Zabezpieczenia w placówce z użyciem danych biometrycznych a RODO

Każdy administrator danych osobowych, który wyrazi chęć zastosowania rozwiązań technicznych umożliwiających wykorzystanie danych biometrycznych nie powinien zadawać sobie pytania czy jest to możliwe ale czy w danym kontekście jest to legalne.

Pod pojęciem danych biometrycznych będziemy rozumieli dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Dane biometryczne można podzielić na:

1. Fizyczne, np. wizerunek twarzy, DNA, linie papilarne, układ naczyń krwionośnych,
2. Fizjologiczne, np. sposób poruszania się,
3. Behawioralne, np. głos, własnoręczny podpis.

Współcześnie możemy spotkać się z technologiami, które będą wymagały udostępnienia wzorca, np. linii papilarnych. Intencją zastosowania określonych rozwiązań jest usprawnienie pewnych procesów oraz ich zautomatyzowanie. Technicznie możliwym jest rejestrowanie choćby czasu pracy dzięki odciskowi palca pracownika.

Jak powyższa kwestia jest regulowana przez obowiązujące przepisy prawa pracy?

22 (1b) § 1 i 2 Kodeksu pracy określa, iż dane biometryczne pracownika można przetwarzać gdy:

1. Przekazanie danych nastąpiło z inicjatywy i za zgodą pracownika,
2. Jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji (których ujawnienie może wywołać szkodę pracodawcy)

Powyższe warunki wymagają wyjaśnienia. Zgoda musi posiadać określone cechy, żeby można było uznać, iż obowiązuje. Musi być:

1. Dobrowolna.
2. Świadoma.
3. Wyrażona jednoznacznie i konkretnie.
4. Możliwa do odwołania w dowolnym momencie.
5. Niezależna od wykonywania innych czynności, np. związanych z zatrudnieniem, wobec osoby wyrażającej zgodę.

W przypadku stosunku pracy uznaje się, iż zgoda wyrażona na linii pracownik-pracodawca nie spełnia cech dobrowolności, z uwagi na stosunek zależności jaki zachodzi pomiędzy nimi. Ponadto zgoda musi być możliwa do wycofania w dowolnym momencie, co mogłoby stanowić problem w przypadku wykorzystywania danych biometrycznych do rejestrowania czasu pracy. Można by zatem uznać, iż zgoda (w tym kontekście) nie będzie stanowiła przesłanki przetwarzania danych biometrycznych.

Drugi warunek odnosi się do formy zabezpieczenia obszarów tego wymagających, o ile pracodawca uzna, iż określony zakres informacji powinien być dostępny jedynie dla ograniczonego grona pracowników. Wówczas należy pamiętać o tym, iż wprowadzenie systemu kontroli dostępu opartego o dane biometryczne musi być możliwe do uzasadnienia a także, iż po wprowadzeniu danego rozwiązania należy przeprowadzić ocenę skutków dla ochrony danych (DPIA). Na taką konieczność wskazuje Prezes Urzędu Ochrony Danych Osobowych w Komunikacie PUODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Koronnym przykładem nieprawidłowego wykorzystania danych biometrycznych jest ich zastosowanie w przypadku wspomnianych wcześniej systemów do rejestracji czasu pracy.

Prezes Urzędu Ochrony Danych Osobowych wprost wskazuje na ograniczenia w zakresie wykorzystania danych biometrycznych jako szczególnych kategorii danych osobowych (decyzja ZSZZS.440.768.2018) https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018

Podobnie wyrażone stanowiska można odnaleźć także w decyzjach sądów administracyjnych, jak choćby stanowisko Naczelnego Sądu Administracyjnego wskazujące na nieproporcjonalność celu przetwarzania w przypadku powiązania danych biometrycznych z rejestracją czasu pracy (NSA z 01.12.2009 r., I OSK 249/09)

http://www.orzeczenia-nsa.pl/wyrok/i-osk-249-09/sprawy_zwiazane_z_ochrona_danych_osobowych/ca6277/5.html

Biorąc pod uwagę powyższe wyjaśnienia widać, iż przy obecnych przepisach, trudno administratorom danych osobowych legalnie wdrażać i stosować nowinki techniczne oparte o dane biometryczne, w celu ulepszenia pracy w podległych sobie jednostkach.

Powyższe wymogi nie mają zastosowania w zabezpieczeniach strzegących dostępu do obszarów lub pomieszczeń, do których powinny mieć dostęp tylko określone osoby. Może to dotyczyć składnicy akt czy serwerowni. o ile np. dyrektor szkoły zdecyduje się na zamontowanie w drzwiach własnego gabinetu zamka do drzwi otwieranego przy użyciu własnych linii papilarnych, a uzasadnieniem tego będą względy bezpieczeństwa, to nic nie stoi na przeszkodzie, żeby do tego doszło.

Dziękujemy, iż przeczytałaś/eś nasz artykuł do końca. W serwisie ,RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.

Dodatkowe informacje:

• Analiza ryzyka w szkole
• Audyt KRI w szkole
• IOD Inspektor Ochrony Danych w oświacie
• Wszystkie ważne informacje w temacie RODO