Biometryczna kontrola czasu pracy – czytniki linii papilarnych

  • 25.06.2018

  • Autor: Angelika Niezgoda

  • analizy

Dane biometryczne w pracy, przetwarzanie danych biometrycznych

Czytniki linii papilarnych – urządzenia które mają zrewolucjonizować sposób ewidencji czasu pracy pracowników, zastępując tradycyjne, podpisywane listy obecności, czy nawet personalizowane karty dostępu do pomieszczeń biurowych. Jak rzeczywiście obraz tych urządzeń wpisuje się w przepisy RODO?

Pracodawca, zgodnie z przepisami kodeksu pracy, może na potrzeby zatrudnienia przetwarzać tylko te dane pracownika, które są wskazane w konkretnych przepisach dot. prawa pracy.

Dane biometryczne nie wchodzą w zakres danych, których pracodawca może wymagać od pracownika. Skan linii papilarnych, będący szczególną kategorią danych – danymi biometrycznymi, może być przetwarzany jedynie w przypadku zastosowania odpowiednich obostrzeń związanych z przetwarzaniem danych sensytywnych. Należy pamiętać bowiem, że przetwarzanie danych osobowych szczególnych kategorii jest w RODO, co do zasady, zabronione, zatem przetwarzanie ich np. bez odpowiedniej podstawy prawnej lub bez zachowania adekwatnych środków ochrony praw i wolności osób fizycznych, może narazić administratora danych na wysokie sankcje finansowe (górna granica to 20 mln euro lub 4% rocznego globalnego obrotu przedsiębiorstwa).

Najwięcej trudności przy wprowadzeniu czytników linii papilarnych może sprawić ustalenie właściwej podstawy prawnej przetwarzania danych biometrycznych. Podstawą prawną do przetwarzania danych wrażliwych pracowników mogłaby być zgoda pracownika, ale zgoda ta musi być opatrzona odpowiednimi warunkami ważności wyrażenia. W związku ze specyficzną sytuacją nierównorzędności stron – podmiotu danych (pracownika) i administratora danych (pracodawcy), trudno dopatrywać się jednak niezbędnego warunku ważności wyrażenia zgody, jakim jest „dobrowolność jej wyrażenia”. Dobrowolność tę można podważyć, a przez to narazić administratora na dotkliwe konsekwencje finansowe.

Pewnego rodzaju rozwiązaniem tej sytuacji może być zastosowanie dualnych czytników. Zgodnie z tym rozwiązaniem pracownik może zarejestrować swoją obecność, używając karty dostępu lub odcisku swojego wcześniej zeskanowanego palca. Pozostawienie pracownikowi alternatywy, będzie z pewnością przesłanką utrudniającą możliwość podważenie dobrowolności wyrażonej przez pracownika zgody na przetwarzanie jego danych biometrycznych. Pracownik samodzielnie dokonując wyboru (karta dostępu, skan palca, możliwość korzystania z obu sposobów jednocześnie), będzie mógł przy tym wyrazić w pełni dobrowolną zgodę na przetwarzanie jego danych biometrycznych, lub wybrać opcję, która nie obliguje go do przekazywania pracodawcy swoich danych wrażliwych. Warto, odnośnie podstawowej zasady przetwarzania szczególnej kategorii danych biometrycznych, wyważyć cel administratora względem praw, wolności i uzasadnionych interesów podmiotu danych biometrycznych i zgodnie z tym podejściem, zastosować czytniki np. tylko w obszarach pracy szczególnie niebezpiecznych – narażonych np. na większe prawdopodobieństwo pożaru lub miejsc szczególnie chronionych, np. kancelarie tajne.

Ochrona danych biometrycznych, szczególnych kategorii danych osobowych

Pracownik musi zostać odpowiednio poinformowany o wszystkich atutach i konsekwencjach wprowadzonego rozwiązania rejestracji czasu pracy lub lokalizacji pracownika zgodnie z wymogami przepisów prawa pracy.

Warto też zastanowić się, co w sytuacji gdy pracownik ulegnie skaleczeniu, które dotknie właśnie zeskanowanego palca, lub będzie miał bliznę – dającą niejasny obraz skanu. Wszelkie techniczne i technologiczne uwarunkowania należy rozważyć przy okazji wyboru podmiotu dostarczającego rozwiązanie czytników. A także, znając proces przetwarzania, który proponuje podwykonawca, odpowiednio zabezpieczyć w umowie kwestie ochrony danych biometrycznych pracowników, pamiętając o wspomnianych wyżej limitach kar administracyjnych.

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.