotychczasowego zatrudnienia. Zakres informacji, których pracodawca ma prawo żądać od osób już zatrudnionych, jest znacznie szerszy.
Obejmuje także imiona i nazwiska oraz daty urodzenia dzieci – pod warunkiem, że jest to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numer PESEL nadany przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL), a także inne dane wyraźnie przewidziane w przepisach. To one zatem wyznaczają granice, jakich danych osobowych może żądać pracodawca.
Przykład
Pracodawca, po uprzednim uzyskaniu pisemnej zgody pracowników, przetwarzał ich dane biometryczne w postaci charakterystycznych punktów linii papilarnych w celu ewidencji czasu pracy.
Zgodnie z utrwaloną linią orzecznictwa Naczelnego Sądu Najwyższego (m.in. wyroki z 1 grudnia 2009 r., I OSK 249/09 oraz z 6 września 2011 r., I OSK 1476) wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetwarzanie danych biometrycznych narusza prawa zatrudnionego i nie daje podstawy do legalnego ich przetwarzania.
Z istoty stosunku pracy wynika podporządkowanie pracownika pracodawcy. To zaś powoduje brak dobrowolności w wyrażeniu zgody na przetwarzanie danych biometrycznych. Taka zgoda nie może więc stanowić przesłanki, która legalizuje ich przetwarzanie.
Odpowiednio do zamysłu
W ocenie NSA poszerzenie katalogu danych, których może żądać pracodawca w oparciu o zgodę pracownika, naruszałoby zasadę proporcjonalności wyrażoną m.in. w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zasada adekwatności oznacza obowiązek administratorów przetwarzania prawidłowych danych osobowych w sposób odpowiedni do celów, dla których te dane zostały zgromadzone. Kryterium proporcjonalności powinno stanowić główną przesłankę przy podejmowaniu decyzji o przetwarzaniu danych biometrycznych.
Wykorzystywanie tego typu informacji do kontroli czasu pracy jest nieproporcjonalne do zamierzonego celu ich przetwarzania. W uzasadnieniach cytowanych rozstrzygnięć NSA przywołuje opinię Grupy Roboczej ds. Ochrony Danych – organu konsultacyjnego składającego się z przedstawicieli organów ochrony danych osobowych z krajów Unii Europejskiej powołanego na podstawie art. 29 Dyrektywy 95/46/WE dotyczącej ochrony danych osobowych.
W dokumencie z 1 sierpnia 2003 r. dotyczącym biometrii jako niezbędną przyjęto zasadę proporcjonalności i legalności. Zgoda może zostać uznana za legalizującą przetwarzanie danych, jeżeli pracownik ma pełną swobodę w jej udzielaniu i może jej odmówić bez ponoszenia ujemnych konsekwencji.
Poza margines prawa
NSA podkreślił, że pracodawca może żądać od pracownika podania wyłącznie danych przewidzianych w kodeksie pracy lub gdy inny przepis prawa wyraźnie tak stanowi. Żadne regulacje ustawowe nie przewidują możliwości rejestracji czasu pracy z użyciem danych biometrycznych.
Stosowanie technik biometrycznych w identyfikacji powinno być proporcjonalne do celu, który ma być osiągnięty. Za adekwatny cel należałoby uznać np. ochronę bezpieczeństwa. Natomiast z pewnością nie jest nim ewidencja czasu pracy czy też kontrola osób wchodzących do budynku.
Współpraca urzędów
W zakresie przestrzegania przepisów o ochronie danych osobowych przez pracodawców w połowie grudnia 2012 r. Państwowa Inspekcja Pracy zawarła porozumienie z Biurem Generalnego Inspektora Danych Osobowych.
Jego celem jest podjęcie współpracy obu instytucji w zakresie realizacji ustawowych funkcji w celu podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy. W przypadku kontroli prowadzonej przez PIP i stwierdzenia nieprawidłowości w zakresie przetwarzania danych, PIP zawiadamia GIODO.
Podobnie GIODO informuje PIP o nieprawidłowościach w przestrzeganiu prawa pracy. Dokument określa również ramy współdziałania tych instytucji przez m.in. wzajemną wymianę doświadczeń, konsultacje oraz wspólne prowadzenie kontroli. Porozumienie weszło w życie 14 grudnia 2012 r. Z pewnością przyczyni się do wzmocnienia przestrzegania przepisów o ochronie danych osobowych przez pracodawców.
Opinia Grupy Roboczej artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych
W IV 2012 r. Grupa Robocza Artykułu 29 przyjęła kolejną opinię dotyczącą technologii biometrycznych, która zawiera analizę prawną ich wykorzystywania oraz zalecenia w celu zapobiegania zagrożeniom naruszenia prywatności osób, których dane dotyczą, a także wzmocnienia prawa do ochrony tych danych.
Podkreśla się szerokie wykorzystywanie danych biometrycznych w badaniach naukowych, kryminalistyce oraz systemach kontroli dostępu.
Jednocześnie powszechność nowych technologii biometrycznych i brak odpowiednich zabezpieczeń stanowi zagrożenie dla ochrony prywatności osób, których to dotyczy. Wskazuje się, że dane biometryczne mogą być gromadzone bez wiedzy tych osób, przykładowo w przypadku nadzoru wideo.
Stąd bardzo istotne są zalecenia Grupy Roboczej w zakresie dobrych praktyk wskazujące środki techniczne i organizacyjne pozwalające na zmniejszenie zagrożeń ochrony prywatności osób.
Autorka jest adwokatem w TGC Corporate Lawyers
