Dane biometryczne – czy mogą być wykorzystywane przez pracodawcę?
Rozwiązania technologiczne nowej generacji oparte na rozpoznawaniu twarzy, tęczówki oka, głosu, linii papilarnych, czy własnoręcznym podpisie służą ułatwieniu i poprawie komfortu naszego życia. Wprowadzone w firmie nie tylko usprawniają jej organizację, ale także świadczą o innowacyjności i pozwalają wyprzedzić konkurencję. Nie dziwi zatem fakt, że właściciele firm i przedsiębiorstw z coraz większym entuzjazmem podchodzą do systemów i urządzeń działających na bazie biometrii. Jak w świetle przepisów prawa wygląda wykorzystywanie danych biometrycznych przez pracodawców?
Spis treści
Co to są dane biometryczne?
Zgodnie z treścią art. 4 pkt. 14 rozporządzenia o ochronie danych osobowych (RODO) dane biometryczne to: „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. To szczególne cechy przypisane konkretnej osobie fizycznej. Są trwałe, unikalne i stałe, tzn. nie ulegają zmianom w czasie.
Dane biometryczne zapisywane są w postaci cyfrowej, jako tzw. wzorzec biometryczny, tworząc bazę informacji wykorzystywanej do identyfikacji, bądź potwierdzenia tożsamości weryfikowanej osoby. Według ustawy muszą być przetworzone specjalnymi metodami technicznymi, zatem zwykłe użycie fotografii pracownika na identyfikatorze nie stanowi danej biometrycznej.
Biometria towarzyszy nam w życiu codziennym, np. w smartfonach, czy komputerach. Popularne systemy rozpoznawania twarzy lub skanowanie linii papilarnych, to nic innego jak rodzaj technologii biometrycznej autoryzacji. Zwalniają nas one z konieczności pamiętania o kodach pin, rysowanych symbolach i skomplikowanych hasłach dostępu.
Istnieje także biometria behawioralna, która analizuje ruchy i nawyki do identyfikacji charakterystycznych zachowań człowieka, np. chód, czy sposób pisania na klawiaturze.
Zobaczcie także: Jak wygląda praca projektanta… LEGO? Zobaczcie pierwszy odcinek cyklu video: Zawód Inżynier
Przepisy RODO a przetwarzanie danych przez pracodawców
Dane biometryczne są danymi szczególnej kategorii podlegającymi nadzwyczajnej ochronie prawnej. Zgodnie z art. 9 ust. 2 RODO mogą być przetwarzane tylko za zgodą osoby, której dane dotyczą. Zgoda może mieć formę pisemną, elektroniczną, a nawet ustną, najistotniejsze jest to, by była jednoznaczna, świadoma i niewymuszona. Dodatkowo pracownik powinien mieć możliwość wycofania tej zgody w każdej chwili bez ponoszenia żadnych konsekwencji.
Dane biometryczne mogą być także przetwarzanie, gdy jest to: „niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej”, jeśli zezwalają na to przepisy.
Ponadto rozporządzenie wyszczególnia również kilka innych, wyjątkowych sytuacji przetwarzania danych biometrycznych, m.in. w przypadku samodzielnego i oczywistego upublicznienia danych przez osobę, której dotyczą, gdy istnieją przesłanki związane z ważnym interesem publicznym, w ramach sprawowania wymiaru sprawiedliwości przez sądy.
Czy pracodawca może przetwarzać dane biometryczne pracownika?
Wykorzystanie danych biometrycznych przez przełożonego, np. w celu rejestracji czasu pracy jest niezgodne z przepisami RODO, jak również Kodeksem Pracy. Ze względu na stosunek zwierzchnictwa wiążący pracodawcę z pracownikiem trudno mówić o zgodzie na ewidencję wyrażonej z własnej woli. Kodeks Pracy (Art. 22 1b) dopuszcza jednak możliwość przetwarzania danych biometrycznych w przypadku:
- gdy przekazanie danych osobowych następuje nie na prośbę pracodawcy, lecz wyłącznie z inicjatywy i za wyraźną, dobrowolną i świadomą zgodą osoby ubiegającej się o zatrudnienie lub pracownika.
- „gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.”
Kodeks pracy wyszczególnia ponadto, że przetwarzać dane biometryczne mogą jedynie osoby z pisemnym upoważnieniem do przetwarzania takich danych wydane przez pracodawcę. Mają także obowiązek zachowania takich danych w tajemnicy.
Wprowadzając biometrię w firmie należy wziąć pod uwagę, czy rzeczywiście jest to niezbędne i czy nie można zastąpić jej alternatywnymi, mniej ingerującymi w prywatność rozwiązaniami. Przepisy jasno określają użycie biometrii w sposób minimalistyczny i zgodny z zasadą adekwatności do założonego celu.
Zobaczcie także: Jak zwiększyć efektywność pracowników? Dwa proste narzędzia na bazie psychologii pozytywnej
Wykorzystywanie linii papilarnych w użytkowaniu urządzeń służbowych
Odblokowanie, czy logowanie się do telefonu lub komputera służbowego za pomocą odcisków palców jest dość częstym przypadkiem. Należy pamiętać, że pracodawca zapisuje i przechowuje wzorzec biometryczny linii papilarnych pracownika, zatem zgodnie z przepisami, przetwarza jego dane biometryczne. Mimo że istnieją inne formy weryfikacji użytkowników (hasło, pin), jeśli pracownik woli używać metody najszybszej, musi wyrazić dobrowolną i wyraźną zgodę na przetwarzanie swoich danych biometrycznych na potrzeby tej usługi.
Bezprawne wykorzystanie danych biometrycznych pracownika
Dane biometryczne są wyjątkowe, przypisane na zawsze do danej osoby i nie da się ich zmienić. Ich przetwarzanie wiąże się z licznymi zagrożeniami, m. in dyskryminacyjnymi, naruszenia praw i wolności osób, których te dane dotyczą. Administrator ma obowiązek ocenić zasadność wykorzystania danych biometrycznych oraz zapewnić odpowiednie środki ochrony tych danych. Jakikolwiek wyciek danych, czy wykorzystanie ich niezgodne z prawem jest podstawą do pociągnięcia do odpowiedzialności karnej.
Biometria w pracy przyszłości
W ostatnich latach zainteresowanie biometrią rośnie lawinowo. Stosowana jest coraz częściej m. in. w instytucjach bankowych. Urządzenia do weryfikacji danych są dokładniejsze i skuteczniejsze, tym samym minimalizując ryzyko jakiegokolwiek błędu w identyfikacji. Nie ulega wątpliwości, że przyszłość wiąże się z biometrią. Wprowadzanie uwierzytelniania biometrycznego w firmach jest bardzo kuszące, jednak może prowadzić do nadużyć, dlatego pracodawca musi przestrzegać podstawowych zasad przetwarzania danych biometrycznych, tzn.: legalności, ograniczenia celu i minimalizacji danych. Zatem na chwilę obecną rozczarowani mogą być ci, którzy marzą o wejściu do biura poprzez skan tęczówki oka, odcisków palców, czy za pomocą urządzenia do rozpoznawania głosu.
Treść art. 4 pkt 14 RODO: https://lexlege.pl/ochr-danych/art-4/
Treść art. 9 RODO: https://lexlege.pl/ochr-danych/art-9/
Treść art. 22 1b KP: https://lexlege.pl/kp/art-22-1b/
________________________________________________________________________________________________
Źródło zdjęcia głównego: Unsplash@ Joshua Sortino
Komentarze