Odciski palców pracowników - kto może mieć dostęp do danych biometrycznych

Od 4 maja 2019 r. obowiązuje ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem prawidłowego stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (tzw. RODO). Nowelizacja wprowadza zmiany m.in. w kodeksie pracy, dostosowując jego przepisy do RODO, które wprowadziło przesłankę istnienia „obowiązku prawnego" jako podstawy pobierania danych osobowych.

Szersza lista pytań

Nowelizacja poszerza katalog danych osobowych, których pracodawca ma prawo żądać od pracownika po nawiązaniu z nim stosunku pracy. Jak wynika z art. 221 § 3 kodeksu pracy, pracodawca jest uprawniony do żądania od pracownika podania przede wszystkim informacji o numerze PESEL oraz innych danych, imion i nazwisk oraz dat urodzenia dzieci, jeżeli ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Dodatkowo jednak może obecnie żądać podania danych dotyczących: adresu zamieszkania, wykształcenia, przebiegu dotychczasowego zatrudnienia (jeżeli te dane nie były żądane w toku procesu rekrutacji) oraz numeru rachunku płatniczego (jeśli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych).

Czytaj także: Odcisk palca: kiedy pracodawca może wykorzystywać dane biometryczne pracowników

Zmienione przepisy pozwalają pracodawcy pytać również o inne dane osobowe niż te, które enumeratywnie wymienia kodeks pracy, jeśli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa (art. 221 § 4 k.p.). Oznacza to, że firmy mogą gromadzić dodatkowe informacje w prowadzonych przez siebie aktach osobowych.

Nie zmieniła się forma, w jakiej dane osobowe pracowników mają być udostępniane pracodawcom – wciąż jest to oświadczenia osoby, której one dotyczą.

Ograniczony zakres

Pracodawcy zachowują także uprawnienie do żądania udokumentowania danych osobowych pracowników (art. 221 § 5 k.p.). Zmienił się jednak zakres tego żądania. Możliwe jest ono jedynie w zakresie niezbędnym do ich potwierdzenia.

Oznacza to, że pracodawca może żądać przedłożenia do wglądu np. oryginałów stosownych certyfikatów, dyplomów i zaświadczeń potwierdzających kwalifikacje zawodowe. Nie powinno być też przeszkód, aby zweryfikował dane udostępnione przez pracownika w internecie, jeśli ten udostępnił je publicznie (np. referencje) na zawodowych portalach społecznościowych (np. LinkedIn).

W praktyce oznacza to, że pracodawcy nie mają prawa żądać od kandydatów do pracy i już zatrudnionych poddania się różnego rodzaju testom psychologicznym, kompetencyjnym, na inteligencję czy ocenom okresowym, chyba że taki wymóg wynika z przepisów rangi ustawy.

Bez udziału osób trzecich

Art. 221a § 3 k.p. wskazuje, że dane udostępnia pracownik lub kandydat na pracownika. Uniemożliwia to praktykę pozyskiwania przez pracodawców danych osobowych od osób trzecich (np. opinii od byłych pracodawców) z pominięciem pracownika lub kandydata do pracy. Z tego samego powodu niedopuszczalne jest przeprowadzanie badań pracowników – nawet za ich zgodą – za pomocą poligrafu (wariografu), chyba że pozwalają na to przepisy ustawy.

Pracodawcy mają jedynie upoważnienie do żądania podania danych osobowych wymienionych w art. 221 § 3 k.p. lub też wyjątkowo (na podstawie art. 221 § 3 k.p.) innych danych tych osób, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa.

Podstawę do przetwarzania innych danych osobowych pracowników może stanowić wyłącznie wyraźnie udzielona zgoda do ich przetwarzania.

Obowiązuje jednak bezwzględny zakaz przetwarzania danych osobowych związanych z karalnością i naruszeniami prawa, również za zgodą pracownika. Oznacza to, iż tego rodzaju dane osobowe można przetwarzać wyłącznie w przypadku, gdy ustawa przewiduje obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez pracownika.

Zgoda na przetwarzanie...

Jedynie zgoda pracownika na przetwarzanie danych osobowych innych niż wymienione w art. 221 § 3 k.p. może stanowić podstawę tego przetwarzania. Zgoda ta musi być dobrowolna, konkretna, świadoma, jak również jednoznacznie wskazywać na przyzwolenie do przetwarzania danych.

... oraz na przekazanie

Z kolei w przypadku przetwarzania szczególnych kategorii danych (tzw. danych wrażliwych), o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, ujawniających m.in. pochodzenie rasowe lub etniczne, przekonania religijne, orientację seksualną, czy też danych biometrycznych służących do zidentyfikowania osoby, zgoda może stanowić podstawę do ich przetwarzania wyłącznie w przypadku, gdy przekazanie tych danych nastąpiło z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Upoważnione osoby

Do przetwarzania szczególnych kategorii danych osobowych na podstawie zgody pracownika mogą być dopuszczone wyłącznie osoby, które posiadają pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę, z jednoczesnym obowiązkiem zachowania ich w tajemnicy (art. 221b § 3 k.p.).

Przepisy kodeksu pracy nie przesądzają, w jakiej formie ma zostać udzielona zgoda. Jednak administrator tych danych musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie szczególnej kategorii danych (art. 9 ust. 2a RODO).

Brak zgody na przetwarzanie dodatkowych danych osobowych bądź też wycofanie tej zgody nie mogą być podstawą do niekorzystnego traktowania pracownika, powodować dla niego jakichkolwiek negatywnych konsekwencji, jak również uzasadniać wypowiedzenia mu umowy o pracę lub jej rozwiązania bez wypowiedzenia przez pracodawcę.

Dane biometryczne

Dane, których zasady przetwarzania przez pracodawców określa dodany art. 221b § 2 k.p, to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO). Do takich danych należy zaliczyć m.in. odciski linii papilarnych, geometrię dłoni, DNA czy skan tęczówki oka.

Nadal nie ma prawnej możliwości przetwarzania danych biometrycznych pracowników np. w celu kontroli czasu pracy. Taka forma kontroli w nowym stanie prawnym wciąż jest nieproporcjonalna do zamierzonego celu przetwarzania tych danych (wyrok Naczelnego Sądu Administracyjnego z 1 grudnia 2009 r., I OSK 249/09).

Marcin Wasilewski adwokat

Pracodawcy mogą przetwarzać dane biometryczne pracowników za ich zgodą wyrażoną z inicjatywy pracownika. Ponadto przetwarzanie tych danych jest dopuszczalne także wtedy, gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę (np. do pomieszczeń, w których przechowywane są dokumenty o strategicznym znaczeniu dla pracodawcy) lub dostępu do pomieszczeń wymagających szczególnej ochrony (np. serwerowni, sejfów; art. 221b § 2. k.p.).

Brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania pracownika. Nie może także powodować wobec niego jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny wypowiedzenia umowy o pracę lub jej rozwiązania bez wypowiedzenia przez pracodawcę.