UODO: rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO
14.05.2020
Aktualizacja: 14.05.2020, 23:00
-
Aktualności
Fot. PAP/Adam Warżawa
Przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy – wynika ze stanowiska Urzędu Ochrony Danych Osobowych. Jak podkreślił Urząd, istnieją dwie sytuacje, w których pracodawca może legalnie przetwarzać dane zaliczane do "szczególnej kategorii".
W komunikacie UODO wskazano, że dane biometryczne to dane szczególnej kategorii, które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej. "Dane tego typu mogą być przetwarzane tylko w wyjątkowych sytuacjach (art. 9 ust. 2 RODO)" – zaznaczył Urząd.
Według UODO, aby przetwarzanie tej kategorii danych było legalne, muszą zostać spełnione przesłanki wskazane przez RODO (określono je w art. 9 ust. 2 lit. b). Chodzi o to, aby przetwarzania tego rodzaju danych było niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracownika lub pracodawcę. Ponadto zdaniem Urzędu podstawą przetwarzania powinien być przepis prawa, który regulowałby jednoznacznie możliwość przetwarzania danych sensytywnych w określonych celach oraz przewidywał odpowiednie zabezpieczenia praw i interesów osoby, której dane dotyczą.
"Jeśli chodzi o sektor zatrudnienia, to przetwarzanie danych biometrycznych regulują przepisy prawa pracy. Nie dają one podstawy prawnej do przetwarzania przez pracodawcę danych biometrycznych pracowników w celu rejestracji czasu pracy" – zaznaczył UODO.
Dodał, że zgodnie z art. 22¹ᵇ Kodeksu pracy szczególne kategorie danych, w tym dane biometryczne (art. 9 ust. 1 RODO), mogą być przetwarzane jedynie w dwóch sytuacjach.
Pierwsza z nich to sytuacja, w której pracownik bądź osoba ubiegająca się o zatrudnienie sam udziela zgody na przetwarzanie jego danych biometrycznych. Jak podkreślił UODO, zgoda ta - czego wymaga RODO - powinna być dobrowolna, świadoma, a pracownik ma prawo odwołać ją w dowolnym momencie bez żadnych negatywnych konsekwencji dla niego.
"Przetwarzanie danych szczególnej kategorii musi nastąpić nie tylko za zgodą pracownika bądź osoby ubiegającej się o zatrudnienie, ale przede wszystkim z inicjatywy tych osób" – czytamy w komunikacie.
Do drugiej sytuacji UODO zaliczył przetwarzanie danych biometrycznych, które wynika wyłącznie z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w zakładzie pracy wymagających szczególnej ochrony.
"Pracodawca zatem, wykorzystując dane biometryczne pracownika do rejestracji czasu pracy, naruszyłby zasady określone w RODO (art. 5 ust. 1). W szczególności przetwarzałby dane wbrew zasadzie legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c), ponieważ nie byłby w stanie wykazać, dlaczego i na jakiej podstawie prawnej przetwarza dane biometryczne pracowników do celów związanych z weryfikowaniem ich obecności w pracy" – ocenił Urząd.
Zaznaczył przy tym, że pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników. "Cel ten może osiągnąć, wykorzystując np. listy obecności czy indywidualne identyfikatory lub karty dostępu" – wskazał.
kic/
Wszelkie materiały (w szczególności depesze agencyjne, zdjęcia, grafiki, filmy) zamieszczone w niniejszym Portalu chronione są przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Materiały te mogą być wykorzystywane wyłącznie na postawie stosownych umów licencyjnych. Jakiekolwiek ich wykorzystywanie przez użytkowników Portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, bez ważnej umowy licencyjnej jest zabronione.
