Nowoczesne systemy kontroli dostępu i ewidencji czasu pracy coraz częściej wykorzystują rozwiązania biometryczne. Odcisk palca, skan twarzy czy analiza geometrii dłoni mają być szybkie, wygodne i eliminować problem przekazywania kart wejściowych pomiędzy pracownikami. Jednak z perspektywy ochrony danych osobowych stosowanie biometrii w miejscu pracy od lat budzi poważne wątpliwości. Najnowsze stanowisko Urząd Ochrony Danych Osobowych ponownie pokazuje, że pracodawcy powinni bardzo ostrożnie podchodzić do wykorzystywania danych biometrycznych przy rejestrowaniu czasu pracy.
Dane biometryczne to dane szczególnej kategorii
W opisywanej sprawie Prezes UODO udzielił upomnienia pracodawcy, który wykorzystywał dane biometryczne pracowników do ewidencjonowania czasu pracy. Organ nadzorczy wskazał wyraźnie, że pracodawca dysponuje wieloma innymi sposobami potwierdzania obecności pracowników i nie ma potrzeby sięgania po dane szczególnej kategorii, jakimi są dane biometryczne.
RODO traktuje dane biometryczne w sposób szczególny. Zgodnie z art. 9 rozporządzenia są to dane szczególnej kategorii, których przetwarzanie co do zasady jest zabronione, chyba że administrator wykaże istnienie jednej z wyjątkowych podstaw legalizujących takie działania. Do danych biometrycznych zaliczamy m.in. odciski palców, skany siatkówki oka, rozpoznawanie twarzy czy analizę głosu — czyli dane pozwalające na jednoznaczną identyfikację osoby fizycznej.
W praktyce oznacza to, że wykorzystanie biometrii przez pracodawcę wymaga znacznie wyższego poziomu uzasadnienia niż stosowanie zwykłych kart wejściowych, identyfikatorów czy list obecności. UODO podkreślił, że sam cel polegający na ewidencjonowaniu czasu pracy nie uzasadnia sięgania po tak daleko ingerujące rozwiązania.
Organ zwrócił uwagę, że pracodawcy mają do dyspozycji wiele alternatywnych metod rejestracji czasu pracy, które nie wymagają przetwarzania danych szczególnej kategorii. Mogą to być między innymi:
- karty magnetyczne,
- identyfikatory zbliżeniowe,
- systemy kodów PIN,
- tradycyjne listy obecności,
- logowanie do systemów informatycznych,
- elektroniczne systemy wejść i wyjść niewykorzystujące biometrii.
Skoro więc istnieją mniej ingerujące środki osiągnięcia tego samego celu, korzystanie z biometrii może zostać uznane za naruszające zasadę minimalizacji danych wynikającą z RODO. Administrator powinien bowiem wybierać takie rozwiązania, które pozwalają osiągnąć cel przy możliwie najmniejszej ingerencji w prywatność pracownika.
Zgoda pracownika nie rozwiązuje problemu
Szczególnie istotna jest również kwestia zgody pracownika. Wielu przedsiębiorców błędnie zakłada, że problem można rozwiązać poprzez podpisanie odpowiedniego oświadczenia lub formularza zgody. Tymczasem zarówno UODO, jak i europejskie organy nadzorcze od lat wskazują, że w relacji pracodawca–pracownik bardzo trudno mówić o rzeczywiście dobrowolnej zgodzie.
Powodem jest nierówność stron stosunku pracy. Pracownik pozostaje w relacji zależności wobec pracodawcy, co może powodować presję lub obawę przed odmową wyrażenia zgody. W praktyce pracownik często nie ma poczucia pełnej swobody decyzji, nawet jeśli formalnie podpisuje dokument dobrowolnie. Właśnie dlatego zgoda pracownika w obszarze zatrudnienia jest oceniana bardzo rygorystycznie.
UODO wyraźnie podkreśla, że pracodawca nie może „obejść” ograniczeń dotyczących przetwarzania danych biometrycznych poprzez zebranie zgód od pracowników. Jeżeli sam cel przetwarzania nie uzasadnia korzystania z danych szczególnej kategorii, zgoda nie rozwiązuje problemu zgodności z RODO.
Dane biometryczne mają wyjątkowo wrażliwy charakter
Warto również pamiętać, że dane biometryczne mają wyjątkowo wrażliwy charakter. W przeciwieństwie do hasła czy karty dostępowej nie można ich łatwo zmienić po wycieku lub naruszeniu bezpieczeństwa. Jeżeli dojdzie do przejęcia wzorca odcisku palca lub danych wykorzystywanych do rozpoznawania twarzy, konsekwencje dla osoby fizycznej mogą być bardzo poważne i długotrwałe.
Z perspektywy bezpieczeństwa informacji oznacza to konieczność stosowania szczególnie wysokich standardów ochrony:
- szyfrowania danych biometrycznych,
- ograniczenia dostępu do systemów,
- analizy ryzyka,
- regularnych audytów bezpieczeństwa,
- oceny skutków dla ochrony danych (DPIA),
- ścisłego określenia celu i zakresu przetwarzania.
W praktyce wiele firm wdraża rozwiązania biometryczne głównie ze względów organizacyjnych lub wygody, bez przeprowadzenia pełnej analizy zgodności z RODO. Tymczasem już sam fakt wykorzystywania danych szczególnej kategorii powinien uruchamiać po stronie administratora znacznie bardziej rygorystyczne procedury compliance.
Należy również podkreślić, że stanowisko UODO wpisuje się w szerszy europejski trend ograniczania wykorzystywania biometrii w sytuacjach, w których możliwe jest zastosowanie mniej inwazyjnych metod. Organy nadzorcze coraz częściej zwracają uwagę nie tylko na legalność samego przetwarzania, ale również na zasadę proporcjonalności i adekwatności środków stosowanych przez administratorów.
Dla pracodawców oznacza to konieczność ponownej analizy funkcjonujących systemów rejestracji czasu pracy. W wielu przypadkach rozwiązania wdrożone kilka lat temu mogą dziś budzić poważne wątpliwości z perspektywy aktualnej praktyki organów nadzorczych.
Wdrażanie rozwiązań zgodnych z RODO
Jako Fundacja Entropia pomagamy przedsiębiorcom i instytucjom we wdrażaniu rozwiązań zgodnych z RODO, w tym także procedur związanych z ewidencjonowaniem czasu pracy oraz przetwarzaniem danych pracowników. Opracowujemy gotowe procedury, przeprowadzamy audyty zgodności oraz wspieramy organizacje w ocenie ryzyka związanego z wykorzystywaniem nowych technologii. Chętnie odpowiemy również na pytania dotyczące zgodności stosowanych rozwiązań z przepisami o ochronie danych osobowych oraz pomożemy przygotować organizację do kontroli UODO.
Kontakt z prawnikami Fundacji możliwy jest za pośrednictwem formularza kontaktowego:
