Dane biometryczne – czy pracodawca może je przetwarzać?
Ostatnia aktualizacja 8 listopada, 2022
Rozwój technologii upowszechnił wykorzystywanie biometrii w codziennym funkcjonowaniu. Oczywistością jest dzisiaj odblokowywanie telefonu za pomocą odcisku palca lub zdjęcia, nagrywanie próbki głosowej dla asystenta Google czy też rozpoznawanie twarzy na lotnisku w ramach szybszej odprawy pasażerów. Powszechność tego rozwiązania tworzy nowe wyzwania w zakresie ochrony danych osobowych. I skoro o powszechności mowa, to czy także pracodawca może przetwarzać nasze dane biometryczne? A jeśli tak, to na jakich zasadach?
Ostatnia aktualizacja: 08.11.2022. Dodaliśmy informację na temat warunków, które musi spełnić pracodawca podczas przetwarzania danych biometrycznych.
Sprawdź: Data Specialist – zarobki
Dane biometryczne – czym dokładnie są?
Dane biometryczne są danymi osobowymi, do których należą cechy fizyczne, fizjologiczne lub behawioralne konkretnej osoby. Cechy fizyczne i fizjologiczne mogą obejmować np. linie papilarne, wygląd siatkówki lub tęczówki oka, głos, geometrię twarzy, układ naczyń krwionośnych dłoni, geometrię ręki, czy też kształt uszu. Cechy behawioralne zaliczane do danych biometrycznych to np. charakter pisma, dynamika pisania, czy sposób poruszania się, choćby poprzez ruch myszy.
Czy pracodawca może przetwarzać dane biometryczne?
Na to pytanie odpowiada bezpośrednio art. 22 1b § 1 Kodeksu pracy. Zgodnie z jego zapisem, pracodawca może przetwarzać dane biometryczne (a także pozostałe dane, o których mowa w art. 9 ust. 1 RODO), kiedy spełnione zostaną łącznie dwa warunki:
- Kandydat do pracy lub pracownik, których dane dotyczą, wyrażają na to zgodę;
- Osoba ubiegająca się o zatrudnienie lub pracownik wychodzi z inicjatywą przekazania takich danych.
Oprócz tego przetwarzanie danych biometrycznych przez pracodawcę może mieć miejsce również wtedy, gdy ich udostępnienie jest niezbędne w związku z kontrolą dostępu. O jakie sytuacje chodzi? Może to być kontrola dostępu do informacji o szczególnej ważności, której ujawnienie może narazić pracodawcę na szkody lub kontrola dostępu pomieszczeń wymagających szczególnej ochrony.
Zobacz: Tester manualny – zarobki
Co pracodawca musi spełnić, aby móc przetwarzać dane biometryczne pracownika?
Dane biometryczne pracownika podlegają szczególnej ochronie. Pracodawca musi spełnić kilka warunków.
- Podstawą jest zapewnienie podstawowych zasad przetwarzania danych osobowych z art. 5 RODO. W skład tego wchodzi m.in. minimalizacja gromadzonych danych, czy też poufność i integralność ich przetwarzania.
- Pracodawca musi powiadomić pracownika o tym, że przetwarza jego dane biometryczne oraz poinformować go o przysługujących mu w związku z tym prawach.
- Kolejnym istotnym warunkiem jest nadanie odpowiednich upoważnień osobom, które będą przetwarzać dane biometryczne pracowników.
- Pracodawca powinien przeprowadzić analizę ryzyka, aby stworzyć odpowiednie scenariusze reagowania, ale też ocenić skutki przetwarzania dla ochrony danych osobowych.
Biometria a kontrola czasu pracy
Czy w przypadku wyrażenia zgody na przetwarzanie danych biometrycznych, pracodawca może użyć ich do kontroli czasu pracy? Zgodnie ze stanowiskiem UODO, rejestracja czasu pracy za pomocą danych biometrycznych jest niezgodna z RODO.
Jednocześnie kontrola czasu pracy możliwa jest w inny sposób. Można to zrobić za pomocą list obecności czy też kart dostępu, a także programów do ewidencji czasu pracy.
Istnieją jednak firmy, które poza takimi działaniami, instalują jeszcze oprogramowanie, którego celem jest monitorowanie np. ruchów myszy. Ważne jest to, że pracodawca nie może przy tej okazji sprawdzać, czy te ruchy wykonała konkretna osoba poprzez zgromadzenie i dopasowanie danych biometrycznych.