Problematyka przetwarzania danych biometrycznych (np. linii papilarnych lub skanu siatkówki oka) w celu prowadzenia ewidencji czasu pracy lub dostępu do miejsca pracy wraca od lat (por. Stosowanie czytników linii papilarnych przez pracodawców, w którym odniosłem się do wyroku NSA I OSK 249/09). Skoro jednak temat nie jest nadal dla wszystkich jasny, przyszedł czas na omówkę jeszcze jednego, dość już leciwego (acz tezowanego) orzeczenia NSA odnoszącego się do kwestii przetwarzania danych osobowych pracowników — czyli relacji art. 22(1) kp i art. 23 UoODO.
wyrok NSA z dnia 6 września 2011 r. (I OSK 1476/10)
Uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (art. 23 ust. 1 pkt 1 UoODO) za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 22(1) kp stanowiłoby naruszenie tego przepisu kodeksu pracy.
Po przeprowadzonej kontroli GIODO nakazał pracodawcy (którym był urząd skarbowy) usunięcie danych osobowych w postaci przetworzonych do postaci cyfrowej danych o liniach papilarnych przetwarzanych w celu ewidencji czasu pracy. Uchybienie w zakresie przetwarzania danych osobowych pracowników polegało m.in. na tym, że dane o liniach papilarnych pracowników urzędu były przetwarzane w sposób niezgodny z prawem (art. 26 ust. 1 pkt 1 UoODO).
Smaczku sprawie dodał fakt, że pracownicy mieli możliwość indywidualnego wyboru sposobu ewidencji czasu pracy — albo poprzez odbijanie kart, albo odciskiem palca (i nikt nie zdecydował się na karty).
art. 22(1) kp
§ 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) imiona rodziców;
3) datę urodzenia;
4) miejsce zamieszkania (adres do korespondencji);
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
2) numeru PESEL pracownika (...)
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.
Zdaniem pracodawcy dane biometryczne pracowników zostały pozyskane na podstawie ich pisemnej zgody, na co zezwala art. 22(1) par. 5 kp — zatem podstawą przetwarzania danych osobowych jest art. 23 ust. 1 pkt 1 UoODO.
Warszawski WSA stwierdził (wyrok z 18 czerwca 2010 r., II SA/Wa 151/10), że przetwarzanie danych biometrycznych pracowników w oparciu o choćby pisemną zgodę jest nieprawidłowe, albowiem:
Wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za takim stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych).
Wynika to z faktu, że art. 22(1) kp de facto ogranicza ilość informacji o pracowniku, które może przetwarzać pracodawca, zatem uzyskanie zgody pracownika na przetwarzanie innych danych stanowiłoby obejście przepisu z naruszeniem zasady adekwatności przetwarzania danych osobowych (art. 26 ust. 1 pkt 3 UoODO). Wykorzystanie danych biometrycznych pracownika do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu przetwarzania tych danych.
NSA rozpatrujący skargę kasacyjną pracodawcy potwierdził to stanowisko: katalog danych osobowych pracownika, które może przetwarzać pracodawcy, wyczerpująco określa art. 22(1) kp. Stąd też — niezależnie od tego, że zgoda osoby zainteresowanej jest czołową przesłanką uprawniającą do przetwarzania danych osobowych jednostki — zezwolenie na pobranie i przetworzenie danych osobowych w postaci linii papilarnych odebrane przez pracodawcę od podległego pracownika nie jest wyrażone w sposób umożliwiający swobodne wyrażenie woli. Stąd też rozszerzenie katalogu danych osobowych określonych w art. 22(1) kp nie może nastąpić w na podstawie art. 23 ust. 1 pkt 1 UoODO — także dlatego, że prowadziłoby do naruszenia zasady adekwatności.
Wniosek z tego taki, że przetwarzanie danych biometrycznych pracowników jest niedopuszczalne — przynajmniej tak długo jak nie znajdzie się po temu podstawa bądź w znowelizowanym art. 22(1) par. 1 kp, bądź też nie znajdzie się przepis nakazujący zbieranie takich danych (art. 22(1) par. 4 kp).
W ustawie antyterrorystycznej takich rzeczy brak.