Kilka dni temu do Izby Poselskiej wpłynął od dawna zapowiadany, a chyba nieco zapomniany (a może nawet zaginiony) rządowy projekt ustawy „głębiej wdrażającej” RODO (głębiej, bo przecież pierwszym etapem wdrożenia jest ustawa z maja 2018 r. o ochronie danych osobowych) — czyli ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (druk nr 3050).
Projektowanych zmian w przepisach jest mnóstwo (samo wyliczenie listy nowelizowanych ustaw zajmuje prawie 3 strony; projekt z uzasadnieniem ma ich… 648) — ale skoro dziś na tutejszych łamach mamy tradycyjny dzień z prawem pracy, to zwrócę uwagę na planowaną zmianę przepisów kodeksu pracy, który ma wreszcie zezwalać na przetwarzanie danych biometrycznych pracownika.
Otóż zgodnie z dodawanym art. 22(1b) par. 2 kp pracodawca wreszcie będzie mógł przetwarzać dane biometryczne swoich pracowników „także” w przypadku konieczności zapewnienia kontroli dostępu do:
- szczególnie ważnych informacji, których ujawnienie prowadziłoby do narażenia pracodawcy na szkodę;
- pomieszczeń, które wymagają szczególnej ochrony.
art. 22(1b) kp par. 2 (projekt)
Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Dla jasności:
- dlaczego podkreśliłem, że przepis wreszcie pozwoli na przetwarzanie danych biometrycznych pracownika w celu umożliwienia kontroli wejścia lub dostępu do systemów? Bo do 25 maja 2018 r. nie było żadnej podstawy prawnej do stosowania tego rodzaju technik (por. wyrok NSA z 6 września 2011 r., I OSK 1476/10);
- jak należy rozumieć zwrot „także” w przepisie? Wszakże w kodeksie pracy fraza „biometr*” się nie pojawia; w ustawie o ochronie danych osobowych tylko w art. 107 ust. 2 (sankcja do 3 lat pozbawienia wolności za przetwarzanie danych biometrycznych bez podstawy prawnej);
- pozostaje zatem tylko art. 9 RODO, który wprowadzając generalny zakaz przetwarzania m.in. danych biometrycznych — zezwala na nie po spełnieniu określonych przesłanek (i na dziś przesłanką taką może być wyraźna zgoda osoby zainteresowanej, art. 9 ust. 2 pkt 1 RODO);
- różnica wynikająca z art. 22(1b) par. 2 kp jest taka, że pracodawca nie będzie zmuszony do uzyskania jako takiej zgody, ponieważ będzie ona niejako „zaszyta” w kodeksie pracy (czekam na pierwsze spory dot. tego czy odmowa podania danych biometrycznych jest podstawą do dyscyplinarki; moim zdaniem będzie, kłania się art. 100 par. 2 pkt 4-5 kp);
- co to są dane biometryczne? tu chyba najłatwiej będzie zacytować definicję z RODO:
art. 3 pkt 14 RODO
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
- a na koniec najlepsze: czy przepis należy rozumieć jako generalne upoważnienie stosowania biometrycznych sposobów kontroli dostępu osób (pracowników) i poruszania się na terenie zakładu pracy? moim zdaniem oczywiście nie, a wynika to właśnie z samej normy, która wprost zakłada, że techniki te powinny być ograniczone do „szczególnie ważnych” informacji oraz „wymagających szczególnej” ochrony pomieszczeń (nie może go zatem stosować np. każdy pracodawca, bo tak łatwiej, wygodniej lub jest to modne).
Projekt ma wejść w życie po 14-dniowym vacatio legis (art. 179 ustawy) — sądząc po całej redakcji przepisu ma to nastąpić jeszcze w 2018 r.