Kontrola czasu pracy za pomocą danych biometrycznych niezgodna z RODO

Na rynku pojawiło się wiele ofert rejestratorów czasu pracy, które identyfikują pracowników za pomocą skanerów linii papilarnych czy twarzy. Najtańsze kosztują już kilkaset złotych. Sprzedawcy obiecują pracodawcom rozwiązanie problemów z kontrolą wejść i wyjść czy ewidencją nadgodzin. Okazuje się jednak, że na przeszkodzie może stać RODO.

Prezes Urzędu Ochrony Danych Osobowych przypomina, że dane biometryczne to dane szczególnej kategorii, które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej. Dane tego typu mogą być przetwarzane tylko w wyjątkowych sytuacjach (art. 9 ust. 2 RODO). Przykładowo, osoba, której dane dotyczą, wyraziła na to wyraźną zgodę lub przetwarzanie dotyczy danych osoby, która w sposób oczywisty je upubliczniła.

- Do takich sytuacji nie należy przetwarzanie danych osobowych, w tym zwłaszcza danych biometrycznych, do celów odnotowywania obecności pracownika w pracy - podkreśla PUODO.

Czytaj też: Odciski palców pracowników - kto może mieć dostęp do danych biometrycznych

Przepisy rozporządzenia RODO wskazują przesłanki, które muszą być spełnione (określono je w art. 9 ust. 2 lit. b), aby przetwarzanie tej kategorii danych w dziedzinie prawa pracy było legalne. Chodzi o to, aby przetwarzania tego rodzaju danych było niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracownika lub pracodawcę. Ponadto podstawą przetwarzania powinien być przepis prawa, który regulowałby jednoznacznie możliwość przetwarzania danych sensytywnych w określonych celach oraz przewidywał odpowiednie zabezpieczenia praw i interesów osoby, której dane dotyczą.

Przetwarzanie danych biometrycznych zatrudnionych regulują przepisy prawa pracy. Nie dają one podstawy prawnej do przetwarzania przez pracodawcę danych biometrycznych pracowników w celu rejestracji czasu pracy. Zgodnie z art. 221? Kodeksu pracy szczególne kategorie danych, w tym dane biometryczne (art. 9 ust. 1 RODO), mogą być przetwarzane:

- za zgodą osoby ubiegającej się o zatrudnienie bądź pracownika wyłącznie, gdy ich przekazanie następuje z inicjatywy tych osób,

- wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

PUODO wyjaśnia, że w świetle tych przepisów istnieją dwie sytuacje, w których pracodawca może legalnie przetwarzać dane zaliczane do szczególnej kategorii.

Pierwsza to sytuacja, w której pracownik bądź osoba ubiegająca się o zatrudnienie sama udziela zgody na przetwarzanie jego danych biometrycznych.

- Zgoda ta, jak wymaga RODO, powinna być dobrowolna, świadoma, a pracownik ma prawo odwołać ją w dowolnym momencie bez żadnych negatywnych konsekwencji dla niego. Jednak, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Tymczasem w relacji pracodawca-pracownik występuje nierównowaga tych dwóch podmiotów - wskazuje PUODO.