Przetwarzanie danych biometrycznych pracowników (co ma zgoda pracownika do art. 22(1) kp)

Problematyka przetwarzania danych biometrycznych (np. linii papilarnych lub skanu siatkówki oka) w celu prowadzenia ewidencji czasu pracy lub dostępu do miejsca pracy wraca od lat (por. Stosowanie czytników linii papilarnych przez pracodawców, w którym odniosłem się do wyroku NSA I OSK 249/09). Skoro jednak temat nie jest nadal dla wszystkich jasny, przyszedł czas na omówkę jeszcze jednego, dość już leciwego (acz tezowanego) orzeczenia NSA odnoszącego się do kwestii przetwarzania danych osobowych pracowników — czyli relacji art. 22(1) kp i art. 23 UoODO.

wyrok NSA z dnia 6 września 2011 r. (I OSK 1476/10)
Uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (art. 23 ust. 1 pkt 1 UoODO) za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 22(1) kp stanowiłoby naruszenie tego przepisu kodeksu pracy.

Po przeprowadzonej kontroli GIODO nakazał pracodawcy (którym był urząd skarbowy) usunięcie danych osobowych w postaci przetworzonych do postaci cyfrowej danych o liniach papilarnych przetwarzanych w celu ewidencji czasu pracy. Uchybienie w zakresie przetwarzania danych osobowych pracowników polegało m.in. na tym, że dane o liniach papilarnych pracowników urzędu były przetwarzane w sposób niezgodny z prawem (art. 26 ust. 1 pkt 1 UoODO).

Smaczku sprawie dodał fakt, że pracownicy mieli możliwość indywidualnego wyboru sposobu ewidencji czasu pracy — albo poprzez odbijanie kart, albo odciskiem palca (i nikt nie zdecydował się na karty).

art. 22(1) kp
§ 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) imiona rodziców;
3) datę urodzenia;
4) miejsce zamieszkania (adres do korespondencji);
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
2) numeru PESEL pracownika (...)
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

Zdaniem pracodawcy dane biometryczne pracowników zostały pozyskane na podstawie ich pisemnej zgody, na co zezwala art. 22(1) par. 5 kp — zatem podstawą przetwarzania danych osobowych jest art. 23 ust. 1 pkt 1 UoODO.

Warszawski WSA stwierdził (wyrok z 18 czerwca 2010 r., II SA/Wa 151/10), że przetwarzanie danych biometrycznych pracowników w oparciu o choćby pisemną zgodę jest nieprawidłowe, albowiem:

Wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za takim stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych).

Wynika to z faktu, że art. 22(1) kp de facto ogranicza ilość informacji o pracowniku, które może przetwarzać pracodawca, zatem uzyskanie zgody pracownika na przetwarzanie innych danych stanowiłoby obejście przepisu z naruszeniem zasady adekwatności przetwarzania danych osobowych (art. 26 ust. 1 pkt 3 UoODO). Wykorzystanie danych biometrycznych pracownika do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu przetwarzania tych danych.

NSA rozpatrujący skargę kasacyjną pracodawcy potwierdził to stanowisko: katalog danych osobowych pracownika, które może przetwarzać pracodawcy, wyczerpująco określa art. 22(1) kp. Stąd też — niezależnie od tego, że zgoda osoby zainteresowanej jest czołową przesłanką uprawniającą do przetwarzania danych osobowych jednostki — zezwolenie na pobranie i przetworzenie danych osobowych w postaci linii papilarnych odebrane przez pracodawcę od podległego pracownika nie jest wyrażone w sposób umożliwiający swobodne wyrażenie woli. Stąd też rozszerzenie katalogu danych osobowych określonych w art. 22(1) kp nie może nastąpić w na podstawie art. 23 ust. 1 pkt 1 UoODO — także dlatego, że prowadziłoby do naruszenia zasady adekwatności.

Wniosek z tego taki, że przetwarzanie danych biometrycznych pracowników jest niedopuszczalne — przynajmniej tak długo jak nie znajdzie się po temu podstawa bądź w znowelizowanym art. 22(1) par. 1 kp, bądź też nie znajdzie się przepis nakazujący zbieranie takich danych (art. 22(1) par. 4 kp).

W ustawie antyterrorystycznej takich rzeczy brak.

11 comments for “Przetwarzanie danych biometrycznych pracowników (co ma zgoda pracownika do art. 22(1) kp)

  1. Przemysław Walasek
    11 lipca 2016 at 15:47

    Osobną kwestią jest natomiast to, że obecna regulacja prawna przetwarzania danych osobowych pracowników jest nieracjonalna i nie przystaje do praktyki. Idąc tym tokiem rozumowania należałoby bowiem odmówić pracodawcom prawa przetwarzania wizerunku pracowników na identyfikatorach, numerów telefonów, czy adresów mailowych (w tym również służbowych adresów mailowych, które przecież jak najbardziej mogą być daną osobową).

    • Adam314
      11 lipca 2016 at 15:59

      Mam wrażenie, że wizerunek jest w stanie się obronić. W końcu ochroniarz ma możliwość sprawdzenia czy wpuszczana osoba to ta sama co na zdjęciu. Niech dwie osoby nazywają się Jan Kowalski, identyfikator zawiera tylko imię, nazwisko i foto. Pracownik Jan Kowalski może stracić kartę a inny Jan Kowalski może próbować na nią wejść, ba! nawet pokaże dowód, że to on. Zdjęcie jest dodatkowym zabezpieczeniem.

      Numer telefonu czy adres e-mail są zbierane w procesie rekrutacji i normalnie służą do kontaktu z pracownikiem. Natomiast służbowy telefon czy e-mail są własnością pracodawcy.

      • 11 lipca 2016 at 18:37

        No i racja, zdjęcia nie może — nie ma w art. 22(1) kp, to nie może. Telefon i email, skoro dał, to… no nic, pewnie nawet za zgodą pracownika nie może ;-)

        Inna sprawa, że telefon i email to takie jakby „małe” dane osobowe — odciski palców raczej „większe” dane osobowe.

  2. Adam314
    11 lipca 2016 at 16:02

    Widzę tu dwa kluczowe elementy:
    1. „… jeżeli podanie takich danych jest
    konieczne ze względu na korzystanie przez pracownika ze szczególnych
    uprawnień przewidzianych w prawie pracy”
    2. „Pracodawca może żądać podania
    innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich
    podania wynika z odrębnych przepisów.”

    Za każdym razem gdy mowa o dodatkowych danych ustawa wskazuje, że ich podanie musi wynikać z przepisów. Nie ma więc dowolności w zbieraniu danych.

  3. sjs
    11 lipca 2016 at 18:46

    Skoro daną osobową jest dana za pomocą, której można zidentyfikować osobę to np login do jakiegoś firmowego systemu też jest taką daną. Podobnie lokalny adres IP służbowego komputera.

    Zatem skoro loginów nie ma w ustawowym katalogu to…

    • 11 lipca 2016 at 20:12

      Z tymi adresami IP — MSZ — jest nieco inaczej:

      https://czasopismo.legeartis.org/2015/04/adres-ip-dane-osobowe.html

      • sjs
        11 lipca 2016 at 20:18

        Tu mi chodzi o adres IP w sieci lokalnej pracodawcy, który jest na stałe przywiązany do udostępnionego pracownikowi komputera.

        • 11 lipca 2016 at 21:25

          W ten sam sposób daną osobową jest informacja „Przemek siedzi tam gdzie zawsze, trzeci pokoik na lewo od sekretariatu”. Owszem, skoro mówimy o zidentyfikowanej osobie, to niby są to dane osobowe, ale w ten sposób dotykamy wszystkiego — a zatem chlebodawca ma z wszystkiem problem..

          • sjs
            11 lipca 2016 at 21:46

            O to mi właśnie chodzi. ODO ociera się o paranoję. Zdjęcia nie można przetwarzać. Odcisków palców nie można nawet za zgodą. Numeru rejestracyjnego samochodu nie można. Drzwi otwieranych na podstawie skanu siatkówki oka pewnie też nie można zrobić.

            Jednocześnie ludzie wrzucają skany dokumentów do serwisów społecznościowych, w telefonach i komputerach są skanery linii papilarnych, żeby wypożyczyć narty czy rower trzeba zostawić dokument (co jest karalne, ale i tak nikt się tym nie przejmuje).

            Państwo również ujawnia dane obywateli – w KRS jest PESEL, w CEIDG – pewnie pewnie większość przedsiębiorców ma swój domowy adres, a niektórzy jeszcze email, który nie jest zabezpieczonych przed sczytaniem przez roboty.

    • Mike
      11 lipca 2016 at 21:16

      Imho to zupełnie błędna interpretacja. Login firmowego komputera z pewnością należy do firmy jak i lokalna infrastruktura w tym adresy wewnętrznych IP. Nawet dane konieczne do użycia VPN należą do firmy.

      W ogóle to login czy IP to nie osoba, o czym była wielokrotnie mowa na tych łamach.
      Jedyne dane to prywatny adres e-mail lub zastrzeżony nr telefonu… przecież niezastrzeżone są też de facto ogólnie dostępne i można ich nawet używać do telemarketingu, vide http://www.giodo.gov.pl/1520048/id_art/2852/j/pl/

      • 12 lipca 2016 at 08:57

        przecież niezastrzeżone są też de facto ogólnie dostępne i można ich nawet używać do telemarketingu

        (art. 172 PT w pamięci)

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.