Na rynku pojawiło się wiele ofert rejestratorów czasu pracy, które identyfikują pracowników za pomocą skanerów linii papilarnych czy twarzy. Najtańsze kosztują już kilkaset złotych. Sprzedawcy obiecują pracodawcom rozwiązanie problemów z kontrolą wejść i wyjść czy ewidencją nadgodzin. Okazuje się jednak, że na przeszkodzie może stać RODO.
Prezes Urzędu Ochrony Danych Osobowych przypomina, że dane biometryczne to dane szczególnej kategorii, które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej. Dane tego typu mogą być przetwarzane tylko w wyjątkowych sytuacjach (art. 9 ust. 2 RODO). Przykładowo, osoba, której dane dotyczą, wyraziła na to wyraźną zgodę lub przetwarzanie dotyczy danych osoby, która w sposób oczywisty je upubliczniła.
- Do takich sytuacji nie należy przetwarzanie danych osobowych, w tym zwłaszcza danych biometrycznych, do celów odnotowywania obecności pracownika w pracy - podkreśla PUODO.
Czytaj też: Odciski palców pracowników - kto może mieć dostęp do danych biometrycznych
Przepisy rozporządzenia RODO wskazują przesłanki, które muszą być spełnione (określono je w art. 9 ust. 2 lit. b), aby przetwarzanie tej kategorii danych w dziedzinie prawa pracy było legalne. Chodzi o to, aby przetwarzania tego rodzaju danych było niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracownika lub pracodawcę. Ponadto podstawą przetwarzania powinien być przepis prawa, który regulowałby jednoznacznie możliwość przetwarzania danych sensytywnych w określonych celach oraz przewidywał odpowiednie zabezpieczenia praw i interesów osoby, której dane dotyczą.
Przetwarzanie danych biometrycznych zatrudnionych regulują przepisy prawa pracy. Nie dają one podstawy prawnej do przetwarzania przez pracodawcę danych biometrycznych pracowników w celu rejestracji czasu pracy. Zgodnie z art. 221? Kodeksu pracy szczególne kategorie danych, w tym dane biometryczne (art. 9 ust. 1 RODO), mogą być przetwarzane:
- za zgodą osoby ubiegającej się o zatrudnienie bądź pracownika wyłącznie, gdy ich przekazanie następuje z inicjatywy tych osób,
- wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
PUODO wyjaśnia, że w świetle tych przepisów istnieją dwie sytuacje, w których pracodawca może legalnie przetwarzać dane zaliczane do szczególnej kategorii.
Pierwsza to sytuacja, w której pracownik bądź osoba ubiegająca się o zatrudnienie sama udziela zgody na przetwarzanie jego danych biometrycznych.
- Zgoda ta, jak wymaga RODO, powinna być dobrowolna, świadoma, a pracownik ma prawo odwołać ją w dowolnym momencie bez żadnych negatywnych konsekwencji dla niego. Jednak, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Tymczasem w relacji pracodawca-pracownik występuje nierównowaga tych dwóch podmiotów - wskazuje PUODO.
Podkreśla, że przetwarzanie danych szczególnej kategorii musi nastąpić nie tylko za zgodą pracownika bądź osoby ubiegającej się o zatrudnienie, ale przede wszystkim z inicjatywy tych osób.
W drugiej sytuacji przetwarzanie danych biometrycznych wynika wyłącznie z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w zakładzie pracy wymagających szczególnej ochrony.
- Wykorzystując dane biometryczne pracownika do rejestracji czasu pracy, pracodawca naruszyłby zasady określone w RODO (art. 5 ust. 1). W szczególności przetwarzałby dane wbrew zasadzie legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c), ponieważ nie byłby w stanie wykazać, dlaczego i na jakiej podstawie prawnej przetwarza dane biometryczne pracowników do celów związanych z weryfikowaniem ich obecności w pracy - wyjaśnia PUODO.
Zaznacza, że pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników. Cel ten może osiągnąć, wykorzystując np. listy obecności czy indywidualne identyfikatory lub karty dostępu.
