Przykładem powszechnego wykorzystywania danych biometrycznych są nowe dokumenty paszportowe. Celem ich wprowadzenia było m.in. ograniczenie przestępstw związanych z fałszerstwem dokumentów. W związku z dostosowaniem polskich przepisów do wymogów unijnego rozporządzenia, w paszportach wydawanych od końca czerwca 2009 roku umieszcza się dane biometryczne polskich obywateli. Zawarta w ustawie z 13 lipca 2006 r. o dokumentach paszportowych (Dz. U. z 2006 r. Nr 143, poz. 1027 ze zm.) definicja danych biometrycznych obejmuje wizerunek twarzy i odciski palców umieszczane w paszportach w formie elektronicznej. Ustawa wprost legitymizuje przetwarzanie tych danych osobowych.
Pojawia się pytanie w jakim zakresie i w jakich celach można legalnie wykorzystywać dane biometryczne w środowisku pracy?
Zakaz przetwarzania danych biometrycznych do rejestracji czasu pracy
Nie każdy cel uzasadnia przetwarzanie naszych danych biometrycznych, nawet jeżeli wyrazimy na to zgodę. W związku z technicznymi możliwościami wykorzystywania przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców pracowników do rejestracji czasu pracy, na gruncie polskiego prawa pojawiły się uzasadnione wątpliwości, czy takie praktyki nie naruszają praw zatrudnionych.
Pracodawca może żądać wyłącznie danych osobowych wymienionych w przepisach kodeksu pracy lub gdy inny przepis prawa tak stanowi. Od osób ubiegających się o zatrudnienie można wymagać podania: imienia (imion) i nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania (adresu do korespondencji), wykształcenia oraz przebiegu dotychczasowego zatrudnienia. Zakres informacji, których pracodawca ma prawo żądać od zatrudnionych jest znacznie szerszy. Obejmuje także imiona i nazwiska oraz daty urodzenia dzieci, ale tylko wówczas, kiedy jest to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numer PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL), a także inne dane, wyraźnie przewidziane w przepisach. To one zatem wyznaczają granice, jakich danych osobowych może żądać pracodawca.
PRZYKŁAD
Pracodawcy, po uprzednim uzyskaniu pisemnej zgody pracowników, przetwarzali ich dane biometryczne w postaci charakterystycznych punktów linii papilarnych w celu ewidencji czasu pracy. Zgodnie z utrwaloną linią orzecznictwa Naczelnego Sądu Najwyższego (zob. m.in. wyrok NSA z dnia 1.12.2009r, I OSK 249/09 oraz wyrok NSA z dnia 06.09.2011r., I OSK 1476) wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetwarzanie danych biometrycznych narusza prawa pracownika i nie daje podstawy do legalnego ich przetwarzania.
Z istoty stosunku pracy wynika podporządkowanie pracownika pracodawcy, co powoduje brak dobrowolności w wyrażeniu takiej zgody. Zatem nie może ona stanowić przesłanki legalizującej przetwarzanie danych biometrycznych. W ocenie NSA poszerzenie katalogu danych, których może żądać pracodawca w oparciu o zgodę pracownika naruszałoby zasadę proporcjonalności wyrażoną m.in. w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zasada adekwatności oznacza obowiązek administratorów przetwarzania prawidłowych danych osobowych w sposób odpowiedni do celów, dla których te dane zostały zgromadzone. Kryterium proporcjonalności powinno stanowić główną przesłankę przy podejmowaniu decyzji o przetwarzaniu danych biometrycznych. Wykorzystywanie tego typu informacji do kontroli czasu pracy jest nieproporcjonalne do zamierzonego celu ich przetwarzania. W uzasadnieniach cytowanych rozstrzygnięć NSA przywołuje opinię Grupy Roboczej artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych – organu konsultacyjnego składającego się z przedstawicieli organów ochrony danych osobowych z krajów Unii Europejskiej. W dokumencie z dnia 1 sierpnia 2003 roku dotyczącym biometrii jako niezbędną przyjęto zasadę proporcjonalności i legalności. Zgoda może zostać uznana za legalizującą przetwarzanie danych, jeżeli pracownik ma pełną swobodę w jej udzielaniu i może odmówić zgody bez ponoszenia ujemnych konsekwencji. NSA podkreślił, że pracodawca może żądać od pracownika podania wyłącznie danych przewidzianych w kodeksie pracy lub gdy inny przepis prawa wyraźnie tak stanowi. Żadne regulacje ustawowych nie przewidują możliwości rejestracji czasu pracy z użyciem danych biometrycznych. Stosowanie technik biometrycznych w identyfikacji powinno być proporcjonalne do celu, który ma być osiągnięty. Za adekwatny cel należałoby przykładowo uznać ochronę bezpieczeństwa. Natomiast z pewnością nie jest nim ewidencja czasu pracy pracowników czy też kontrola osób wchodzących do budynku.
Opinia Grupy Roboczej artykułu 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych
W IV 2012 r. Grupa Robocza art. 29 przyjęła kolejną opinię dotyczącą technologii biometrycznych, która zawiera analizę prawną ich wykorzystywania oraz zalecenia w celu zapobiegania zagrożeniom naruszenia prywatności osób, których dane dotyczą a także wzmocnienia prawa do ochrony tych danych. Podkreśla się szerokie wykorzystywanie danych biometrycznych w badaniach naukowych, kryminalistyce oraz systemach kontroli dostępu. Jednocześnie powszechność nowych technologii biometrycznych i brak odpowiednich zabezpieczeń stanowi zagrożenie dla ochrony prywatności osób, których to dotyczy. Wskazuje się, że dane biometryczne mogą być gromadzone bez wiedzy tych osób, przykładowo w przypadku nadzoru wideo. Stąd bardzo istotne są zalecenia Grupy Roboczej w zakresie dobrych praktyk wskazujące środki techniczne i organizacyjne pozwalające na zmniejszenie zagrożeń ochrony prywatności osób.
Porozumienie pomiędzy PIP a Biurem GIODO dotyczące przestrzegania przepisów o ochronie danych osobowych przez pracodawców
W połowie grudnia 2012 roku Państwowa Inspekcja Pracy (PIP) oraz Biuro Generalnego Inspektora Danych Osobowych (GIODO) podpisały porozumienie w sprawie zasad współpracy obu tych instytucji w zakresie realizacji ustawowych funkcji w celu podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy. W przypadku kontroli prowadzonej przez PIP i stwierdzenia nieprawidłowości w zakresie przetwarzania danych, PIP zawiadamia GIODO. Podobnie GIODO informuje PIP o nieprawidłowościach w przestrzeganiu prawa pracy. Dokument określa również ramy współdziałania poprzez m.in. wzajemną wymianę doświadczeń, konsultacje oraz wspólne prowadzenie kontroli. Porozumienie weszło w życie 14 grudnia 2012 roku. Z pewnością przyczyni się do wzmocnienia przestrzegania przepisów o ochronie danych osobowych przez pracodawców.
Justyna Metelska, adwokat w TGC Corporate Lawyers