Prezes Urzędu Ochrony Danych Osobowych przedstawił stanowisko, które potwierdza, że odciska palca to zbyt wiele, żeby potwierdzić czas pracy. Wskazał, że przepisy prawa pracy nie dają podstawy prawnej do przetwarzania przez pracodawcę danych biometrycznych pracowników w celu rejestracji czasu pracy. Wykorzystanie odcisku palców czy tęczówki oka pracownika stanowi naruszenie podstawowych zasad RODO – legalności, ograniczenia celu oraz minimalizacji danych. Weryfikacja czasu pracy może być realizowana bowiem  przy użyciu środków mniej ingerujących w prywatność. Listy obecności, indywidualne identyfikatory czy też karty dostępu, to wystarczające narzędzia do potwierdzenia czasu pracy.

Czym są dane biometryczne?

Zgodnie z art. 4 pkt 14 RODO dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej. Umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Takie dane to przede wszystkim linie papilarne palców, tęczówka oka czy też kształt małżowiny usznej. Stanowią szczególną kategorię danych osobowych, ponieważ mają charakter niezmienny i wyjątkowy. Ich wyciek może doprowadzić do dużego ryzyka naruszenia praw i wolności osób fizycznych, dlatego uważane są za szczególnie wrażliwe.

Kiedy pracodawca może przetwarzać dane biometryczne pracowników?

PUODO zaznaczył, że w dziedzinie prawa pracy jedynie wyjątkowo można przetwarzać dane biometryczne. Zgodnie z art. 9 ust. 2 lit. b RODO jest to możliwe w sytuacji, gdy przetwarzanie tych danych jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracownika lub pracodawcę. Przetwarzanie danych biometrycznych musi odbywać się na podstawie przepisu prawa, który jednoznacznie udziela upoważnienia do takich działań, w określonych celach. Ponadto przewiduje odpowiednie zabezpieczenia praw i interesów osoby, której dane dotyczą. Przepisy prawa pracy dopuszczają wyłącznie dwie sytuacje, w których pracodawca może legalnie przetwarzać dane biometryczne:

• kiedy osoby ubiegające się o zatrudnienie lub pracownicy wyrażą dobrowolną i świadomą zgodę na przekazanie danych. Co więcej, przekazanie danych następuje wyłącznie z inicjatywy tych osób. PUODO zaznaczył, że zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w przypadku, gdy istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. W przypadku relacji pracodawca-pracownik taka nierównowaga występuje;
• kiedy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę. To samo dotyczy dostępu do pomieszczeń wymagających szczególnej ochrony.

  O innym ciekawym przypadku nadużycia wykorzystania danych biometrycznych pisaliśmy tu.