Zawodność i podatność na manipulacje tradycyjnych systemów rejestracji czasu pracy często skłania pracodawców do poszukiwania bardziej odpornych rozwiązań, w tym opartych na biometrii (np. skanujących odcisk palca, bądź obraz tęczówki oka). Na rynku oferowane są różnego rodzaju elektroniczne czytniki, mogące zarówno służyć rejestracji czasu pracy, jak i kontroli dostępu do określonych pomieszczeń. Czy wdrożenie tego rodzaju rozwiązań jest zgodne z prawem?
Poglądy na problem przed wejściem w życie RODO
Dyskusje na ten temat toczyły się już na długo przed wejściem w życie RODO. Rozpoczęły się one od przypadku jednego z pracodawców, który zdecydował się wprowadzić system rejestracji czasu pracy wykorzystujący czytniki linii papilarnych. System ten działał równolegle do bardziej tradycyjnego – opartego na kartach radiowych. Pracodawca dał przy tym pracownikom możliwość wyboru sposobu rejestrowania ich czasu pracy. W razie zainteresowania rozwiązaniem biometrycznym, wyrażali oni pisemną zgodę na pobranie wzoru ich linii papilarnych w celu wprowadzenia ich do systemu i przetwarzania na potrzeby związane z rejestracją czasu pracy. Sprawą zainteresował się ówczesny organ nadzoru – GIODO, który uznając wzór linii papilarnych za dane osobowe (z czym oczywiście należy się zgodzić), stwierdził, że ich przetwarzanie przez pracodawcę nie znajduje podstawy prawnej. W szczególności, legalizować takiego przetwarzania nie może zgoda pracownika. Sprawa, wskutek odwołania się pracodawcy od tej decyzji, trafiła do sądów administracyjnych. Wojewódzki Sąd Administracyjny w Warszawie nie podzielił oceny GIODO i decyzję tę uchylił, uznając że zgoda pracownika mogła stanowić samodzielną podstawę usprawiedliwiającą przetwarzanie jego danych biometrycznych (wyrok z 27.11.2008 r., sygn. II SA/Wa/903/08). Od tego wyroku jednak odwołał się GIODO i sprawę rozpoznał Naczelny Sąd Administracyjny. W wydanym rok później orzeczeniu, NSA przyznał jednak rację organowi nadzoru, stwierdzając że zgoda pracownika wyrażona na prośbę pracodawcy narusza prawa pracownika i swobodę wyrażenia przez niego woli, co sąd wywiódł ze stosunku zależności wobec pracodawcy, w jakim znajduje się pracownik. W ocenie sądu, z tego właśnie względu ustawodawca ograniczył w Kodeksie pracy katalog dotyczących pracownika danych osobowych, które są pracodawcy dostępne (wyrok z 01.12.2009 r., sygn. I OSK 249/09). To orzeczenie w zasadzie wytyczyło pogląd judykatury, który był utrzymywany także i w kolejnych latach.
Co stanowią przepisy po wejściu w życie RODO?
RODO przetwarzaniu danych biometrycznych poświęca wiele miejsca. Dane te definiuje jako takie, które wynikają ze specjalnego przetwarzania technicznego i które dotyczą cech fizycznych, fizjologicznych lub behawioralnych danej osoby oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Definicja podaje przy tym przykład wizerunku twarzy lub właśnie danych daktyloskopijnych. Ważnym jej elementem jest przy tym tzw. specjalne przetwarzanie techniczne, czyli używanie takich technik identyfikacji, które umożliwiają porównanie określonego wzorca (np. odcisku palca) i automatyczne przypisanie go do konkretnej osoby fizycznej. RODO w motywie 51 wyjaśnia ten problem na przykładzie fotografii. Zdjęcie konkretnej osoby, np. pracownika, przechowywane w jej aktach osobowych przez pracodawcę, należałoby uznać za dane biometryczne, skoro pozwala na jednoznaczne zidentyfikowanie tej osoby. Tak jednak nie jest, za dane biometryczne fotografię można by uznać jedynie, gdyby była ona przetwarzana przez system, który np. automatycznie rozpoznawałby twarz i przypisywał utrwalony na niej wizerunek do konkretnej osoby.
Dane biometryczne RODO zalicza (obok np. danych dotyczących stanu zdrowia) do tzw. danych szczególnej kategorii i dopuszczalność ich przetwarzania reglamentuje w znacznie większym stopniu niż ma to miejsce w przypadku tzw. zwykłych danych osobowych. Regulację RODO, w kontekście przetwarzania tych danych w zatrudnieniu, uzupełnia Kodeks pracy (art. 221B). Ogranicza on przetwarzanie dotyczących pracowników danych szczególnej kategorii, w oparciu o zgodę pracownika, wyłącznie do przypadków, kiedy to pracownik wychodzi z inicjatywą przekazania pracodawcy tego rodzaju danych. Danym biometrycznym pracowników poświęcony jest § 2 wskazanego wyżej przepisu Kodeksu. Dopuszcza on przetwarzanie tych danych także i w tym przypadku, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. O dopuszczalności przetwarzania tych danych w innym celu (np. w celu rejestracji czasu pracy) przepis nie wspomina – stąd wniosek, że takiej możliwości polskie przepisy nie przewidują.
Komunikat w tej sprawie opublikował ostatnio również Prezes Urzędu Ochrony Danych Osobowych1. Stanowisko w tej sprawie prezentował już wcześniej, np. w opublikowanym jeszcze w 2018 r. poradniku dla pracodawców2.
1Komunikat z 11 maja 2020 r.
2Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców.